W miarę wzrostu liczby połączeń sieciowych w zakładach, rośnie także poziom wyrafinowania cyberataków skierowanych przeciwko firmom produkcyjnym oraz z innych branż przemysłu. Stąd konieczność wprowadzania stosownych procedur i narzędzi bezpieczeństwa danych w sieciach. W artykule opisano trzy zalecenia dla producentów dotyczące cyberbezpieczeństwa.
Obecnie trudno jest przedstawić optymistyczny obraz dotyczący kwestii cyberbezpieczeństwa, zarówno w sieciach teleinformatycznych, jak i w zastosowaniach przemysłowych. Cyberataki są coraz bardziej wyrafinowane, a ich zasięg oddziaływania uległ rozszerzeniu. Nie istnieją też żadne łatwe i uniwersalne rozwiązania tego problemu, ale mimo wszystko w rzeczywistości są dostępne takie, dzięki którym producenci korzystający z rozwiązań sieciowych w swoich zakładach mogą w końcu osiągnąć sukces.
– Systemy, za które jesteście odpowiedzialni, są atakowane przez hakerów – powiedział Joel Brenner z Instytutu Technologii Stanu Massachusetts (MIT – Massachusetts Institute of Technology) podczas swojego przemówienia inauguracyjnego na Jesiennym Zebraniu Wspólnej Grupy Roboczej Przemysłowych Systemów Sterowania (ICSJWG – Industrial Control Systems Joint Working Group) w Pittsburgu we wrześniu 2017 r. (Brenner uczestniczy także w pracach Inicjatywy Badań Polityki Internetowej IPRI – Internet Policy Research Initiative instytutu MIT oraz Ośrodka Studiów Międzynarodowych CIS – Center for International Studies).
– Zdolność do przeprowadzenia ataku w sieci nie ogranicza się tylko do hakerów działających na obszarze określonych państw, ale mogą one być przeprowadzane przez dobrze finansowane, międzynarodowe grupy hakerów – dodał Brenner. Oznacza to, że kluczowe sektory gospodarki i przemysłu wymagają ochrony przed cyberatakami, jednak utrzymywanie ich wszystkich w stanie cyberbezpiecznym może się okazać niemożliwe.
– Istnieją sektory kluczowe w świetle bezpieczeństwa danych, ale istnieją także naprawdę kluczowe sektory – powiedział Brenner, dzieląc te sektory gospodarki na cztery obszary. – Te cztery kluczowe sektory to ropa i gaz, finanse, elektroenergetyka i komunikacja.
Niedawno przeprowadzone cyberataki na systemy państwowej służby zdrowia Wielkiej Brytanii, dostawców energii na Ukrainie, firmę naftową Aramco z Arabii Saudyjskiej oraz na przedsiębiorstwo gazowe Ras Gas z Kataru wskazują, że znacznie wzrosła liczba ataków na organizacje reprezentujące krytyczną infrastrukturę państw. Podczas gdy większa cyfryzacja przedsiębiorstw produkcyjnych przynosi im korzyści, trzeba pamiętać, że związane są z tym także dodatkowe niebezpieczeństwa.
Zwiększona liczba połączeń sieciowych, cyfryzacja i wykorzystywanie technologii Przemysłowego Internetu Rzeczy (IIoT) mogą sprawić, że firmy przemysłowe stają się bardziej wrażliwe na nowe typy cyberataków.
Brenner zaproponował producentom i przedstawicielom różnych branż przemysłu trzy typy zaleceń dotyczących cyberbezpieczeństwa:
1. Kluczowe systemy sterowania w technologii operacyjnej (OT) muszą być odizolowane od sieci publicznych, jeśli mają być bezpieczne w dostatecznym stopniu.
– Od globalnej sieci Internetu nie muszą być oddzielone wszystkie sieci, a tylko te realizujące kluczowe aspekty sterowania w technologii operacyjnej – powiedział Brenner. Przyznał, że istnieją różnice w opiniach na temat odpowiednich stopni separacji. – Odcięcie systemów sterowania od Internetu nie oznacza odcięcia ich od cyfryzacji. Chodzi tylko o to, że nie wszystkie funkcje tych systemów muszą być dostępne za pomocą publicznego Internetu. Niektóre wymagają ich odcięcia. Istnieje wiele możliwości i sposobów na organizacje tego typu odizolowania.
2. Rządy państw powinny wspierać rynek prostszej i bezpieczniejszej technologii sterowania.
W świecie aplikacji przemysłowych złożoność jest wrogiem, a złośliwe oprogramowanie jest łatwe do wprowadzenia między miliony linii kodów. Ponadto, jak stwierdził Brenner, uniwersalne mikrochipy i uniwersalne systemy sterowania są nieodpowiednie dla wrażliwej na cyberataki technologii operacyjnej.
– Jeżeli dążymy do implementacji prostszych, a jednocześnie zaawansowanych funkcjonalnie systemów sterowania, to musi istnieć rynek na takie systemy. I rynek ten, jego rozwój wymaga wsparcia ze strony rządów państw na całym świecie.
3. Bodźce rynkowe muszą być spójne z ideą cyberbezpieczeństwa.
Odchodzenie od istniejących w zakładach przemysłowych starszych systemów sterowania powinno być priorytetem. Brenner stwierdził, że rządy państw powinny tworzyć zachęty podatkowe w celu przyśpieszania odchodzenia od starszych technologii w systemach sterowania. Wszystko sprowadza się do tego, że najtrudniejsze wyzwania dotyczące cyberbezpieczeństwa to wyzwania ekonomiczne i polityczne, a nie technologiczne.
Brenner uważa, że głównym wyzwaniem przy realizacji badań nad cyberbezpieczeństwem jest ilościowe określenie poziomu, stopnia zagrożenia sieciowego.
Należy zatem gromadzić i podać więcej faktów i więcej liczb, gdyż niemożność ilościowego określenia zagrożenia zmniejsza cyberbezpieczeństwo.
– Największym składnikiem zagrożenia nie jest krzemowy element w komputerze, tylko „element karbonowy” w fotelu prezesa i polityka – powiedział Brenner.
Przemysł pracuje nad problemami związanymi z cyberbezpieczeństwem od 20 lat, jednak Brenner nie uważa, aby wyniknęła z tego jakaś realna wyraźna poprawa w obszarze zagrożeń sieciowych.
– Stawiamy czoła konsekwencjom 20 lat pobożnych życzeń. Cyberbezpieczeństwo nie staje się lepsze w żadnym stopniu. W tej sprawie chodziliśmy tyłem przez 20 lat. Wasze cyberbezpieczeństwo może być lepsze, ale nie jesteśmy bardziej bezpieczni. Musimy zrozumieć, że podstawowymi problemami są tu problemy polityczne i połączone z wolą społeczeństwa, przedstawicieli konkretnych branż. Obecnie nadszedł czas, aby być absolutnie pewnymi i uczciwymi w stosunku do samych siebie na temat głębi tego problemu.
Gregory Hale jest redaktorem i założycielem portalu informacyjnego Industrial Safety and Security Source (ISSSource.com).