Wywiady 2022 - InfraSEC Forum
InfraSecForum
Andrzej Cieślak
Prezes Zarządu
Dynacon
NCSA
Dynacon Global LTD
Akademia CSG
Jak efektywnie i inteligentnie automatyzować OT
Wyzwania dotyczące bezpieczeństwa obecne we współczesnym świecie automatyki przemysłowej trzeba traktować poważnie. Pomimo postępującej konwergencji IT i OT nie da się ich rozwiązywać przy pomocy ludzi, procesów i narzędzi sprawdzonych w świecie informatyki. Automatyzacja może być rozwiązaniem części kluczowych problemów, ale musi być dopasowana do specyfiki OT. O tym w jakich obszarach możliwa jest automatyzacja systemów przemysłowych a także jak to mądrze zorganizować, aby była faktycznym wsparciem, a nie sztuką dla sztuki rozmawiamy z Andrzejem Cieślakiem, prezesem zarządu Dynacon.
Jakie są kluczowe wyzwania bezpieczeństwa we współczesnym świecie automatyki przemysłowej?
Andrzej Cieślak [AC]: Jednym z największych wyzwań jest świadomość problemów i ich skali wśród średniej i wyższej kadry menedżerskiej w organizacjach. Systemy przemysłowe nie są przez część menedżerów traktowane jako systemy oparte o informacje a budżety na komunikację przemysłową – kasowane lub znacząco ograniczane. Potrzeby w zakresie komunikacji i cyberbezpieczeństwa zgłaszane przez specjalistów z obszaru OT, albo są deprecjonowane, albo przekierowywane do IT. Wszystko to rodzi poważne, negatywne konsekwencje, czasem na dużą skalę. Ludzie IT są niewątpliwie ekspertami w zakresie informatyki. Jednak proste przenoszenie ich metod działania i narzędzi na obszar przemysłowy powoduje problemy. Dlatego trzeba wciąż intensywnie pracować nad budowaniem świadomości menedżerów.
Drugie, powiązane z tym pierwszym, wyzwanie to kadry. Nie ma dzisiaj wielu ludzi od bezpieczeństwa w OT. W skali kraju mówimy o pojedynczych osobach. Przy tym są one łakomym kąskiem dla dużych spółek i międzynarodowych korporacji. W tych pierwszych często przechodzą na stronę IT, a w jeśli trafiają do tych drugich, to zwykle pracują na rzecz klientów globalnych, a nie w Polsce.
Wreszcie, mamy też do czynienia ze swoistym szantażem ze strony największych na świecie producentów systemów przemysłowych. Wykorzystując swój monopol, najwięksi dostawcy blokują użytkownikom możliwość wprowadzania jakichkolwiek zmian w systemach czy chociażby monitorowania komponentów pod groźbą utraty gwarancji. To także poważny problem i trzeba mu przeciwdziałać.
Jak to zrobić?
AC: Tak jak mówiłem – przede wszystkim nieustannie pracować nad podnoszeniem świadomości kadry menedżerskiej a przy tym wzmacniać kadrę OT na samym dole. Zgodnie z rekomendacjami NIST, podział na IT i OT powinien być zachowany. Należy zapobiegać przesuwaniu obowiązków związanych z OT do IT i zapewnić wsparcie specjalistów systemów przemysłowych.
Jednocześnie polskie firmy nie powinny polegać wyłącznie na partnerach międzynarodowych, którzy często ograniczają ich możliwości zwiększania poziomu cyberodporności. W wielu wypadkach lepiej współpracować z lokalnymi firmami, które są w stanie w 100% działać samodzielnie, a nie tylko wypełniać role podwykonawców.
Na czym w istocie polegają różnice między IT a OT?
AC: Pomimo pozornych podobieństw, to zupełnie dwa różne światy. W OT musimy zapewnić obsługę 24 godziny na dobę i czas reakcji liczony w sekundach i krócej. W IT, nawet jeśli musimy zapewnić obsługę w trybie 24/7/365, to jeśli reagujemy w czasie liczonym w godzinach, to zwykle nie jest to duży problem. Kolejna różnica to scentralizowany charakter IT i zdecentralizowany, rozproszony w OT. W IT mamy także redundancję, systemy nadmiarowe, część z nich możemy wyłączać bez większych konsekwencji na potrzeby konserwacji. W OT tak to nie działa. Systemy redundantne pracują inaczej. Jeśli zakłócimy proces w elektrowni, to nikt nie uruchomi nagle drugiej elektrowni, bo jedna się popsuła.
IT nie jest w stanie zarządzać OT, bo nie do końca rozumie też wykorzystywane protokoły i zasady, jakie nimi rządzą. W systemach przemysłowych każda minimalna zmiana może wpływać na zakłócenie procesu głównego. W IT wyjęcie jednego kabelka może spowoduje przerwę w komunikacji, ale błyskawicznie można to naprawić i w większości przypadków nie będzie konsekwencji. Dodatkowo w świecie IT mam dużo większą moc obliczeniową na poszczególnych komponentach. Urządzenia przemysłowe mają bardzo małą ilość zasobów do dyspozycji. Ze względu na to nie są w stanie przyjmować niezrozumiałego ruchu i usuwać go, ponieważ są zaprogramowane, żeby przyjmować wszystko. Mógłbym tak jeszcze wyliczać długo.
Czy automatyzacja jest odpowiedzią na te wszystkie wyzwania świata OT?
AC: Pierwsze wdrożenia sterowników zakładały istnienie jednego urządzenia i układów sensorycznych bądź wykonawczych. Dzisiaj te pojedyncze układy rozrosły się w całe sieci. Wymiana danych pomiędzy różnymi komponentami to integralna cześć procesu technologicznego. Zapomniano jednak o części sieciowej, o konieczności kontroli przepływu ruchu. Nie zapewniono właściwego środowiska dla tego ruchu. Automatyzacja świetnie wpisuje się w obszar komunikacji między komponentami. To niemal naturalny krok w rozwoju automatyki. Drugi obszar, w którym automatyka pokazuje swoją moc, to obsługa incydentów. Nikt nie monitoruje parametrów urządzeń i całych systemów. Wierzymy, że jak komponent ma czujnik temperatury z certyfikatem producenta, to będzie wskazywał właściwą temperaturę. To może być jednak błędem. Automatyzacja w kontekście systemu monitorowania pozwala poznawać prawdziwe źródła usterek i awarii i drastycznie zmniejszać i koszty dzięki temu, że pozwala szybciej przywracać systemu do normalnej pracy a przede wszystkim poprawić ciągłość bezawaryjnego działania.
Generalnie automatyzacja pozwala rozszerzać zarządzanie aspektami, których nie są w stanie obsłużyć ludzie. Automaty reagują nie tylko natychmiastowo, ale od razu w sposób właściwy. To wszystko dzięki wypracowywanej na obiekcie standaryzacji i kompatybilności technologicznej, która zapewnia większe uporządkowanie.
Czym powinna się charakteryzować odpowiednia dla OT technologia automatyzująca?
AC: Automatyzacja w OT podobnie jak w IT opiera się na zbieraniu i korelowaniu informacji, ale wprowadzane systemy muszą być zgodne z technologią transmisji danych i procesami technologicznymi. Komponenty OT nie są dopasowane do narzędzi IT. Mając to na uwadze warto podejmować decyzje i reagować na jak najniższym poziomie. Nie możemy sobie pozwolić, że z chwilą utraty łączności coś przestaje działać lub po uruchomieniu narzędzi IT proces OT się załamuje. Sterowniki w OT jak nie maja dostępu do centrali, to nadal działają według lokalnego programu. Dlatego automatyzacja musi być wdrażana w układach rozproszonych, tzw. rojowych. I to jest właściwe podejście do automatyzacji w przemyśle. Dzięki temu można wykrywać anomalie i odpowiednio reagować. Proste przenoszenie rozwiązań ze świata IT powoduje problemy i może oznaczać zakłócenie ciągłości pracy.
Wywiad z Maciejem Gospodarkiem, Systems Engineer w Fortinet
Wywiad z Krzysztofem Szulcem, Network & Security Solution Consultant w Rockwell Automation

Patryk Gęborys
Associate Partner
Zespół Bezpieczeństwa
Informacji i Technologii
EY Polska
Patryk.Geborys@pl.ey.com

Leszek Mróz
Senior Manager
Zespół Bezpieczeństwa
Informacji i Technologii
EY Polska
Leszek.Mroz@pl.ey.com
WYWIAD Z EKSPERTAMI
Inwentaryzacja ma znaczenie
Systemy automatyki przemysłowej są coraz bardziej otwarte, stają się częścią większego środowiska, a to oznacza wzrost ryzyka atakiem cybernetycznym. Jak można je kompensować? Niezależnie od tego czy mówimy o IT, IIoT czy OT, podstawa to możliwie jak najszersza, najbardziej dokładana i aktualna wiedza o środowisku. Kluczowym stają się więc procesy inwentaryzacji i ciągłego zarządzania wiedzą o aktywach, jednak w przypadku systemów automatyki przemysłowej to poważne wyzwanie - rozmowa z Patrykiem Gęborysem, Associate Partnerem EY Cyber Security IT/IoT/OT oraz Leszkiem Mrozem, Senior Managerem w Globalnym Centrum Kompetencji OT/IoT w EY.
Podczas wystąpienia na konferencji InfraSEC Forum 2021 mówiliście Panowie o nowych wyzwaniach cyberbezpieczeństwa dla systemów OT. Jakie są źródła tych wyzwań?
Leszek Mróz: Głównym powodem są zachodzące zmiany technologiczne. W świecie automatyki przemysłowej, w którym przez lata królowały sterowniki PLC i komputery przemysłowe, mamy teraz do czynienia z coraz większą różnorodnością stosowanych rozwiązań, takich jak inteligentne czujniki i urządzenia wykonawcze, sieci bezprzewodowe, urządzenia ubieralne rozszerzonej rzeczywistości, bezobsługowe roboty jeżdżące i tym podobne. Do tego aplikacje wspierające produkcję migrują do chmury obliczeniowej, która daje znacznie więcej możliwości przetwarzania danych i elastyczności zarządzania zasobami. Korzyści biznesowe wynikające z zachodzących zmian są niezaprzeczalne, w efekcie są one wprowadzane błyskawicznie, często bez właściwej analizy wpływu tych zmian na bezpieczeństwo.
Jakie to wszystko ma konsekwencje?
Patryk Gęborys: Nowe technologie wchodzą do świata automatyki przemysłowej bardzo dynamicznie i nie da się tego procesu zablokować, co więcej - dzisiaj to warunek rozwoju biznesu. Oznacza to jednak, że w świecie OT pojawia się i będzie się pojawiać coraz więcej urządzeń tzw. przemysłowego Internetu rzeczy (ang. Industrial IoT/IIoT) produkowanych na masową skalę. Działają one pod kontrolą oprogramowania, którego cykl rozwoju trudno określić jako dojrzały. Będziemy mieć jednocześnie coraz więcej autonomicznych rozwiązań – bardzo zaawansowanych pod względem algorytmów decyzyjnych, ale niedostatecznie zabezpieczonych przed cyberzagrożeniami. Nadążanie za tymi wszystkimi nowościami jest i będzie nadal sporym wyzwaniem w kontekście cyberbezpieczeństwa. Zgodnie z ideą security by design, wymagania bezpieczeństwa trzeba formułować na możliwie jak najwcześniejszym etapie, długo przed wdrożeniem technologii. Tak się jednak niestety najczęściej nie dzieje.
Leszek Mróz: Jednym z podstawowych mechanizmów bezpieczeństwa dla systemów OT jest segmentacja sieci. Praktyczna realizacja tej koncepcji nie była prosta już wcześniej, a teraz - wraz z pojawianiem się nowych technologii - poziom złożoności jeszcze rośnie. Tradycyjne modele segmentacji sieci wymagają adaptacji do nowych technologii i dostosowania do nowych warunków. Większość firm, choć ma dziś jakąś segmentację sieci, to wciąż jeszcze nie jest to jeszcze model docelowy. Wszyscy w mniejszym lub większym zakresie doskonalą to podejście.
Jak zatem wygląda praktyka w tym zakresie? Czy firmy przemysłowe w Polsce dostosowały się do tych nowych warunków?
Patryk Gęborys: Niestety w wielu wypadkach mówimy wciąż raczej o separacji niż segmentacji. Nie jest to jednak specyfika wyłącznie polskich firm. Duże organizacje, które mają największe możliwości inwestycyjne, ale też zarazem największe ryzyka związane z konsekwencjami naruszenia bezpieczeństwa, są na wyższym poziomie zaawansowania. Część średnich przedsiębiorstw jeszcze nie przykłada wystarczającej wagi do cyberbezpieczeństwa. Często w jednej sieci mamy systemy OT z komputerami biurowymi IT, serwerami, drukarkami, a to może powodować wiele poważnych konsekwencji. Podobnie zresztą jest z urządzeniami związanymi z bezpieczeństwem fizycznym – sterownikami do drzwi i bramek wejściowych czy kamerami CCTV.
Leszek Mróz: Segmentacja polega na tworzeniu logicznych stref bezpieczeństwa, w których umieszczane są urządzenia o takich samych wymaganiach. Następnie projektuje się odpowiednie dla każdej grupy zabezpieczenia. Warunkiem właściwego zaprojektowania segmentacji jest jednak precyzyjna wiedza o środowisku – urządzeniach, producentach, protokołach oraz związanych z tym podatnościami oraz ograniczeniami technicznymi – a najlepszym sposobem na pozyskanie tej wiedzy jest inwentaryzacja zasobów. W świecie OT to jednak o wiele większe wyzwanie niż w IT. Praktyka pokazuje, że stosunkowo niewiele firm zdaje sobie sprawę, z czego dokładnie składa się ich środowisko OT.
Patryk Gęborys: Każdy oczywiście twierdzi, że robi inwentaryzację, ale jej jakość zależy od stosowanych metod i jest mocno zróżnicowana. Często spotykamy się z inwentaryzacją prowadzoną dość ogólnie. Na liście zasobów pojawiają się nawet całe linie produkcyjne, ale brakuje informacji, że składają się one z kilkudziesięciu czy nawet kilkuset elementów, które podłączone są do sieci – a to ma ogromne znaczenie z punktu widzenia cyberbezpieczeństwa.
Dlaczego tak jest?
Patryk Gęborys: Inwentaryzacja w środowiskach automatyki przemysłowej jest utrudniona. W świecie IT istnieje wiele narzędzi pozwalających na automatyczną identyfikacje zasobów. Opierają się one jednak na aktywnym skanowaniu urządzeń. Zastosowanie takich metod w świecie OT jest praktycznie niemożliwe - aktywne skanowanie może zakłócić pracę urządzenia automatyki, a zatem stworzyć zagrożenie dla bezpieczeństwa procesu przemysłowego. Ponadto, wiele systemów automatyki działa produkcyjnie w trybie 24/7 – okna serwisowe umożliwiające przeprowadzenie bezpiecznego skanowania podczas postoju mogą być dostępne tylko raz lub dwa razy w roku.
Co zatem można zrobić?
Leszek Mróz: Najlepszym rozwiązaniem jest podejście bazujące na informacjach pozyskiwanych różnymi metodami i z różnych źródeł. Podstawą jest tutaj korzystanie z metod pasywnych, które jednak mają swoje ograniczenia, więc wymagają wsparcia wyspecjalizowanych metod i algorytmów weryfikowania zebranych w ten sposób informacji. Chociaż część informacji nadal musi być zbierana ręcznie, to ta metoda umożliwia skrócenie procesu inwentaryzacji nawet o 70%.
Dlaczego inwentaryzacja zasobów OT jest ważna?
Patryk Gęborys: Przede wszystkim dostarcza wiedzę zespołom utrzymaniowym zajmującym się automatyką, dzięki której mogą lepiej zarządzać zasobami. Zapewnia również widoczność środowiska, która przekłada się na możliwości osiągnięcia wyższego poziomu bezpieczeństwa. Szczegółowe informacje o zasobach to pełna świadomość powierzchni ataku, a to jest warunek skutecznej ochrony. Dzięki inwentaryzacji łatwiejsze jest także reagowanie. Dla wielu klientów to jedno z największych wyzwań związanych z cyberbezpieczeństwem.
Leszek Mróz: Jak zareagować jak nie wiemy dokładnie, ile i jakich urządzeń znalazło się w obszarze ataku? Jak reagować, kiedy nie wiemy kto jest za nie odpowiedzialny? Bez odpowiedzi na te pytania trudno podejmować jakiekolwiek działania. Wiedza o zasobach pozwala także na zarządzanie podatnościami.
Czy dostawcy technologii nie mają w ofercie rozwiązań, które pozwalałyby na monitorowanie OT?
Leszek Mróz: Obserwujemy wzrost dojrzałości rozwiązań do monitorowania na poziomie sieci w OT, szczególnie metodami pasywnymi. Nadal jednak problemem są ograniczone możliwości monitorowania urządzeń końcowych. Specyfika systemów automatyki, z ich długim cyklem życia korzystaniem z niestandardowych systemów operacyjnych sprawia, że istnieją bardzo duże ograniczenia możliwości stosowania agentowych rozwiązań monitorujących. Powoli pojawiają się rozwiązania klasy EDR, które coraz lepiej uwzględniają ograniczenia po stronie automatyki. Ich zastosowanie wciąż jednak ogranicza się jednak do zasobów ze standardowym systemem operacyjnym. W przypadku typowej automatyki, tj. kontrolerów, sterowników PLC, minie jeszcze wiele lat, zanim będzie to możliwe. Warunkiem jest bowiem zapewnienie takich możliwości przez producentów tych urządzeń. Dlatego można założyć, że jeszcze długo właściwa inwentaryzacja będzie podstawą dla skutecznej obrony przed cyberzagrożeniami w świecie OT.
Patryk Gęborys: Dochodzą do tego rozwiązania klasy IIoT oraz urządzenia autonomiczne, które są często projektowane do bardzo wyspecjalizowanych zastosowań, i których funkcjonalność nie przewiduje mechanizmów cyberbezpieczeństwa. Miejmy nadzieję, że to podejście producentów się zmieni, a klienci wprowadzą wymagania cyberbezpieczeństwa jako obowiązkowe do swoich procesów zakupowych. Tymczasem firmom pozostaje dobrze monitorować oraz zabezpieczać swoje środowisko, co bez wiedzy o zasobach, segmentacji oraz kontroli pomiędzy segmentami, a także właściwych rozwiązań nie jest możliwe.