W pracy omówione zostały podstawowe zasady zarządzania niezawodnością i cyberbezpieczeństwem w przemyśle procesowym jako głównej metody ochrony przed cyberatakami. Poziom rzeczywistej ochrony zależy od stopnia dojrzałości całego systemu. Ochrona musi mieć charakter całościowy (holistyczny) i obejmować wszystkie warstwy zarządzania: politykę firmy/ korporacji, zarządzanie zakładami (w przypadku firm wielozakładowych) oraz zagadnienia techniczne związane z ochroną konkretnego ICS (Industrial Control System). Podane zasady mają zastosowanie głównie w przemyśle procesowym: chemia, petrochemia, gazownictwo energetyka konwencjonalna, farmacja, przemysł spożywczy oraz uzdatnianie wody pitnej i oczyszczanie ścieków.

Zadanie dla wszystkich

Coraz bardziej rośnie zagrożenie skutecznego cyberataku na przemysłowe instalacje procesowe. Przemysł procesowy tworzą następujące branże: chemia, petrochemia, gazownictwo, energetyka konwencjonalna, farmacja, przemysł spożywczy oraz uzdatnianie wody pitnej i oczyszczanie ścieków. Następstwa skutecznego cyberataku mogą okazać się katastrofalne: pożar i wybuch w zakładzie przemysłu procesowego, skażenie środowiska naturalnego, poważne straty majątkowe i możliwość utraty zdrowia lub życia pracowników. Tylko zespoły o stosownym (odpowiednim) stopniu dojrzałości organizacyjnej mogą zapobiegać nieznanemu agresorowi atakującemu nie wiadomo kiedy i nie wiadomo skąd. Cyberbezpieczeństwo przemysłowych systemów sterowania jest zadaniem wszystkich pracowników! Co więcej, zagadnienia ochrony przed cyberatakami w przemyśle obejmują również dostawców, podwykonawców oraz klientów.

Problemy cyberbezpieczeństwa w przemyśle – różnice między bezpieczeństwem IT/OT

Cytując, bezpieczeństwo IT (Information Technology) oznacza „ochronę informacji”, zaś bezpieczeństwo OT (Operation Technology) oznacza „ochronę fizycznych operacji przed atakiem na informację sterującą operacją”.

Cyberatak na systemy OT powoduje fizyczne konsekwencje w obiekcie (uszkodzenie aparatury, wybuch, pożar, itp.). Przemysłowy system sterowania (ICS) nie może być „restartowany z backupu”. Krótkotrwałe przerwy w pracy IT nie są problemem. System ICS musi pracować ciągle 24/7/365, jakiekolwiek przerwy są niedopuszczalne.

Specyfika cyberataku polegająca m.in. na możliwości jego przeprowadzenia w dowolnym czasie, z dowolnego miejsca w świecie, w sposób anonimowy i bezpieczny dla atakującego wymaga holistycznego podejścia do zagadnień cyberobrony.

Analizy wykonane „post factum” dla skutecznych cyberataków, pozwalają na twierdzenie o bardzo dużym udziale czynnika socjotechnicznego w przełamaniu zastosowanej cyberobrony ICS.

Prawidłowa i skuteczna cyberobrona wymaga holistycznego podejścia „od prezesa do szeregowego pracownika” włącznie.

Fakty – opisy reprezentatywnych cyberataków na przemysł

Komunikacja cyfrowa i zagadnienia efektywnego wykorzystania cyberprzestrzeni są niekwestionowanym postępem, ale jednocześnie cyberprzestępstwa stają się faktami dokonanymi i coraz bardziej dokuczliwym zagrożeniem dla podmiotów gospodarczych.

Wyróżnia się dwa rodzaje atakowanych podmiotów. Pierwszy rodzaj to podmiot gospodarczy o silnie rozwiniętej, dominującej strukturze IT – atak skupia się na systemie IT. Celem ataku jest pozyskanie wiedzy w sposób niedozwolony, zniszczenie baz danych, sianie destrukcji i dążenie do wywołania niepokojów społecznych. Przykładowe ataki to włamania do baz klientów, włamania do banków czy atak na francuski kanał telewizyjny TV5 przeprowadzony 12 kwietnia 2015 przez hakerów islamskich. Piramida wymagań: polityka zarządzanie technika członkowie zarządów i rad nadzorczych dyrektorzy i prezesi ds. produkcji i finansów kierownicy wydziałów, specjaliści ds. niezawodności www.iccss.eu

Ogólnie tego typu ataki nazywane są atakami miękkimi, ponieważ na ogół nie powodują bezpośrednich lub natychmiastowych strat w majątku fizycznym.

Drugi rodzaj ataku to atak na przemysłowe systemy sterowania (PLC (Programmable Logic Controller)/DCS (Digital Control System)/SCADA (Supervisory Control and Data Acquisition)). W efekcie tego typu ataku dochodzi do strat w zasobach fizycznych. Przykłady: atak na system sterowania rafinerii firmy Saudi Aramco w Arabii Saudyjskiej (12 listopada 2012), atak na system uzdatniania wody pitnej w USA czy atak na piec metalurgiczny (2014) w Niemczech zakończony zniszczeniem pieca.

Atakowane są również instalacje wojskowe. Wg informacji podanej przez portal Cyberdefence24 pododdział amerykańskich czołgów Abrams został skutecznie „zaatakowany” systemami walki elektronicznej w trakcie ćwiczeń US Army. Atakującym udało się zakłócić łączność załóg czołgów i zmusić ich do opuszczenia pojazdów. Wg danych z raportu w ostatnich dwóch latach ok. 95% polskich przedsiębiorstw było ofiarami cyberataków.

Jesienią 2018 roku zaobserwowano nowy rodzaj cyberataku na przemysł. Nadano mu nazwę BPC, czyli Business Process Compromise. Atak polega na takiej manipulacji systemów i procesów biznesowych, która ma doprowadzić do strat w firmie (np. utraty zaufania u partnerów) bądź korzyści z punktu widzenia atakującego. Takim przykładowym atakiem typu BPC jest modyfikacja numerów rachunków bankowych używanych w systemach – w treści faktur zostaje podmieniony numer konta i to atakujący otrzymuje środki, które miały trafić do kontrahentów czy pracowników firmy.

Dlaczego cyberprzestępstwa stają się coraz bardziej rozpowszechnione?

Po pierwsze prawdopodobieństwo wpadki i wykrycia sprawcy jest dla przestępcy prawie zerowe. Atakujący z reguły znajduje się w bardzo odległym regionie lub wręcz na innym kontynencie. Po drugie „uzbrojenie” i wyposażenie cyberprzestępcy jest bardzo tanie.

Przykład: 26 lipca 2013 haker przebywający w Teksasie w Stanach Zjednoczonych i wyposażony w komputer o wartości ok. 3 tys. USD przejął kontrolę nad systemem sterownia luksusowego jachtu na Morzu Śródziemnym o wartości ok. 80 mln USD, po czym skierował go na skały. Do ataku użył fałszywego sygnału, wysłanego drogą radiową, a rozpoznanego przez system sterowania jachtu jako poprawny sygnał z systemu GPS.