Automatyka przemysłowa (OT) to krwiobieg nowoczesnej produkcji i infrastruktury, a ataki ransomware mogą w niej spowodować milionowe straty. W sektorach produkcyjnych i infrastrukturalnych, nie bez powodu występuje osobny dział odpowiedzialny za IT oraz ochronę systemów sterowania (OT). Wynika to z fundamentalnych różnic w procesach, które obsługują pracujące w nich osoby i urządzeniach, na jakich opiera się wykorzystywana przez te procesy infrastruktura. Jest to kwestia, która może umykać przy tworzeniu systemów zarządzania bezpieczeństwem. Dlaczego? Bo działy prawne i compliance często utożsamiają cyberbezpieczeństwo z zagrożeniami płynącymi Internetem do danych firmy, a te siłą rzeczy są na serwerach IT. Ta luka compliance może stanowić duży kłopot w razie wystąpienia ataku na park maszynowy firmy. Dlaczego?
Różne wyzwania i priorytety odtworzeniowe w systemach automatyki przemysłowej
W sferze IT priorytetem jest przede wszystkim poufność danych. Bez względu na to, o jakim urządzeniu mówimy – od stacji roboczej po rozbudowane macierze serwerów – każdy bajt zawiera cenne informacje, w tym dane osobowe, finansowe i strategiczne dane biznesowe. W związku z tym, plany awaryjne w IT skupiają się głównie na jak najszybszym i jak najskuteczniejszym przywracaniu baz danych, systemów CRM i kluczowych dokumentów.
W automatyce przemysłowej (OT) sytuacja wygląda zupełnie inaczej. Tutaj kluczowa staje się przede wszystkim dostępność i ciągłość operacyjna. Przestoje w produkcji generują ogromne straty finansowe, wiążą się z karami umownymi za niedotrzymanie terminów dostaw i powodują poważne zakłócenia w całym łańcuchu dostaw. Co więcej, w sektorach infrastrukturalnych, takich jak dostawy wody, energetyka czy odbiór ścieków, awarie systemów OT mogą mieć poważne, a nawet katastrofalne konsekwencje dla całego społeczeństwa.
Klonowanie planów informatycznych do potrzeb automatyki to zwykle strata czasu i środków – na wypełnianie tabelek, raportowanie wskaźników i prowadzenie analityki, która nie przełoży się na realne bezpieczeństwo OT.
W razie wystąpienia zakłócenia w automatyce przemysłowej, zespół odpowiedzialny za wykrycie i reakcję na zdarzenie, musi podjąć inne kroki związane z przywróceniem normalnej pracy infrastruktury niż gdyby sytuacja dotyczyła IT. Specjaliści utrzymania ruchubędą mieć swoje własne RTO, a RPO ustalone według metod stosowanych w IT, może w ogóle nie mieć praktycznego sensu dla ich procesów. Dodatkowo są elementy informatyczne, których praca ma małe znaczenie dla działów biurowych, a jest kluczowa dla OT.
Jak może przebiegać atak?
Ataki ransomware kojarzą się przede wszystkim z szyfrowaniem danych i wymuszeniami finansowymi. Jednak w środowiskach OT, oprócz tradycyjnej dokumentacji czy danych osobowych, niezwykle cenne są również dane konfiguracyjne maszyn i urządzeń przemysłowych oraz przechowywane w nich receptury lub specyfikacje. Dlatego mówiąc o kopii zapasowej, IT i OT może mieć na myśli zupełnie inne rodzaje danych przechowywane na zupełnie innych nośnikach.
W działaniach hakerów powtarzają się pewne standardowe kroki, które mogą różnić się szczegółami:
- Infekcja sieci: atak może rozpocząć się od zainfekowania sieci biurowej poprzez phishing, luki w oprogramowaniu lub zainfekowane nośniki danych,
- Rozprzestrzenianie się ransomware: atak na systemy OT odbywa się przez elementy sieciowe i przestrzenie serwerowe dzielone z IT,
- Szyfrowanie danych: atakujący blokują dostęp maszyn do plików dokumentacji technicznej, albo wstrzymując ich pracę, szyfrując sterowniki kontrolujące procesy produkcyjne,
- Przejęcie kontroli lub zmiana danych: atakujący przejmują uprawnienia administracyjne do systemów sterowania i zmieniają nastawy lub wyłączają maszynę.
Niemożliwe? Trudne do wyobrażenia? To samo myśleli pewnie automatycy w fabryce Hondy, Norsk Hydroo czy TT Electronics przed atakami, które dotknęły te firmy w latach 2017 – 2021.
Co może pójść nie tak, przy podjęciu działań na bazie planów i procedur IT?
Kiedy dojdzie do ataku na systemy lub sieci obsługiwane przez IT jest spora szansa, że tym, kto wykryje atak, będzie ich administrator. Czyli wykwalifikowany pracownik o odpowiedniej wiedzy na temat tego, jak przeanalizować zaistniałe zdarzenie i jak na nie zareagować. W przypadku ataku na OT, nieprawidłowości często jako pierwszy wykrywa pracownik wykonujący na maszynie swoje codzienne obowiązki. Wpływa to nie tylko na sposób obiegu informacji o zdarzeniu. Szeregowy pracownik nie ma uprawnień do podejmowania decyzji o zatrzymaniu procesy produkcyjnego, ingerencji w działanie skomplikowanych systemów sterowania (takich jak PLC, SCADA czy HMI) czy rozmontowaniu maszyny.
Plany IT określają sekwencję działań krok po kroku. Zaczynając od weryfikacji zdarzenia, ustalenia infrastruktury dotkniętej incydentem i zakresu potrzebnych do odtworzenia danych. W razie potrzeby, uwzględniając przygotowanie i wydanie pracownikom infrastruktury zastępczej na czas odtwarzania, jeżeli konieczne jest utrzymanie artefaktów z ataku zapisanych w pamięci cache. Nośniki dotknięte zdarzeniem mogą zostać spokojnie wyjęte i zabezpieczone (przynajmniej te kluczowe dla dalszej analizy), bo zwykle ich wartość jednostkowa mieści się w kwotach akceptowalnych dla firmy.
Inaczej jest w obszarze OT. Maszyny na ogół nie mogą być rozkręcane bez utraty gwarancji, dlatego trzeba wezwać na miejsce serwis fabryczny. A to trwa. W przypadku zaszyfrowania elementów sieciowych, nie jest możliwy zdalny dostęp serwisu. Poza tym trudno przewidzieć jakie skutki może mieć połączenie z zainfekowaną maszyną, jeżeli producent nie testował tego przed wprowadzeniem produktu na rynek. O redundancję trudno, a wyciąganie i wymiana komponentów napotyka bariery prawne – w postaci umów serwisowych i postanowień gwarancji.
W tym samym czasie na pracę czeka na ogół kolejna zmiana, plany produkcyjne muszą być zrealizowane, więc każda minuta to realne straty. Dlatego pracownicy utrzymania ruchu muszą walczyć z czasem o wiele bardziej niż w obszarze IT. Warto podkreślić, że środowiska OT są często bardziej złożone i zintegrowane niż środowiska IT, co dodatkowo utrudnia proces odzyskiwania danych i przywracania normalnego funkcjonowania. Zastosowanie planów i procedur IT w środowisku OT, bez uwzględnienia jego specyfiki, może prowadzić do wydłużenia czasu przestoju.
Dodatkowo w OT dochodzą aspekty safety o zupełnie innym kontekście niż w IT. Dlatego do analizy powłamaniowej i aktualizacji zabezpieczeń potrzebne są zupełnie inne dane – i jest ich dużo mniej niż w przypadku IT. Dlatego wypełnianie tony dokumentów, tworzenie raportów i aktualizacja rejestru ryzyk po ataku, to czynności, które dodatkowo skonsumują czas automatyków nie dając realnych korzyści. Z drugiej strony firmy podlegające wymogom NIS2 muszą spełnić obowiązki wynikające z przepisów. Personalizacja jest tu kluczowa.
Potrzebujesz wsparcia prawnego?
Skontaktuj się z naszymi ekspertami już dziś, aby uzyskać spersonalizowane doradztwo i kompleksowo zabezpieczyć swoją produkcję! Chcesz zobaczyć w czym jeszcze możemy pomóc?
Chcesz dowiedzieć się więcej o skutecznym podejściu do tworzeniu systemów zarządzania bezpieczeństwem w środowisku OT?
Możesz zacząć od obejrzenia materiału o zabezpieczaniu nośników z ransomware i przyczynach, dla których firmy nie mają na to procedur.
