SCADA, skrót od Supervisory Control and Data Acquisition, to system pozwalający na kontrolowanie, przechowywanie oraz ciągłą aktualizację danych w czasie rzeczywistym, włącznie z wglądem w faktyczny stan urządzeń produkcyjnych i wykonawczych.  SCADA są dziś wykorzystywane między innymi do administracji miejskimi wodociągami, synchronizacji sygnalizacji świetlnej, czy zarządzania infrastrukturą energetyczną. Coraz częściej również prywatni przedsiębiorcy decydują się na wprowadzenie rozwiązań SCADA, na przykład do administrowania sieciami pomieszczeń biurowych czy wspierania departamentu logistyki. Niestety, rozwój systemów kontroli przemysłowej nie jest równoznaczny ze wzrostem wiedzy na ich temat.

Rosnąca liczba ataków na systemy SCADA

Z opublikowanych w styczniu br. informacji Departamentu Bezpieczeństwa Krajowego USA wynika, że w ciągu ostatnich dwóch lat wzrosła liczba ataków wymierzonych w systemy SCADA. Zdaniem ekspertów z zespołu ICS-CERT, nadzorującego zagrożenia dla systemów kontroli przemysłowej, w 2012 r. najczęściej dotyczyły one sektora energetycznego (41% ataków, w tym 23 na firmy paliwowe). Cyberzagrożenia są jednak często niezależne od branży, a przy tym bardzo podobne do tych, na jakie narażone są sieci korporacyjne. Z tą jednak różnicą, że ich reperkusje są nierzadko znacznie poważniejsze, ze względu na złożoność administrowanych przez nie mechanizmów i danych.

Zagrożenie zainfekowaniem firmowych baz danych za pośrednictwem systemów SCADA jest coraz poważniejsze, a jego skutki mogą być równie dotkliwe, co konsekwencje ataków na infrastrukturę krytyczną. Jest to spowodowane dwojako rozumianą wszechobecnością firmowych systemów SCADA – zarówno powszechnością ich występowania, jak i mnogością zadań, które koordynują.

Mity na temat SCADA

W jaki sposób zatem sformułować odpowiednią politykę bezpieczeństwa dla systemów SCADA? Przede wszystkim należy wyjaśnić nieporozumienia, skutecznie blokujące wdrażanie właściwych zasad ochrony oprogramowania SCADA w przedsiębiorstwach.

Oto trzy najważniejsze mity, funkcjonujące w odniesieniu do tych systemów:

• SCADA i używane przez nie protokoły komunikacyjne są unikalne i mało znane, co ogranicza liczbę osób zdolnych do ich zaatakowania,
• SCADA są odporne na cyberataki, ponieważ funkcjonują w wyizolowanych środowiskach, niepołączonych z Internetem,
• cyberataki na systemy SCADA są mało atrakcyjne dla potencjalnych hakerów.

Wszystkie powyższe założenia są fałszywe i mogą prowadzić do bezpośredniego zagrożenia bezpieczeństwa sieci. Ataki na systemy SCADA, tak jak te wymierzone w sieci firmowe, mogą być dokonywane przez połączenie internetowe, sieć firmową, sieć VPN, luki w zabezpieczeniach, niezabezpieczone porty TCP lub UDP czy sieć Wi-Fi bez zabezpieczeń.

Jak się bronić?

Efektywnym rozwiązaniem, umożliwiającym zmniejszenie skali ataków na systemy automatyki przemysłowej i zminimalizowanie związanych z nimi zagrożeń jest segmentacja sieci. Jest ona jednak skuteczna jedynie wtedy, gdy towarzyszy jej odpowiedni poziom zabezpieczenia. Tradycyjne firmowe sieci już teraz korzystają z profitów, jakie zapewnia im segmentacja na aplikacje, użytkowników i zawartość, dzięki zastosowaniu firewalli nowej generacji (NGFW, Next Generation Firewall) – podobne korzyści mogą zacząć odnosić również sieci SCADA.

Wykorzystanie firewalla nowej generacji w zabezpieczeniu systemów SCADA rozszerza możliwości ich ochrony o:

• Budowanie specjalistycznych stref bezpieczeństwa „SCADA”, odizolowanych od reszty sieci zaporami nowej generacji,

• Dostęp do strefy SCADA może być uwierzytelniany przez użytkownika, nie przez adres IP i jest odmawiany nieautoryzowanym użytkownikom. Możliwość powiązania kwestii bezpieczeństwa z identyfikacją użytkownika pozwala również na sprawdzanie i raportowanie jego działalności wewnątrz systemu,

• Dostęp do aplikacji charakterystycznych dla SCADA może zostać w bezpieczny sposób odblokowany w oparciu o konkretne programy, nie porty. Eliminuje to zagrożenie związane z wieloma otwartymi portami. Dodatkowo, dostęp do aplikacji typu jak RDP czy Telnet może zostać ograniczony wyłącznie do wybranych użytkowników.

• System ochrony może być wykorzystany do kontroli całego ruchu przechodzącego przez strefę SCADA pod kątem exploitów, malware, botnetów i innych dedykowanych zagrożeń. Co więcej, firewall umożliwia ochronę najsłabszych punktów systemu SCADA, dzięki zdolności do stałej identyfikacji całości generowanego ruchu, na wszystkich portach, w tym do rozpoznawania zaszyfrowanych zagrożeń.

Dodatkowe zabezpieczenia, które powinny zostać wdrożone w celu uzupełnienia działania zapory nowej generacji w sieciach SCADA obejmują procesy organizacyjne, takie jak ustanowienie bieżących procedur zarządzania ryzykiem, okresowe przeglądy techniczne oraz cykliczne audyty bezpieczeństwa.

autor: Karl Driesen/wiceprezes Palo Alto Networks EMEA

1. Chciej wiedzieć więcej

Zdarza się, że podjęcie przez administratora IT złej decyzji w pozornie błahej sprawie dotyczącej konfiguracji określonej usługi może pociągnąć za sobą poważne konsekwencje w obszarze bezpieczeństwa. Dlatego zarządzanie środowiskiem nie powinno koncentrować się wyłącznie na kwestiach związanych z utrzymaniem systemu. Należy w równym stopniu obejmować analizą infrastrukturę pod kątem bezpieczeństwa stosowanych rozwiązań.

Często administratorzy rozliczani są z ciągłości działania systemu, rzadziej ze stanu zabezpieczeń. W natłoku bieżących zadań często nie mają czasu na zwrócenie uwagi, na jakiś dodatkowy checkbox, którego zaznaczenie wpływa na bezpieczeństwo systemu. Mimo wszystko zawsze dobrze jest wiedzieć więcej. Zwłaszcza, kiedy jest to kwestia jednego czy dwóch kliknięć. Brak świadomości zagrożeń może drogo kosztować, a sytuacje potencjalnego zagrożenia zdarzają się częściej, niż nam się wydaje. W systemach operacyjnych jest parę oczywistych problemów wynikających z architektury oraz z tego, jak działają. Pomimo trudności, które związane są z konkretnym systemem, możemy jednak tworzyć scenariusze potencjalnych zagrożeń, tym samym kreując rozwiązania problemów, jakie mogą się pojawić. Niestety w czasie moich pentestów, ciągle widzę, że popełniane są te same błędy. Ich powszechność sprawia, że w łatwy sposób mogą zostać wykorzystane przez osoby o złych intencjach.

2. Jeśli to możliwe, wyklucz użytkowników z łańcucha zaufania

Użytkownik zna wartość przetwarzanych przez niego informacji, nie musi natomiast wiedzieć, jakich technologii użyć, żeby te informacje zabezpieczyć. Dlatego też warto zastanowić się nad wdrożeniem technologii, która będzie pozwalała na zautomatyzowane wdrażanie zabezpieczeń. Użytkownik jest zawsze najsłabszym ogniwem, więc dlaczego w ogóle mielibyśmy na nim polegać? Ufajmy technologii, polegajmy na konkretnych rozwiązaniach. Przerzucanie odpowiedzialności za bezpieczeństwo danych na użytkowników ponosi za sobą konsekwencje.

3. Test penetracyjny infrastruktury prawdę Ci powie

Testy penetracyjne najczęściej zamawiają osoby odpowiedzialne w firmie za bezpieczeństwo IT, bądź samo IT. Są to osoby chcące sprawdzić, jaki jest w danej chwili poziom bezpieczeństwa ich infrastruktury. Zdarza się też, że sami administratorzy nie boją się weryfikacji swojej pracy i proszą o test. Dzięki temu mogą dowiedzieć się, jakie błędy popełniają i co mogą poprawić, by zwiększyć bezpieczeństwo zarządzanego systemu. Powodem, dla którego firmy decydują się na zlecenie przeprowadzenia takiego testu jest najczęściej chęć sprawdzenia, czy ich system jest bezpieczny. Taki test trwa najczęściej do tygodnia, chociaż w przypadku dużej infrastruktury może potrwać dłużej.

Tak na marginesie: 99 proc. prowadzonych przeze mnie testów penetracyjnych kończy się znalezieniem przeze mnie punktów wejścia do infrastruktury, czyli potencjalnej możliwości ataku.

4. Poświęć uwagę zależnościom między komponentami infrastruktury

Często architektura zostaje zbudowana bez poświęcenia dostatecznej uwagi zależnościom między komponentami infrastruktury. W wyniku zmiany w jednym elemencie systemu może zdarzyć się, że komunikacja z bazą danych może zostać samoczynnie zmieniona. Również komunikacja między użytkownikami, czy przesyłanie dokumentu może w wyniku nieuwagi adresata przesyłanego pliku, stać się sytuacją potencjalnie niebezpieczną. Mały błąd popełniony w jednym komponencie infrastruktury, może okazać się zagrożeniem dla bezpieczeństwa całego systemu.

5. Zwróć szczególną uwagę na usługi typu Web oraz inne wystawione do świata

Najbardziej narażoną usługą na atak jest usługa wystawiona do świata; często jest to po prostu strona internetowa. Powód jest prosty: ponieważ daje największe możliwości, jeśli chodzi o atak z zewnątrz. Dodatkowo większość firmowych stron internetowych nie przeszła żadnych testów bezpieczeństwa. To, czy atak się powiedzie, zależy od wielu czynników. Największy wpływ na to, czy ktoś włamie się do naszego systemu ma ilość możliwych punktów wejścia oraz ilość informacji jaką jesteśmy w stanie uzyskać będąc tylko zwykłym anonimowym użytkownikiem. Zagrożenia mogą pojawić się też wewnątrz, szczególnie jeśli mamy do czynienia z dużą organizacją, gdzie jest wielu użytkowników, a ich intencje bywają różne.

6. Nie obawiaj się szyfrowania danych

Niestety wiele firm obawia się ciągle szyfrowania. Sama obawa wynika z braku znajomości możliwości ‘recovery’. Niechęć do zastosowania nowego rozwiązania może natomiast wiązać się z kosztami wynikającymi ze zmiany. Ponadto administratorzy często mają nadmiar pracy, wtedy też bezpieczeństwo systemu ma dla nich niższy priorytet, niż wprowadzenie zmian usprawniających infrastrukturę. Prawidłowe podejście do kwestii bezpieczeństwa informacji w organizacji powinno jednak uwzględniać również aspekt szyfrowania wiadomości. Jest to jedna z możliwości technologicznych ograniczająca odpowiedzialność użytkowników za wyciekanie informacji.

autor: Paula Januszkiewicz

Według firmy Gartner w 2016 r. będzie to już 86 mld dolarów. Zdaniem ekspertów firmy doradczej Deloitte cyberprzestępczość należy traktować jako zjawisko zagrażające gospodarce, niszczące innowacje, a nawet negatywnie wpływające na wysokość PKB.

• Według raportu firmy Lloyd’s „Risk Index 2013” przedsiębiorcy na całym świecie bardziej ni cyberprzestępczości obawiają się jedynie wysokich podatków i utraty klientów. Jest to dla nich groźniejsze zjawisko niż chociażby inflacja, zbyt rygorystyczne regulacje prawne czy rosnące ceny materiałów produkcyjnych. Skąd taki wzrost?

Jak się okazuje najbardziej świadomi tego niebezpieczeństwa są przedsiębiorcy z Ameryki Północnej, którzy umieścili ryzyko związane z cyberatakami na drugim miejscu swojej listy priorytetów biznesowych. W Ameryce Łacińskiej znalazło się ono na miejscu czwartym, w Europie na szóstym, a w regionie Azji i Pacyfiku na ósmym. Jak bardzo zmieniła się sytuacja najlepiej pokazuje fakt, że jeszcze w 2011 r. USA były jedynym krajem, gdzie ryzyko związane z obecnością w sieci mieściło się na liście Top 5 priorytetów tamtejszych firm.

Przedsiębiorcy co prawda deklarują gotowość do walki z cyberprzestępcami, ale media niemal każdego dnia informują o udanych atakach hakerów na największe i najbardziej znane firmy na świecie. Nic więc dziwnego, że coraz większe pieniądze są wydawane na systemy ochrony danych. Według firmy analitycznej Gartner w ubiegłym roku na ten cel zostało przeznaczone na całym świecie 60 mld dolarów, a za trzy lata będzie to już o 26 mld więcej. Coraz większe są też straty firm, które doświadczają cyberataków. Jak pokazało opracowanie Ponemon Institute (przywoływane w swoim raporcie przez firmę Lloyd's), który przebadał 56 organizacji - średnie roczne straty z tego tytułu wyniosły 8,9 mln dolarów. Rekordzistę cyberatak kosztował aż 46 mln dolarów. Z roku na rok te koszty są coraz większe.

Dlatego przedsiębiorcy coraz częściej mówią też o wpływie cyberprzestępczości na całą gospodarkę. Stąd pojawiają się coraz liczniejsze głosy o potrzebie włączenia się decydentów w walkę z atakami w sieci i holistycznego podejścia do tego problemu. Zdaniem ekspertów Deloitte regulacje, jak choćby przyjęta 4 lipca br. przez Parlament Europejski propozycja nowej dyrektywy, mającej pomóc w zwalczaniu cyberprzestępczości, są godną zauważenia, choć niewystarczającą inicjatywą.^[3] Dostrzegalny jest brak spójności pomiędzy podejmowanymi na tym polu staraniami.

autor: Informacja prasowa