W 2022 roku liczba cyberataków na urządzenia zdalnego zarządzania infrastrukturą technik operacyjnych (OT) wzrosła z 20 do 120 milionów, w porównaniu z rokiem poprzednim. Statystyki pokazują, że postępujące w przemyśle łączenie infrastruktury OT i IT wymaga wprowadzenia mechanizmów ochronnych, i to tak samo zaawansowanych jak w przypadku każdego innego systemu IT. Liczba luk w zabezpieczeniach przemysłowych systemów sterowania (ICS) wzrosła o połowę w ciągu roku.
Branża produkcyjna jest szczególnie narażona na cyberzagrożenia, w tym ataki z wykorzystaniem oprogramowania ransomware i wykorzystywanie przez przestępców luk w infrastrukturze. Atak na systemy sterowania ICS może zatrzymać całe fabryki oraz spowodować znaczne straty finansowe. W 2022 roku aż 98% firm z branży energetycznej i obiektów użyteczności publicznej zadeklarowało wzrost poziomu cyberzagrożeń dla swojej działalności w ciągu ostatnich trzech lat.
Przez termostat do sieci
Szybki rozwój cyfryzacji w przemyśle spowodował, że różnego rodzaju urządzenia, od przełączników po skomplikowane systemy czy zasilanie gwarantowane (UPS), są połączone z siecią. Tradycyjne rozwiązania IT coraz częściej łączone są z systemami technik operacyjnych (OT), co zwiększa ryzyko i zakres potencjalnego cyberataku. W nowoczesnych obiektach przemysłowych systemy sterowania są często połączone z kluczowymi systemami informatycznymi, a nawet sieciami zewnętrznymi. W rezultacie są narażone na podobne ryzyko jak systemy IT. W ubiegłym roku niemal połowa (46%) cyberataków, które celowały w infrastrukturę technik operacyjnych, dotyczyła urządzeń do zdalnego zarządzania nią.
– Niezabezpieczone maszyny w fabrykach, elektrowniach czy oczyszczalniach ścieków coraz częściej stają się celem cyberprzestępców, którzy w ten sposób chcą dostać się do całego systemu – tłumaczy Mariusz Amroży, Product Manager w firmie Eaton. – Historia zna przypadki, w których do sieci włamano się przez termostat czy system klimatyzacji. Każde urządzenie połączone z siecią może być „bramką” dla przestępców, także systemy sterowania. Mogą oni na przykład wykorzystać niezmienione fabrycznie hasła, ustawione przez producenta.
Przemysł też potrzebuje ochrony
Wszystkie przemysłowe systemy sterowania wymagają kompleksowej ochrony – dotyczy to zarówno sprzętu, jak też oprogramowania używanego do monitorowania maszyn i sterowania nimi. Ochrona powinna jednak być inna niż w przypadku tradycyjnych systemów IT, w których polega ona głównie na kontroli dostępu i szyfrowaniu informacji. Cyberbezpieczeństwo systemów sterowania ICS koncentruje się na zapewnieniu dostępności zasobów, integralności procesów oraz ochronie pracowników i mienia.
– Przemysłowe systemy sterowania są projektowane tak, aby używać ich nawet przez 30 lat. Dla porównania sprzęt IT zachowuje sprawność od 3 do 5 lat. Dlatego ochrona systemów ICS musi uwzględniać zmiany w krajobrazie cyberzagrożeń. Rzadko są też wyposażone w mechanizmy aktualizacji, a wykorzystywane w nich protokoły zazwyczaj nie obsługują zaawansowanych funkcji bezpieczeństwa, takich jak szyfrowanie czy kontrola dostępu – wskazuje ekspert Eaton.
Kluczowe jest przeanalizowanie posiadanych zasobów pod kątem potencjalnych luk w zabezpieczeniach oraz podjęcie odpowiednich działań i wdrożenie rozwiązań ochronnych. Warto również kontrolować, kto może obsługiwać system ICS oraz szkolić operatorów tak, aby byli świadomi zagrożeń związanych z cyberatakami, a także konieczności stosowania środków bezpieczeństwa. Ochrona powinna być warstwowa, aby utrudnić przestępcom zadanie.
Zgodność z regulacjami to podstawa
Zabezpieczenie systemów OT oraz sterowania niesie dla firm wyzwania, także ze względu na regulacje, które muszą spełniać rozwiązania ochronne. Istotne jest, aby każdy system, który może łączyć się z siecią, posiadał odpowiednie certyfikaty bezpieczeństwa zgodne z międzynarodowymi normami, takimi jak IEC 62443-4-2 oraz UL 2900. Definiują one kryteria potrzebne do pomiaru i oceny zabezpieczeń produktów, stosowanych technologii oraz ryzyka związanego z cyberatakami.
Źródła:
Raport X-Force Threat Intelligence Index z 2021 roku
Microsoft Digital Defense Report 2022
OTORIO_2022 OT Cybersecurity Survey Report