Provocările securităţii cibernetice în mediul industrial

Tendinte (de , July 14, 2017)

autor: Cristi Potlog

În ziua de astăzi, procesele industriale, fie că vorbim de producţia şi distribuţia de energie şi apă, de infrastructura de transport rutier, feroviar, aerian sau naval, au devenit tot mai dependente de soluţii de automatizare, monitorizare şi control. Acestea sunt tot mai interconectate pentru a oferi utilizatorilor finali informaţii complexe pe baza utilizării sistemelor informatice şi reţelelor de comunicaţii, profitând din plin de imensa putere oferită de calculatoare şi de tehnologiile bazate pe microprocesor. Avansul tehnologic a oferit capabilităţi excelente de control şi analiză, aducând beneficii importante din punct de vedere al exploatării şi mentenanţei. În acelaşi timp, însă, el a expus sistemele de control industrial la noi vulnerabilităţi, care depășesc problemele tradiţionale de asigurare a securităţii fizice de acces la echipamente şi instalaţii, intrând în domeniul securităţii cibernetice.

Un atac cibernetic asupra sistemelor de calculatoare dintr-un centru de comandă şi control (dispecerat zonal/teritorial), ar putea genera operaţiuni de comutare nedorite, care să conducă la întreruperi de energie electrică pe scară largă., aşa cum s-a întâmplat în 2015 în Ucraina (vezi cazul BlackEnergy). Un alt scenariu de atac cibernetic vizează pătrunderea în staţiile de transformare a personalului neautorizat şi modificarea setărilor releelor de protecţie. Urmările sunt aceleași acţiuni de comutare nedorite.

În consecinţă, există o cerere crescândă de a aborda această problematică într-un mod cuprinzător şi sistematic şi de a oferi soluţii concrete de protecţie şi prevenţie a ameninţilor cibernetice.

Un aspect important al securităţii informatice pentru protecţia infrastructurilor critice se concentrează pe înţelegerea şi conştientizarea ameninţărilor reale şi vulnerabilităţilor existente în arhitecturile moderne ale sistemelor de automatizare, monitorizare şi control folosite în procesele industriale. Aceste probleme afectează atât Sistemele de Control al Distribuţiei (DCS – Distribution Control Systems), cât şi Sistemele de Monitorizare, Control şi Achiziţii de Date (SCADA – Supervisory Control And Data Acquisition) implicate în majoritatea mediilor industriale, şi impactează nu doar infrastructura IT comună, cum ar fi calculatoare Windows sau echipamente de reţea (switch-uri, router-e şi firewall-uri), dar şi echipamentele dedicate încorporate (embedded), cum ar fi unităţile logice de control programabile (PLC – Programmable Logic Controller), unităţile terminale comandate la distanţă (RTU – Remote Terminal Unit), interfeţele om-maşină (HMI – Human Machine Interface), panourile de control sau sistemele auxiliare.

Sistemele SCADA/DCS reprezintă ansambluri complexe de echipamente de măsură şi control folosite pentru monitorizarea sau controlul proceselor chimice, fizice sau de transport. Cea mai mare parte a operaţiunilor se execută automat de către RTU-uri sau PLC-uri. Funcţiile de control ale centrului de comandă sunt de cele mai multe ori restrânse la funcţii decizionale sau funcţii de administrare generală. Un aspect foarte important este realizarea segmentării fizice şi logice a reţelelor de proces, de control şi a reţelei operaţionale. Astfel se împiedică accesul necontrolat din zona operaţională în cea de proces, limitând efectele pe care le-ar putea avea un calculator operaţional infectat (de exemplu la contabilitate) asupra echipamentelor de proces industrial, dar şi la nivel geografic, limitând astfel efectele unei breşe la o zonă cât mai redusă.

Diagrama următoare prezintă schematic un scenariu de atac obişnuit asupra unei infrastructuri industriale ipotetice, în care un atacator poate penetra reţeaua incorect/insuficient segmentantă ajungând până în centrul de control al operaţiunilor prin intermediul unei unităţi terminale comandate la distanţă (RTU) compromise.

 

 

 

 

 

1 – Scenariu de atac cibernetic

În acest context, securitatea cibernetică pentru sisteme de automatizare şi control a devenit o problemă ce trebuie să ne preocupe din ce in ce mai mult, mai ales în sectorul energetic, un sector strategic pentru orice economie. Specialiști români în domeniul securităţii cibernertice şi auditării sistemelor informatice, în colaborare cu parteneri internaţionali cu experienţă vastă în domeniu, oferă o gamă complexă de servicii dedicate protecţiei şi prevenţiei ameninţărilor cibernetice asupra echipamentelor şi reţelelor industriale.

Soluţia propusă de SIVECO în parteneriat cu Leonardo (din Italia) și SecurityMatters (din Olanda) prevede servicii de evaluare a securităţii cibernetice ce permit identificarea problemelor de securitate existente în reţeaua beneficiarului, probleme care dacă nu ar fi descoperite la timp ar putea conduce la blocarea proceselor sau chiar întreruperea parţială sau totală a funcţionării sistemului. Evaluarea oferă o imagine clară asupra atacurilor la care era supusă zilnic reţeaua, dar şi la potenţiale probleme, evidenţiind măsuri de remediere. Un factor important al soluţiei de securitate cibernetică promovate este asigurarea protecţiei întregii infrastructuri IT a beneficiarului fără a îngreuna sau încetini funcţionarea aplicaţiilor şi echipamentelor existente.

 

 

 

 

 

 

2 – Soluţia de protecţie şi prevenire a ameninţărilor cibernetice

O concluzie se desprinde de la sine: securitatea cibernetică este o „problemă a tuturor“: furnizori, distribuitori, utilizatorii finali.

Sistemele industriale trebuie pregătite pentru a se proteja de aceste ameninţări şi să ia în considerare diferiţii adversari, cum ar fi hackeri, terorişti cibernetici, angajaţii nemulţumiţi, neglijenţi sau slab pregătiţi. Vigilența, cooperarea și expertiza tehnice, aplicate la unison, oferă cea mai bună apărare.

De reţinut că, potrivit Kaspersky, ameninţarea cibernetică, deşi reprezintă cea mai importantă cauză din totalul de ameninţări asupra sistemelor SCADA/DCS, este totuşi depăşită ca pondere de celelalte cauze.

Adevăratul pericol provine din cauze ce pot fi prevenite cu uşurinţă, cum ar fi gestiunea neglijentă a accesului la resurse sensibile (local sau la distanţă), configurarea greşită sau insucifientă a echipamentelor, aplicaţii software care conţin erori de securitate (zero-days, exploits) sau actualizări software care introduc noi vulnerabilități.


Tags: , ,

Trackbacks

Leave a Trackback