Jak efektywnie i inteligentnie automatyzować OT

Wyzwania dotyczące bezpieczeństwa obecne we współczesnym świecie automatyki przemysłowej trzeba traktować poważnie. Pomimo postępującej konwergencji IT i OT nie da się ich rozwiązywać przy pomocy ludzi, procesów i narzędzi sprawdzonych w świecie informatyki. Automatyzacja może być rozwiązaniem części kluczowych problemów, ale musi być dopasowana do specyfiki OT. O tym w jakich obszarach możliwa jest automatyzacja systemów przemysłowych a także jak to mądrze zorganizować, aby była faktycznym wsparciem, a nie sztuką dla sztuki rozmawiamy z Andrzejem Cieślakiem, prezesem zarządu Dynacon.

Jakie są kluczowe wyzwania bezpieczeństwa we współczesnym świecie automatyki przemysłowej?

Andrzej Cieślak [AC]: Jednym z największych wyzwań jest świadomość problemów i ich skali wśród średniej i wyższej kadry menedżerskiej w organizacjach. Systemy przemysłowe nie są przez część menedżerów traktowane jako systemy oparte o informacje a budżety na komunikację przemysłową – kasowane lub znacząco ograniczane. Potrzeby w zakresie komunikacji i cyberbezpieczeństwa zgłaszane przez specjalistów z obszaru OT, albo są deprecjonowane, albo przekierowywane do IT. Wszystko to rodzi poważne, negatywne konsekwencje, czasem na dużą skalę. Ludzie IT są niewątpliwie ekspertami w zakresie informatyki. Jednak proste przenoszenie ich metod działania i narzędzi na obszar przemysłowy powoduje problemy. Dlatego trzeba wciąż intensywnie pracować nad budowaniem świadomości menedżerów.

Drugie, powiązane z tym pierwszym, wyzwanie to kadry. Nie ma dzisiaj wielu ludzi od bezpieczeństwa w OT. W skali kraju mówimy o pojedynczych osobach. Przy tym są one łakomym kąskiem dla dużych spółek i międzynarodowych korporacji. W tych pierwszych często przechodzą na stronę IT, a w jeśli trafiają do tych drugich, to zwykle pracują na rzecz klientów globalnych, a nie w Polsce.

Wreszcie, mamy też do czynienia ze swoistym szantażem ze strony największych na świecie producentów systemów przemysłowych. Wykorzystując swój monopol, najwięksi dostawcy blokują użytkownikom możliwość wprowadzania jakichkolwiek zmian w systemach czy chociażby monitorowania komponentów pod groźbą utraty gwarancji. To także poważny problem i trzeba mu przeciwdziałać.

Jak to zrobić?

AC: Tak jak mówiłem – przede wszystkim nieustannie pracować nad podnoszeniem świadomości kadry menedżerskiej a przy tym wzmacniać kadrę OT na samym dole. Zgodnie z rekomendacjami NIST, podział na IT i OT powinien być zachowany. Należy zapobiegać przesuwaniu obowiązków związanych z OT do IT i zapewnić wsparcie specjalistów systemów przemysłowych.

Jednocześnie polskie firmy nie powinny polegać wyłącznie na partnerach międzynarodowych, którzy często ograniczają ich możliwości zwiększania poziomu cyberodporności. W wielu wypadkach lepiej współpracować z lokalnymi firmami, które są w stanie w 100% działać samodzielnie, a nie tylko wypełniać role podwykonawców.

Na czym w istocie polegają różnice między IT a OT?

AC: Pomimo pozornych podobieństw, to zupełnie dwa różne światy. W OT musimy zapewnić obsługę 24 godziny na dobę i czas reakcji liczony w sekundach i krócej. W IT, nawet jeśli musimy zapewnić obsługę w trybie 24/7/365, to jeśli reagujemy w czasie liczonym w godzinach, to zwykle nie jest to duży problem. Kolejna różnica to scentralizowany charakter IT i zdecentralizowany, rozproszony w OT. W IT mamy także redundancję, systemy nadmiarowe, część z nich możemy wyłączać bez większych konsekwencji na potrzeby konserwacji. W OT tak to nie działa. Systemy redundantne pracują inaczej. Jeśli zakłócimy proces w elektrowni, to nikt nie uruchomi nagle drugiej elektrowni, bo jedna się popsuła.

IT nie jest w stanie zarządzać OT, bo nie do końca rozumie też wykorzystywane protokoły i zasady, jakie nimi rządzą. W systemach przemysłowych każda minimalna zmiana może wpływać na zakłócenie procesu głównego. W IT wyjęcie jednego kabelka może spowoduje przerwę w komunikacji, ale błyskawicznie można to naprawić i w większości przypadków nie będzie konsekwencji. Dodatkowo w świecie IT mam dużo większą moc obliczeniową na poszczególnych komponentach. Urządzenia przemysłowe mają bardzo małą ilość zasobów do dyspozycji. Ze względu na to nie są w stanie przyjmować niezrozumiałego ruchu i usuwać go, ponieważ są zaprogramowane, żeby przyjmować wszystko. Mógłbym tak jeszcze wyliczać długo.

Czy automatyzacja jest odpowiedzią na te wszystkie wyzwania świata OT?

AC: Pierwsze wdrożenia sterowników zakładały istnienie jednego urządzenia i układów sensorycznych bądź wykonawczych. Dzisiaj te pojedyncze układy rozrosły się w całe sieci. Wymiana danych pomiędzy różnymi komponentami to integralna cześć procesu technologicznego. Zapomniano jednak o części sieciowej, o konieczności kontroli przepływu ruchu. Nie zapewniono właściwego środowiska dla tego ruchu. Automatyzacja świetnie wpisuje się w obszar komunikacji między komponentami. To niemal naturalny krok w rozwoju automatyki. Drugi obszar, w którym automatyka pokazuje swoją moc, to obsługa incydentów. Nikt nie monitoruje parametrów urządzeń i całych systemów. Wierzymy, że jak komponent ma czujnik temperatury z certyfikatem producenta, to będzie wskazywał właściwą temperaturę. To może być jednak błędem. Automatyzacja w kontekście systemu monitorowania pozwala poznawać prawdziwe źródła usterek i awarii i drastycznie zmniejszać i koszty dzięki temu, że pozwala szybciej przywracać systemu do normalnej pracy a przede wszystkim poprawić ciągłość bezawaryjnego działania.

Generalnie automatyzacja pozwala rozszerzać zarządzanie aspektami, których nie są w stanie obsłużyć ludzie. Automaty reagują nie tylko natychmiastowo, ale od razu w sposób właściwy. To wszystko dzięki wypracowywanej na obiekcie standaryzacji i kompatybilności technologicznej, która zapewnia większe uporządkowanie.

Czym powinna się charakteryzować odpowiednia dla OT technologia automatyzująca?

AC: Automatyzacja w OT podobnie jak w IT opiera się na zbieraniu i korelowaniu informacji, ale wprowadzane systemy muszą być zgodne z technologią transmisji danych i procesami technologicznymi. Komponenty OT nie są dopasowane do narzędzi IT. Mając to na uwadze warto podejmować decyzje i reagować na jak najniższym poziomie. Nie możemy sobie pozwolić, że z chwilą utraty łączności coś przestaje działać lub po uruchomieniu narzędzi IT proces OT się załamuje. Sterowniki w OT jak nie maja dostępu do centrali, to nadal działają według lokalnego programu. Dlatego automatyzacja musi być wdrażana w układach rozproszonych, tzw. rojowych. I to jest właściwe podejście do automatyzacji w przemyśle. Dzięki temu można wykrywać anomalie i odpowiednio reagować. Proste przenoszenie rozwiązań ze świata IT powoduje problemy i może oznaczać zakłócenie ciągłości pracy.

Wspólny obraz sytuacji warunkiem skutecznej współpracy
O wyzwaniach związanych z mierzeniem cyberbezpieczeństwa systemów OT i komunikacją między różnymi osobami odpowiedzialnymi za to bezpieczeństwo mówią: Adam Lisowski, Manager, Cybersecurity i Tomasz Szałach, Senior Manager, OT Security Governance & Service Management z EY.

Mamy do czynienia z postępującą cyfryzacją infrastruktury przemysłowej, rosnącą integracją systemów OT i IT. Idą w ślad za tym liczne korzyści, ale też i zagrożenia. Jakie są w takiej sytuacji wyzwania pod adresem osób odpowiedzialnych za cyberbezpieczeństwo w firmie? Jest ich już kilka - z jednej strony szef bezpieczeństwa, z drugiej strony szef IT, z trzeciej szef OT…

Adam Lisowski: Pojawia się przede wszystkim problem komunikacji między tymi osobami. Wyzwaniem staje się uruchomienie takich kanałów porozumiewania, aby ta komunikacja mogła być asynchroniczna, a jednocześnie bazowała na tych samych danych. Poza tym musi być spójna, bezpieczna oraz gwarantować odpowiednią jakość przekazywanych informacji, nie tylko pomiędzy poszczególnymi funkcjami czy stanowiskami w firmie, ale też wgłąb poszczególnych struktur zarządzania. Dużego znaczenia nabiera w tym kontekście kwestia odpowiedniej infrastruktury, aby zagrożenia nie przechodziły między poszczególnymi użytkownikami i obszarami, a jednocześnie by ludzie mieli zapewniony dostęp do potrzebnych tu i teraz informacji.

Korzystanie z informacji musi być dopasowane do pozycji w organizacji oraz do zakresu odpowiedzialności danego menedżera czy specjalisty. Jeśli architektura systemów i funkcjonowanie kanałów komunikacyjnych nie będą dobrze poukładane, to albo ludzie uzyskają dostęp do większego zakresu informacji niż powinni, albo nie uzyskają informacji na czas, czyli w szczególności kiedy występują incydenty. Jedna i druga sytuacja jest niebezpieczna. Do tego dochodzi jeszcze ryzyko, że w zalewie informacji, który łatwo wygenerować przy użyciu współczesnych technik informacyjnych, odbiorcy nie będą mieli możliwości zauważenia aktualnego, faktycznego stanu, lub dostrzeżenia rysującego się trendu.

Tomasz Szałach: Problemy z cyberzagrożeniami w sytuacji rosnącej integracji OT i IT, wynikają w dużej mierze z niepewności co do podziałów odpowiedzialności. Właśnie w związku z brakiem pewności kto za co odpowiada, relacje liderów IT, OT i cyberbezpieczeństwa nie są dobre, co potwierdza nasze badanie Global Information Security Survey. Co więcej, pogarszają się wręcz, głównie z powodu różnego postrzegania swoich ról przez dyrektorów IT, OT i cybersecurity w kontekście bezpieczeństwa. Oni nie traktują tego obszaru w kategoriach wspólnego celu działania, który muszą razem osiągnąć. Każdy stara się raczej pilnować własnego podwórka, własnego zakresu odpowiedzialności. Przy integracji OT i IT to się jednak zmienia - i musi się zmieniać, jeżeli ochrona przed zagrożeniami ma być skuteczna.

Staramy się pokazywać, w jaki sposób do osiągnięcia tego pożądanego stanu współpracy może przyczynić się płynny, jednolity dla wszystkich dostęp do informacji na temat ryzyk, efektywności inwestowania w cyberbezpieczeństwo, skutków podejmowanych decyzji bądź ich braku. Jednolity dostęp do informacji daje tym trzem wymienionym grupom interesariuszy możliwość rozmawiania jednym językiem, uczenia się od siebie nawzajem i dążenia do wspólnego realizowana celów z zakresu cyberbezpieczeństwa infrastruktury OT.

Podczas wystąpienia na Infrasec Forum mówiliście panowie o potrzebie mierzenia bezpieczeństwa w przedsiębiorstwie przemysłowym. W jaki sposób ma służyć temu zadaniu system wymiany informacji między pionami IT, OT i cybersecurity?

Tomasz Szałach: Żeby móc mierzyć poziom cyberbezpieczeństwa w organizacji, musimy przede wszystkim wdrożyć podstawowe środki organizacyjne, procesowe oraztechniczne - a następnie ustalić punkty pomiaru. Duża część naszych klientów, z którymi pracujemy, jest na początku lub w trakcie wdrażania fundamentów programu bezpieczeństwa OT – który te środki ma wdrożyć. Jednym z tych fundamentów który pomagamy wdrażać z naszymi klientami jest model ładu i nadzoru (governance) nad cyberbezpieczeństwem OT który monitorowaniu bezpieczeństwa nadaje podstawe, znaczenie oraz kontekst organizacji.

Kiedy już ten fundament zbudujemy i zaczniemy realizować procesy bezpieczeństwa, warto od razu pomyśleć, w jaki sposób chcemy je monitorować w celu zapewnienia zgodności, odpowiedniego zarządzania ryzykiem czy uzasadnienia inwestycji poczynionych na budowanie bezpieczeństwa OT w organizacji.

Z jakich źródeł dane będą służyły najlepiej mierzeniu cyberbezpieczeństwa systemów OT? Najlepiej chyba gdyby były pozyskiwane w sposób zorganizowany i zautomatyzowany?

Adam Lisowski: Przede wszystkim zorganizowany a potem zautomatyzowany. Wiele firm buduje sobie po prostu dashboard, tracąc tak naprawdę z oczu cel, któremu przetwarzanie danych ma służyć. Kiedy wiemy, do kogo informacje są kierowane, jaki jest cel ich wykorzystania, wtedy o wiele prościej jest znaleźć źródła danych służących ich wytworzeniu. Łatwiej też wówczas zapewnić spójność komunikacji między uczestnikami systemu bezpieczeństwa w firmie.

Tomasz Szałach: Może być tak, że na początku budowy systemu bezpieczeństwa mało danych będzie pozyskiwanych w sposób automatyczny. Często bowiem wymagają one weryfikacji, dostosowania do potrzeb odbiorców i możliwości wykorzystywanych narzędzi, „dostrojenia” do firmowego środowiska. W miarę zwiększania dojrzałości progamu bezpieczeństwa, danych dostarczanych i przetwarzanych automatycznie będzie jednak z pewnością przybywać. W ramach procesu uczenia się organizacja będzie sięgać po coraz więcej danych i usprawniać jakość monitorowanych parametrów, żeby mieć jak najbardziej zbliżony do rzeczywistości obraz sytuacji.

Jakie mierniki bezpieczeństwa trzeba zastosować? Co mierzyć, żeby system był użyteczny dla tych trzech grup odbiorców informacji, o których na początku wspominaliśmy? Każda z nich może mieć różne oczekiwania i potrzeby…

Adam Lisowski: Decyzja, co mierzyć, zależy po części od dostępnych źródeł danych i możliwości automatyzacji ich pozyskiwania. Dane mogą być, przykładowo, dostarczane z systemów zarządzania bezpieczeństwem, typu SIEM, SOAR, czy z systemów informujących o podatnościach, ale także z systemów finansowo-księgowych pokazujących poziom wydatków na cyberbezpieczeństwo. Ważna jest też informacja o aktywach i projektach oraz odpowiedzialnościach za nie. Na dostęp do danych trzeba patrzeć nie przez pryzmat technologii, lecz w kontekście zdolności organizacji do podejmowania działań.

Drugi wyznacznik to świadomość, jakie informacje są interesujące dla poszczególnych grup odbiorców. Na poziomie strategicznym kluczowe są zazwyczaj dwie informacje: jaki jest status bezpieczeństwa oraz ile nas to kosztuje. Poziomów pośrednich może być dużo, a na każdym z nich następuje podział na obszary odpowiedzialności, czy rodzaje wykorzystywanych technologii. W tym momencie schodzimy z poziomu informacji statusowych na informacje o jakości pracy poszczególnych elementów. Z ogólnego spojrzenia, czy jesteśmy bezpieczni, albo spełniamy wymagania w obszarze bezpieczeństwa infrastruktury OT, schodzimy do poziomu bardziej szczegółowych informacji, np. ile mamy podatności, ile podatności mamy aktualnie obsługiwanych, a ile podatności powinniśmy obsłużyć itd. Osoby zarządzające projektami mogą być z kolei zainteresowane danymi na temat tego, czy projekt spełnia wymogi bezpieczeństwa, w jakich obszarach i na jakim poziomie.

Tomasz Szałach: W kontekście celu, jakim jest wspólne zapewnienie bezpieczeństwa organizacji, warto pamiętać o kilku prostych zasadach:
1) Zapewnij prostotę przekazu oraz podziel się wnioskami stojącymi za danymi – metryki powinny być jednoznaczne; nie powinny pozostawiać domysłów co do ich wyniku. Ich interpretacja powinna być uzupełniona o pisemne wnioski płynące z danych.
2) Uwzględnij kontekst ryzyka organizacji – mierzenie stanu i efektywności cyberbezpieczeństwa powinno odbywać się zawsze w kontekście ryzyk zidentyfikowanych dla danej organizacji. Ułatwia to określenie chociażby czy nakłady finansowe alokowane są adekwatnie do poziomu akceptowalnego ryzyka.
3) Zapewnij równy dostęp do informacji zarządczej wszystkim interesariuszom – upewnij się, że raportowanie skierowane jest na równo do obszaru IT, OT oraz cyberbezpieczeństwa w organizacji.

Budowanie oraz ciągłe utrzymywanie adekwatnego poziomu bezpieczeństwa OT w organizacji często uzależnione jest od utrzymania zaangażowania oraz finansowania tego obszaru przez wyznaczonych do tego decydentów.
Pozyskiwanie przekonujących argumentów dla zarządu jest ściśle powiązane z usprawnieniem komunikacji między silosami w organizacji, czyli w tym przypadku ze zwiększeniem przepływów informacji między wskazanymi już trzema grupami interesariuszy. Warto od samego początku budowy systemu bezpieczeństwa myśleć o tym, jak zapewnić wymianę informacji między osobami odpowiedzialnymi za projekty IT, rozwiązania OT i cyberbezpieczeństwo. Chodzi o to, żeby wszystkie te działy były w stanie wspólnie planować potrzebne przedsięwzięcia, zarządzać ich wdrażaniem, a co najważniejsze integrować procesy bezpieczeństwa z planowaniem i realizacją projektów w obszarze produkcji.

Jak w praktyce ta komunikacja powinna się odbywać?

Tomasz Szałach: Trzeba pomyśleć jakie mierniki będą w przypadku danej organizacji najbardziej użyteczne a potem w miarę rozwoju systemu bezpieczeństwa poszerzać bądź modyfikować ich katalog. Istotne jest też, aby mieć od samego początku świadomość, że mierzenie bezpieczeństwa w obszarze OT wymaga również wprowadzenia odpowiedniego modelu operacyjnego. Te trzy grupy interesariuszy muszą mieć stosowną platformę do pozyskiwania informacji, dzielenia się nimi i wspólnego podejmowanie w oparciu o ich analizę optymalnych decyzji.

W jaki sposób prezentować informacje, żeby trafiały do poszczególnych grup odbiorców i spełniały ich oczekiwania? W jaki sposób dane przetwarzać i udostępniać dane, żeby osiągnąć efekt integracji komunikacyjnej jednocześnie zaspokajając zróżnicowane potrzeby informacyjne?

Adam Lisowski: Tu dochodzimy do zagadnień tworzenia samych dashboardów i sposobów prezentowania na nich informacji. Należy to robić według ogólnie przyjętych, powszechnie znanych zasad prezentacji informacji. Zawartość interesująca poszczególne grupy odbiorców powinna być umieszczana na dashboardach tak, aby każdy zainteresowany miał do nich dostęp w kontekście ustalonych mierników bezpieczeństwa. Są od tego specjaliści i stosowne rozwiązania techniczne. My też, bazując na doświadczeniu naszych konsultantów i naszym, oraz na zasadach, które obowiązują przy prezentowaniu infografik, proponujemy klientom pewne układy i zakresy informacji, oraz podpowiadamy, jak one powinny być prezentowane.

Tomasz Szałach: Najważniejszym wyzwaniem nie jest jednak stworzenie samego dashboardu. Głównym problemem jest zbudowanie wokół tego dashboardu systemu zarządzania bezpieczeństwem, czyli określenie i wprowadzenie w życie zasad jego funkcjonowania - kto i jak będzie z niego korzystał. Oczywiście, trzy główne grupy interesariuszy - IT, OT i Cybersecurity - mają różne potrzeby informacyjne, natomiast my co do zasady chcemy, aby wszyscy korzystali z jednego dashboardu i mieli dostęp do tych samych informacji. Jeżeli chcemy skupić ich wszystkich wokół problemów cyberzagrożeń i cyberbezpieczeństwa, to musimy im zapewnić jeden, wspólny obraz tego, co się dzieje. Muszą mieć wspólną świadomość sytuacyjną, jak ich organizacja jest odporna na zagrożenia i jak sobie radzi z występującymi ryzykami.

Trzeba przy tym pamiętać, że mierzenie cyberbezpieczeństwa nie powinno być zbyt skomplikowane, nie powinno zajmować dużo czasu i wymagać olbrzymich nakładów. Chodzi przede wszystkim o to, żeby ludzie z wdrożonego rozwiązania korzystali, nie można ich odstraszać długim procesem zbierania danych, ładowania do jakiegoś raportu, który trzeba budować przez tydzień a później przez pięć minut zaprezentować i odłożyć na półkę. W mierzeniu bezpieczeństwa i budowaniu modeli raportowania liczy się podejście pragmatyczne. Często zaczynamy od małej ilości danych i małej ilości obszarów, które mierzymy po to, żeby w ogóle organizację nauczyć w jaki sposób wszyscy mogą wspólnie pracować. Czasem efektywniej jest posiadać pięć wskaźników, które mierzymy na początku niż budować skomplikowane, wielopoziomowe dashboardy, które ładnie wyglądają, ale są mało użyteczne.

Adam Lisowski: Chodzi przede wszystkim o stworzenie efektywnego mechanizmu przepływu i udostępniania informacji, dzięki którym wszyscy odpowiedzialni za cyberbezpieczeństwo będą mieli na bieżąco ogląd sytuacji - czy wszystko idzie zgodnie z oczekiwaniami, czy też coś trzeba zmienić, żeby te oczekiwania spełnić.