W czasach, gdy cyberprzestępcy z łatwością mogą wykorzystać pojedyncze, podatne urządzenie do ataku na kluczowe procesy całej firmy, ignorowanie bezpieczeństwa teleinformatycznego to zbyt kosztowne ryzyko. Laboratorium EY, wyposażone w systemy testowania automatyki przemysłowej, dostarczane przez takie organizacje jak Politechnika Krakowska i ABB pokazuje, jak skutecznie zabezpieczać firmowe systemy elektroenergetyczne przed cyberatakami.
Choć wygląda na niepozorną szafę instalacyjną, opracowany przez Politechniką Krakowską przy współpracy z firmą ABB, zestaw prototypowy kryje w sobie potężne możliwości. Może symulować pole niskiego i średniego napięcia, a także realizować w praktyce różne scenariusze ataków hakerskich na poszczególne urządzenia, które w systemach zasilająco-sterujących są niczym kostki domina. Jednak głównym przeznaczeniem tej instalacji jest uświadamianie menedżerów i operatorów czym w istocie są cyberzagrożenia. Taka wiedza może w przyszłości uchronić całe biznesy – szczególnie te w branży przemysłowej – przed wielomilionowymi stratami.
Instalacja znajduje się w laboratorium w warszawskiej siedzibie jednej z największych firm doradczych na świecie – EY. Ideą projektu jest stworzenie przestrzeni szkoleniowej dla osób decyzyjnych w dużych przedsiębiorstwach, w której będzie można zobaczyć, jak powinien działać bezpieczny system zasilania czy sterowania procesem – a także poznać podstawowe dobre praktyki i skutki ich nieprzestrzegania. To ukazanie Przemysłu 4.0 od strony zabezpieczeń, standardów komunikacyjnych i zapobiegania incydentom.
W efekcie pracownicy z różnych sektorów przemysłu mogą przekonać się w praktyce, że nawet drobne błędy w infrastrukturze systemu elektroenergetycznego to prosta droga do poważnych, destabilizujących działalność cyberataków – niczym przewrócenie pierwszego klocka w całym układzie domina.
W warunkach kontrolowanych
– Kluczowa dla dostarczenia klientom wartości z użyciem laboratorium jest możliwość odtwarzania rzeczywistych środowisk w stopniu, w którym zarówno przeprowadzający testy (etyczni hakerzy), jak i operator środowiska uznają za dostatecznie reprezentatywny. W dzisiejszych warunkach, gdzie sieci firm przemysłowych łączą w sobie wiele różnych technologii, takich jak korporacyjne systemy IT, systemy automatyki przemysłowej, urządzenia internetu rzeczy czy chmura, wymaga to ciągłych inwestycji i współpracy z producentami oraz środowiskami naukowymi – mówi Leszek Mróz, Partner EY odpowiedzialny za usługi bezpieczeństwa dla przemysłu.
Na potrzeby tego projektu, w laboratorium Politechniki Krakowskiej stworzono prototyp szafy wyposażonej w szeroki wachlarz aparatury niskich i średnich napięć firmy ABB, m.in. zabezpieczenie polowe z funkcjami sterowania, wyłącznik z funkcjami zarządzania energią czy też moduły cyfrowe niskiego napięcia do monitorowania i kontroli instalacji elektrycznej, dostosowane do najwyższych standardów bezpieczeństwa. Urządzenia odgrywają ważną rolę w systemie elektroenergetycznym zakładów i nieruchomości komercyjnych.
Goście laboratorium będą mogli zobaczyć, co się wydarzy, jeśli np. osoba niepowołana zyska w danym obiekcie dostęp do określonych elementów systemu albo gdy założenia podstawowe całego systemu zostaną źle skonfigurowane. Możliwa będzie również symulacja braku tzw. funkcjonalności redundantnej, czyli sytuacji, w której dane urządzenie nie będzie zabezpieczone drugim. A to wszystko w bezpiecznych, kontrolowanych warunkach, w których błąd nic nie kosztuje.
Instalację można stale rozbudowywać, tworząc na przykład dualny system na wzór rozwiązań działających w stacjach elektroenergetycznych. Podobny układ powstał już na Politechnice Krakowskiej. Inną możliwością, braną już pod uwagę przez naukowców, jest podłączenie dodatkowego urządzenia, które w normalnych warunkach mogłoby zakłócić sygnał GSM (przy pomocy tego sygnału synchronizowana jest np. aparatura stacji energetycznych).
Budować świadomość
Nowoczesny przemysł i inteligentne budynki komercyjne są w coraz większym stopniu zdigitalizowane i zautomatyzowane. Niestety, obok ogromnych korzyści, stwarza to też szereg zagrożeń. Cyfrowe urządzenia sterujące, połączone ze sobą bazy danych czy też mniej lub bardziej zaawansowane sensory i sterowniki są narażone na cyberataki. Wielu przedstawicieli wyższego kierownictwa wskazuje na niską świadomość cyberzagrożeń wśród pracowników lub na ogólny brak zainteresowania kwestią ochrony danych i systemów. To pokazuje, że minimalizowanie cyfrowych niebezpieczeństw w biznesach warto zacząć od praktycznej edukacji i testów na żywym organizmie.
– Na skutek dynamicznej cyfryzacji, systemy wykorzystywane w nowoczesnych fabrykach czy energetyce są coraz bardziej złożone, a jednocześnie w coraz większym stopniu skomunikowane. W przypadku menedżerów istotne jest to, aby zrozumieć, dlaczego należy aktywnie działać w zakresie zabezpieczenia tych systemów. W ten sposób decydenci będą mogli budować przedsiębiorstwo bardziej odporne na cyberataki – mówi mgr inż. Łukasz Sołtysek, kierownik projektu z Politechniki Krakowskiej.
– Menedżerowie i operatorzy pracujący na co dzień w rzeczywistości Przemysłu 4.0 nie muszą być ekspertami w zakresie cyberbezpieczeństwa, ale powinni znać jego podstawy i rozumieć konsekwencje zagrożeń – dodaje Radosław Dudzik, odpowiedzialny za rozwiązania cyfrowe w biznesie Elektryfikacji ABB w Polsce. – Nie chodzi o to, aby przekazywać tu kompleksową wiedzę, lecz aby budować ogólną świadomość. Prototyp dostarczonego rozwiązania ma realizować ten cel w sposób empiryczny.
Raporty producentów rozwiązań bezpieczeństwa wykazują wzrost liczby wykrywanego złośliwego oprogramowania na komputerach sterujących systemami przemysłowymi. Najczęściej atakowane przez cyberprzestępców branże w Europie to produkcja, usługi biznesowe, finansowe i konsumenckie oraz energetyka. Luki w bezpieczeństwie systemów IT i OT mogą prowadzić do paraliżu produkcji, strat finansowych i reputacyjnych, a nawet destabilizacji łańcuchów dostaw. Cyberataki na dużą skalę mogą w sposób bezpośredni wpływać na bezpieczeństwo całych państw.