Jak chronić sieci przemysłowe przed cyberatakami?

Raport specjalny z wynikami badania CyberX

24-04-2018

Sieci przemysłowe są łatwym celem dla ataków hakerów. Wiele sieci przemysłowych ma wyjście do publicznego Internetu, a w wielu przypadkach brakuje im podstawowych zabezpieczeń, jak program antywirusowy, czy szyfrowane hasła.

Do tej pory panowało powszechne przekonanie, że sieci przemysłowe (ang. Operational Technology, OT), nie są zabezpieczone od wewnątrz, ale okazało się, że również nie są bezpieczne od zewnątrz. Gdy atakujący dostaną się do sieci OT, mogą stosunkowo łatwo się w niej poruszać. W pierwszej kolejności przeprowadzają rozpoznanie pracujących w niej urządzeń, następnie przygotowują atak, który je skutecznie unieruchomi. Średnio 28% urządzeń w każdym zakładzie produkcyjnym jest podatne na ataki.

Zaleceniem firmy CyberX jest osiągnięcie ogólnego wskaźnika bezpieczeństwa na poziomie 80%. Tymczasem w żadnej z poniższych branż nie przekroczył on 66%. Przed branżą przemysłową jest więc jeszcze długa droga do zapewnienia bezpieczeństwa sieci przemysłowych.

Procent zakładów przemysłowych zabezpieczonych przed cyberatakami w zależności od branży

Procent zakładów przemysłowych zabezpieczonych przed cyberatakami w zależności od branży

Najważniejsze wnioski z badania CyberX

Jedna trzecia zakładów przemysłowych jest podłączona do Internetu, co czyni je dostępnymi dla hakerów i złośliwego oprogramowania (malware) wykorzystującego luki i błędną konfigurację. Obala to mit, że sieci OT nie muszą być monitorowane i nie potrzebują uszczelniania, ponieważ są odizolowane od Internetu za pomocą fizycznej separacji pomiędzy sieciami (przemysłową i biurową).

W 3 na 4 zakładach przemysłowych pracują niewspierane systemy operacyjne Windows, takie XP i 2000. Firma Microsoft nie dostarcza już aktualizacji zabezpieczeń dla starszych systemów, stąd przedsiębiorstwa, które z nich korzystają, mogą łatwo zostać narażone na destrukcyjne złośliwe oprogramowanie, np. WannaCry / NotPetya, trojany, takie jak Black Energy i nowe formy oprogramowania ransomware.

Niemal 3 na 5 zakładów stosuje nieszyfrowane hasła w postaci zwykłego tekstu zezwalające na dostęp i przemieszczanie się w obrębie sieci OT. Hasła te mogą zostać łatwo przechwycone i odczytane przez intruzów na etapie rozpoznania, a następnie wykorzystane do włamania się do krytycznych urządzeń przemysłowych.

Połowa obiektów przemysłowych nie korzysta z żadnej ochrony antywirusowej. Firmy te zwiększają tym samym ryzyko cichego zainfekowania złośliwym oprogramowaniem, które przez długi czas może pozostawać w uśpieniu.

Prawie połowa firm ma przynajmniej jedno nieznane lub obce urządzenie, a 20% wyposażona jest w bezprzewodowe punkty dostępowe (WAP). Jedno i drugie może zostać wykorzystane przez atakujących jako punkty wejścia. Do bezprzewodowych urządzeń dostępowych często można się dostać dzięki ich niepoprawnej konfiguracji lub za pomocą luki KRACK

Średnio prawie jedna trzecia urządzeń (28%) w każdym z zakładów jest podatna. CyberX kwalifikuje urządzenie jako „podatne”, gdy jego wynik bezpieczeństwa jest mniejszy niż 70%. Jest on ustalany na podstawie oceny wszystkich odnalezionych luk w zabezpieczeniach urządzenia – takich jak przepełnienie bufora – oraz problemów z konfiguracją, takich jak otwarte porty.

82% obiektów przemysłowych korzysta z protokołów służących do zdalnego połączenia: RDP, VNC i SSH. Gdy sieć OT zostanie naruszona przez hakerów, mogą oni przejąć również zdalne połączenia i zacząć nimi manipulować.

Jak przeciwdziałać atakom hackerów?

Najprościej byłoby dokonać masowej modernizacji infrastruktury OT we wszystkich zakładach przemysłowych. To jednak wiązałoby się z kosztami rzędu milionów dolarów.

Aby uniknąć zagrożeń, zakłady przemysłowe powinny przede wszystkim opracować odpowiednią politykę bezpieczeństwa. Zgodnie z nią np. każdy element systemu (w tym osoba czy program) powinien mieć dostęp tylko do tych informacji i zasobów, które są niezbędne do spełnienia wyznaczonego mu zadania.

Igor Zbyryt, dyrektor ds. cyberbezpieczeństwa w przemyśle, ASTOR

Celem zmniejszenia ryzyka, na jakie jest narażona sieć OT w raporcie wymieniane są następujące zalecenia:

szkolenia dla personelu OT podnoszące świadomość bezpieczeństwa i przełamywanie barier między działami IT i OT;
rozwiązania techniczne, takie jak stosowanie alternatywnych metod bezpieczeństwa i wielowarstwowej ochrony,
ciągły monitoring nastawiony na wykrywanie anomalii i przewidywanie zagrożeń, co skutkuje działaniami mającymi na celu uszczelnianie luk w zabezpieczeniach.

Instytut SANS opisuje takie proaktywne podejście jako „Aktywną Cybernetyczną Obronę” (“Active Cyber Defense”), która jest ciągłym procesem monitorowania bezpieczeństwa, w celu identyfikowania i zwalczania zagrożeń.

Firma CyberX specjalizuje się w dostarczaniu rozwiązań z zakresu cyberbezpieczeństwa. Badaniem objętych zostało 375 sieci produkcyjnych w zakładach zlokalizowanych na terenie USA, Europy oraz w regionie Azji i Pacyfiku. Analiza ruchu w sieci trwała 18 miesięcy. Pełniejsze omówienie raportu dostępne jest na stronie Astor.com.pl.