Blog - BEZPIECZEŃŚTWO ICS: CZYM JEST I DLACZEGO STANOWI WYZWANIE DLA ORGANIZACJI pf electronic

Przemysłowe systemy sterowania (ICS) to specyficzne rodzaje aktywów i powiązanego z nimi oprzyrządowania, które pomagają nadzorować procesy przemysłowe. Według National Institute of Standards and Technology, istnieją trzy powszechne typy ICS. Są to systemy kontroli nadzorczej i pozyskiwania danych (SCADA), które pomagają organizacjom w kontrolowaniu rozproszonych aktywów; rozproszone systemy sterowania (DCS), które kontrolują systemy produkcyjne na obszarze lokalnym; oraz programowalne sterowniki logiczne (PLC), które umożliwiają dyskretne sterowanie aplikacjami za pomocą regulacji.

W tym charakterze, przemysłowe systemy sterowania są niezbędne do działania krytycznej infrastruktury narodowej (CNI), takiej jak sieci transportowe, oczyszczalnie ścieków i sieci energetyczne. Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) opisuje CNI jako "fizyczne i cybernetyczne systemy i aktywa, które są tak istotne dla Stanów Zjednoczonych, że ich niezdolność lub zniszczenie miałoby szkodliwy wpływ na nasze bezpieczeństwo fizyczne lub ekonomiczne, zdrowie lub bezpieczeństwo publiczne". Jako takie, CNI pomaga wspierać ogólne funkcjonowanie amerykańskiego społeczeństwa.

Dlaczego atakujący biorą je na cel?

Współtwórca State of Security jeszcze w 2016 roku napisał co następuje: "Jeśli te urządzenia ISC zostałyby skompromitowane, regularne usługi mogłyby zostać zakłócone, zastrzeżone dane mogłyby zostać utracone, a znaczne szkody mogłyby wystąpić".

To stwierdzenie rodzi pytanie: Dlaczego ktoś chciałby zakłócić pracę ICS? Niektórzy złośliwi sprawcy mogliby wykorzystać groźbę zakłócenia pracy ICS jako środek wymuszenia działań organizacji przemysłowej. Napastnicy ci mogą to zrobić w przekonaniu, że ofiara będzie bardziej skłonna do zapłacenia (i to szybko), aby uniknąć negatywnego wpływu na bezpieczeństwo narodowe lub zdrowie publiczne.

Weźmy jako przykład atak na Colonial Pipeline. Na początku maja firma Colonial Pipeline Company ogłosiła na swojej stronie internetowej, że wyłączyła kilka systemów, aby "opanować zagrożenie" spowodowane udaną infekcją ransomware. W wyniku tej decyzji wszystkie operacje rurociągów zostały tymczasowo wstrzymane, co doprowadziło do niedoborów gazu i panicznych zakupów na wschodnim wybrzeżu.

Podczas fazy odzyskiwania, Bloomberg poinformował, że Colonial Pipeline zapłacił okup w wysokości około 5 milionów dolarów cyfrowym przestępcom zaledwie kilka godzin po odkryciu ataku na swoje systemy. Departament Sprawiedliwości USA ostatecznie odzyskał 2,3 miliona dolarów z tej kwoty po użyciu klucza prywatnego do włamania się na adres portfela bitcoin. Do chwili pisania tego tekstu Colonial nie odzyskał jeszcze reszty wpłaconej kwoty.

Zakłócenia w pracy systemów ICS nie są przydatne tylko dla wyłudzaczy. Są one również przydatne dla podmiotów sponsorowanych przez państwo, zwłaszcza tych, które zamierzają zaatakować postrzeganego jako przeciwnika. W 2015 roku, na przykład, firma energetyczna w zachodniej Ukrainie zgłosiła awarię, która dotknęła stolicę regionu Iwano-Frankowsk. Późniejsze dochodzenie ujawniło, że nieznane podmioty wykorzystały złośliwe oprogramowanie BlackEnergy do zakłócenia działania niektórych systemów firmy.

Jak zauważyliśmy w momencie ataku, niektórzy podejrzewają, że Rosja stworzyła BlackEnergy i wykorzystała je do zaatakowania podmiotów na Ukrainie w ramach trwającego konfliktu międzypaństwowego.

Jednak nie każdy sprawca zagrożeń jest zainteresowany zakłócaniem pracy przemysłowych systemów kontroli. Inni mogą być zainteresowani przeprowadzeniem rekonesansu sieci przemysłowej danej organizacji i przekazaniem swoich ustaleń rządowi państwa przyjmującego. Jeszcze inni mogą zdecydować się na sprzedaż tych samych informacji konkurencyjnej organizacji, aby uzyskać przewagę biznesową. Są też tacy, którzy chcą po prostu sprzedać te dane w ciemnej sieci temu, kto da najwyższą ofertę.

Z czego składają się te ataki?

Wiele ataków na ICS wykorzystuje obecnie konwergencję środowisk technologii informatycznych (IT) i operacyjnych (OT) na swoją korzyść. W szczególności, złośliwi sprawcy liczą na to, że organizacje połączą swoje zasoby OT z czujnikami bezprzewodowymi i innymi systemami IT. Powstałe w ten sposób połączenie procesów, oprogramowania, danych i urządzeń fizycznych może pomóc organizacjom w optymalizacji ich przemysłowych przepływów pracy w ramach trwających transformacji cyfrowych. Ale pomaga to również rozszerzyć powierzchnię ataku przemysłowego poprzez tworzenie nowych wektorów, za pomocą których osoby niepowołane mogą uzyskać dostęp do ICS.

Rzeczywiście, społeczność bezpieczeństwa była świadkiem, jak ktoś nadużył konwergencji IT-OT na swoją korzyść w cyfrowym ataku na miasto Oldsmar na Florydzie. Incydent ten rozpoczął się, gdy operator stacji uzdatniania wody w mieście zauważył, że ktoś kontroluje jego kursor myszy. Następnie był świadkiem, jak kursor myszy zmienił ustawienie wodorotlenku sodu w wodzie ze 100 części na milion (ppm) na 11 100 ppm - potencjalnie niebezpieczny poziom.

Szeryf hrabstwa Pinellas rozpoczął dochodzenie w sprawie ataku. W trakcie tego procesu dowiedzieli się, że ktoś najwyraźniej naruszył i nadużył konta TeamViewer w oczyszczalni ścieków. W zakładzie zainstalowano to oprogramowanie, aby umożliwić kierownikom zdalne połączenie i rozwiązywanie problemów w razie potrzeby.

Śledczy zagłębili się w sprawę ataku i dowiedzieli się, że jeden z wykonawców usług wodociągowych na Florydzie umieszczał na swojej stronie internetowej złośliwy kod, którego celem były przedsiębiorstwa wodociągowe, donosi Security Week. Ktoś w mieście Oldsmar odwiedził tę stronę tego samego dnia, co nieautoryzowany dostęp, co doprowadziło do tego, że gmina padła ofiarą tak zwanego ataku typu "watering hole".

Jaki jest stan tych ataków?

Ataki na ICS są coraz częstsze. Jak niedawno informowaliśmy, badacze odkryli, że ataki cyfrowe wymierzone w zasoby ICS i OT organizacji wzrosły o ponad 2000% w latach 2018-2020. Wiele z nich obejmowało wysiłki złośliwych sprawców mające na celu wykorzystanie podatności wpływających na aktywa SCADA. Obejmowały one również wysiłki mające na celu przeprowadzenie ataków polegających na rozpylaniu haseł za pomocą technik logowania brute force.

Ataki typu ransomware na ICS organizacji są szczególnie rozpowszechnione. Stanowiły one 23% incydentów bezpieczeństwa w sektorze przemysłowym w 2020 roku. Jak zauważa Industrial Cyber, luki w zabezpieczeniach ICS były również o 49% bardziej powszechne w 2020 roku niż rok wcześniej.

Dlaczego ICS są trudne do zabezpieczenia?

Starsze systemy utrudniają organizacjom zabezpieczenie ich systemów ICS. Ma to związek z tym, że środowiska IT i OT mają różne priorytety w zakresie bezpieczeństwa, jeśli chodzi o triadę CIA. Na przykład IT ceni sobie przede wszystkim poufność, natomiast środowiska OT zwracają uwagę na coś innego. Dla specjalistów OT najważniejsza jest dostępność (i bezpieczeństwo), ponieważ wyłączenie niektórych systemów może spowodować nieprawidłowe działanie innych w sposób zagrażający życiu zwykłych ludzi. W środowiskach OT, czas sprawności i jego brak mają konsekwencje w świecie rzeczywistym. W związku z tym środowiska OT interesują się integralnością i poufnością dopiero po zapewnieniu dostępności.

Jeśli ich głównym celem jest zapewnienie dostępności swoich zasobów OT, wiele organizacji nie jest zainteresowanych czasowym wyłączeniem swoich zasobów w celu aktualizacji i/lub ich wymianą. Dlatego organizacje przemysłowe korzystają z tych samych systemów ICS przez lata, jeśli nie dziesięciolecia. Te starsze systemy nie posiadają poprawek bezpieczeństwa, a zatem nie są przygotowane do radzenia sobie z zagrożeniami bezpieczeństwa IT we współczesnym świecie.

Jest to niepokojące, biorąc pod uwagę brak widoczności sieci przez organizacje. Wiele organizacji przemysłowych po prostu nie dysponuje technologiami niezbędnymi do uzyskania widoczności swoich sieci. W rezultacie nie zawsze wiedzą, co należy chronić i co dzieje się w ich systemach, co minimalizuje ich zdolność do ochrony swoich zasobów.

Co organizacje mogą zrobić w odpowiedzi?

Organizacje przemysłowe mogą chronić swoje systemy ICS poprzez skupienie się na podstawach bezpieczeństwa. Jednym ze sposobów, w jaki mogą to zrobić jest inwestycja w rozwiązanie bezpieczeństwa, które umożliwia im odkrywanie i profilowanie wszystkich aktywów przemysłowych, monitorowanie stanu sieci i systemów, zabezpieczanie tych aktywów przed zakłóceniami w pracy zakładu oraz przeprowadzanie szczegółowej oceny podatności na zagrożenia w celu bieżącej oceny bezpieczeństwa cybernetycznego ICS.

Autor: DAVID BISSON

#bezpieczenstwo sieci

Komentarze do wpisu (0)

Wersje językowe

Wybierz język

Kategorie blog

Ethernet przemysłowy (116)
Bezpieczeństwo sieci (83)
Nowości produktowe (74)
Materiały instruktażowe (141)
Nowe rozwiązania (68)
Aplikacje | sensoryka przemysłowa | ipf electronic (13)
Nowości produktowe | złącza i koncentratory | lumberg automation (25)
Nowości produktowe | sieci przemysłowe | advantech (36)
Bezpieczeństwo sieci przemysłowych (10)

Newsletter

Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.

do góry