Architektura cyberbezpieczeństwa dla robotyki i linii produkcyjnych

Krzysztof Czuba
Bergman Engineering

Dawid Bałut
TestArmy CyberForces

W świecie, w którym robotyzacja postępuje w coraz większym tempie, a każdego roku oczekujemy, że technologia pomoże nam wnieść cywilizację na jeszcze wyższy poziom, łatwo zatracić się w fantastycznych wizjach snutych przez orędowników robotyzacji i automatyzacji wszelkich procesów wytwórczych. Niestety, wraz z rozwojem technologii oraz innowacyjności spotykamy się z nowymi, zaskakującymi wyzwaniami dotyczącymi bezpieczeństwa.

Robotyka w większości firm jest już teraz mocno kontrolowana pod kątem bezpieczeństwa pracy, by upewnić się, że pracownicy znajdujący się w rejonie działania maszyn nie są wystawieni na szkodliwe dla zdrowia czynniki, oraz że cała linia produkcyjna jest przystosowana do współpracy z ludźmi. Zanim maszyny całkowicie przejmą proces wytwórczy minie jeszcze sporo czasu, więc odpowiednio egzekwowane zasady BHP są czymś oczywistym i niezbędnym do synergii człowieka z maszyną.

Jednak nie jest to jedyny rodzaj bezpieczeństwa, o którym trzeba myśleć. W świecie technologii spotykamy się już z nowym typem zagrożeń - cyberatakami. Głównym zamierzeniem cyberataków jest szkodliwie wpłynąć na proces technologiczny oraz biznesowy celu ataku. Mowa tutaj o atakach mających za zadanie odłączyć infrastrukturę od sieci i wygenerować straty; o atakach infekujących roboty linii produkcyjnej, które zachowując się w sposób niepożądany wyrządzają szkody na linii produkcyjnej; o atakach infekcji infrastruktury, przy których atakujący spowalniają funkcjonowanie systemów przez używanie zasobów systemowych do własnych celów, na przykład przeprowadzania dalszych ataków, kopania kryptowalut, bądź do rozprzestrzenienia złośliwego oprogramowania typu ransomware, kompletnie unieruchamiającego infrastrukturę pod rygorem zapłaty okupu. Nie są nam również obce ataki na procesy technologiczne odpowiedzialne za wytwarzanie robotów czy wytwarzanie produktów, które są dystrybuowane poza fabrykę, np. do punktów sprzedaży. Gdy zainfekowany zostanie serwer, na którym przechowywany jest kod produktu, może on zostać podmieniony, na taki który zawiera backdoory dające hakerom (zarówno prywatnym, zorganizowanym jednostkom, jak i organizacjom wywiadu innych krajów) dostęp do tysięcy punktów sprzedaży korzystających z danego oprogramowania.

Przykłady ataków na IoT

Liczba urządzeń należących do Internet of Things (IoT), czyli Internetu Rzeczy jest ogromna i stale rośnie. Prognozuje się, że w ciągu około roku, jej wartość osiągnie aż 50 miliardów. Spora część oprogramowania wbudowanego w te urządzenia jest dawno nieaktualizowana i pełna podatności, o których powszechnie wiadomo, a i tak pozostaje w stałym użytkowaniu, narażając całe systemy i wielkie ilości wrażliwych danych na niepotrzebne ryzyko.

Największy w historii atak DDoS wyłączył gigantyczny obszar światowego Internetu w październiku 2016 r. Przeciążenie serwerów firmy Dyn, która odpowiada za sporą część systemu DNS uniemożliwiło dostęp do wielu popularnych serwisów i usług, w tym Twittera, Netflixa, Reddita, CNN, The Guardian i setek innych, zarówno w USA, jak i Europie. Co ciekawe, nie zawiniły tutaj zabezpieczenia Dyn, ale właśnie miliony urządzeń IoT. Złośliwy program Mirai, korzystając ze słownika haseł (w większości przypadków wystarczyło domyślne hasło ustawione przez producenta), potrafi przejąć kontrolę nad urządzeniami opartymi o system Linux, a potem wykorzystać je do celów hakera, który kontroluje cały tzw. Botnet, czyli armię urządzeń-zombie, zainfekowanych wirusem i czekających na rozkazy. W przypadku ataku na Dyn, wykorzystano zsumowaną siłę aż 1,2 miliona takich maszyn i linia obrony była bez szans. Wystarczyłoby jednak, aby użytkownicy używali silniejszych haseł, a do ataku by nie doszło.

1,4 miliona samochodów Jeep okazała się podatnych na atak umożliwiający całkowite przejęcie kontroli nad pojazdem, w tym dodawanie gazu, odłączenie hamulców i zdalne kierowanie samochodem. Wystarczyła jedna luka w systemie zabezpieczeń, aby zmusić Chryslera do przeprowadzenia gigantycznej akcji serwisowej. Całe szczęście producent zareagował w porę i na poważnie potraktował odkrycie dwóch etycznych hackerów, Charliergo Millera i Chrisa Valaska, którzy zademonstrowali przebieg ataku na komputer pokładowy Uconnect portalowi Wired.

Hakerzy regularnie włamują się do systemów komputerowych amerykańskich systemów energetycznych, w tym elektrowni atomowych. W ciągu 4 lat, pomiędzy rokiem 2010, a 2014, hakerom udało się zinfiltrować komputery Departamentu Energetyki ponad 150 razy, a są to jedynie liczby z oficjalnych danych z dokumentów opublikowanych przez gazetę USA Today. Powołując się na przepisy o jawności informacji, dziennikarze dotarli do dokumentów, które opisywały w tym okresie aż 1131 prób ataków, z których powiodło się dokładnie 159. Rządowe raporty sugerują, że większość hakerów odpowiedzialnych za włamania pochodzi z Rosji, Chin i Iranu. Nie wiadomo do jakich danych udało im się uzyskać dostęp, ale mogą to być nawet krytyczne informacje o składowaniu materiałów promieniotwórczych na terenie USA.

 

Główne korzyści z inwestycji w architekturę cyberbezpieczeństwa

Inwestycje w architekturę cyberbezpieczeństwa, czyli stworzenie ram bezpieczeństwa dla każdego procesu inżynieryjnego oraz procesy egzekwujące te wymagania pomagają firmom na całym świecie zmniejszać koszty oraz minimalizować straty wygenerowane przez pomyślnie przeprowadzone cyberataki. Właściwym pytaniem nie jest: czy moja organizacja zostanie zaatakowana. Specjaliści od spraw bezpieczeństwa pytają raczej: kiedy nastąpi atak. Wraz z nowymi możliwościami monetyzacji udanych włamań, tych ataków jest coraz więcej. Podobnie z armią osób trudniących się hackingiem - rośnie ona w zatrważającym tempie, bo i coraz niższy jest próg wejścia na ścieżkę przestępczego życia (wiele firm kompletnie nie jest przygotowana na jakiekolwiek sieciowe zagrożenia, a możliwości zaszkodzenia im w stosunkowo prosty sposób, nawet przy pomocy gotowych już narzędzi, jest coraz więcej). W przypadku wielu przedsiębiorstw jedyną strategią obrony jest nadzieja, że kogoś tak małego nikt nie zechce zaatakować i kompletne ignorowanie problemu. Niestety jednak, kompletnie nic co podłączone do sieci nie może się ukryć przed czujnym wzrokiem botów skanujących cały zakres IPv4 i bez wytchnienia prowadzących zautomatyzowane ataki na wykrytą infrastrukturę. Próba pozostania w cieniu i nie wychylanie się nie jest również dobrą decyzją biznesową, bo takie podejście mocno ogranicza skalę działalności firmy. Zdecydowanie rozsądniej jest zainwestować w kompleksowy program cyberbezpieczeństwa, niż ograniczać sobie szeroki rynek potencjalnych klientów, którzy sami mogą zechcieć zweryfikować poziom bezpieczeństwa produktów których zakup rozważają.

Konkurencyjność na polu niezawodności usług oraz cyberbezpieczeństwa

Bezpieczeństwo produktów i usług staje się powoli, ale nieubłaganie coraz bardziej atrakcyjnym materiałem dla marketingowców i sprzedawców. Wraz z rosnącą świadomością zagrożeń płynących z niedopracowania technologii, w szczególności w świecie biznesu, firmy mogą wykorzystywać swój wysoki poziom bezpieczeństwa jako argument w trakcie negocjacji z klientami rozważającymi produkty konkurencji. W ten sposób tworzymy zdrowy ekosystem, w którym konkurencyjność pochodzi z troski o rzeczy istotne, a koncentracja na  cyberbezpieczeństwie niewątpliwie taka jest. Powstaje tutaj swoista pozytywna spirala usprawnień globalnych, w której każda kolejna organizacja, zakładając że konkuruje się już nawet na płaszczyźnie bezpieczeństwa, musi już nie tylko włożyć w nie maksimum wysiłku, ale starać się wychodzić naprzód z innowacyjnymi rozwiązaniami na najwyższym możliwym poziomie.

Warto więc zadać sobie pytanie, jak można poprawić poziom bezpieczeństwa, aby nie dać się zrujnować przez cyberprzestępców, a przy tym by implementacja nowych procesów bezpieczeństwa nie stała się zbyt kosztowna.

Możemy ograniczyć chaos, jeśli skupimy się na samym źródle problemu, czyli niezabezpieczonych procesach produkcyjnych w wielu przedsiębiorstwach oraz tworząc strategiczne partnerstwa w zakresie cyberbezpieczeństwa branży OT i IoT. Tego typu partnerstwa już istnieją w krajach o wysokim poziomie zaawansowania technologicznego. Biorąc pod uwagę zasoby, jakie mają do dyspozycji kraje, takie jak Stany Zjednoczone czy Chiny, łatwo zauważyć, iż w pojedynkę ciężko jest mierzyć się z tak ogromną infrastrukturą. Natomiast łącząc siły i tworząc partnerstwa strategiczne możemy ograniczyć czas marnowany na wynajdywanie koła na nowo i uruchamiać think tanki, które będą w stanie sprostać wysokim wymaganiom stawianym przez globalną konkurencję. Doświadczenie pokazuje, że firmy które połączyły swoje siły dzieląc się przynajmniej szczątkowymi informacjami dotyczącymi wykrywania włamań oraz ochrony, odniosły sukces w postaci zwiększenia poziomu innowacyjności.

Pytania ochronne

Na koniec przedstawiamy zestaw pytań, na które warto sobie odpowiedzieć, a odpowiedzi przedyskutować z kluczowymi osobami w firmie. Ułatwi to zainicjowanie dyskusji na temat brakujących procesów bezpieczeństwa.

  • Czy już od pierwszego cyklu produkcyjnego mamy wdrożone procesy bezpieczeństwa weryfikujące zgodność z wewnętrznymi standardami?
  • Czy posiadamy wewnętrzną checklistę służącą każdemu jako materiał referencyjny, dzięki czemu każdy pracownik kluczowy wie jakie obowiązki należą do jego departamentu?
  • Czy to urządzenie pracuje w środowisku, które powinno być zabezpieczone i czy nasze urządzenie może zostać wykorzystane jako koń trojański np. infekujące sieć lokalną punktów sprzedaży wykorzystujących nasze urządzenia?
  • Czy to urządzenie zostało odpowiednio odizolowane od infrastruktury przechowującej dane wrażliwe?
  • Czy dane wrażliwe przechowywane na urządzeniu są chronione metodami, takimi jak minimalizacja agregacji danych, szyfrowanie czy anonimizacja danych?
  • Czy to urządzenie ma możliwość wyrządzenia namacalnych szkód finansowych, gdy zacznie wykonywać niespodziewane ruchy fizyczne, np. upuszczenie samochodu na linię produkcyjną?
  • Czy urządzenia mają fizyczne zabezpieczenia na wypadek sytuacji, w której atakujący są w stanie wstrzyknąć złośliwy kod w program zarządzający robotem oraz wykonać nim ruchy potencjalnie niebezpieczne dla pracowników/linii produkcyjnej?

Podczas rozważania kwestii cyberbezpieczeństwa musimy zawsze pamiętać o tworzeniu systemu jak najbardziej innowacyjnego, ale też trzeba cały czas mieć przed oczami najczarniejszy możliwy scenariusz. Mądrze zarządzane firmy starają się eliminować czynnik losowy i przygotowywać się na ten właśnie najgorszy scenariusz. Nie pozwalajmy by kwestie cyberbezpieczeństwa, a w zasadzie brak przykładania uwagi do tematu spowalniały innowacyjność i powstawanie wszystkich fantastycznych rzeczy tworzonych przez firmy z branż IoT i OT. Nikt z nas nie chce, żeby lata pracy oraz setki milionów złotych poszły na marne przez cyberataki kompletnie rujnujące nasz dorobek. Dlatego warto nabrać zdrowych nawyków jak najwcześniej i uchronić się przed bólem głowy w przyszłości.

Zaufanie kontrahentów jest w tej branży wszystkim, bo każdy element fabryki jest bardzo wartościowy, a więc żadna organizacja nie może pozwolić sobie na szkody wyrządzane przez nieodpowiednio zabezpieczone produkty firm trzecich.

Częste cele ataków na branżę OT:

  • Sabotaż linii produkcyjnej, mający za zadanie spowodować szkody w wytwarzanym produkcie, spowolnić cały proces wytwórczy, bądź uszkodzić elementy linii produkcyjnej. Ten wektor ataku jest często używany przez konkurencję dopuszczającą się nielegalnych zagrywek mających na celu zaszkodzenie innym organizacjom.
  • Ograniczenie stabilności produktu końcowego. Każdy produkt jest zazwyczaj testowany i weryfikowany wewnętrznie, aby upewnić się że działa zgodnie ze specyfikacją, natomiast niewiele firm przeprowadza lub zleca testy swoich produktów w celu symulacji zachowania produktu, w którym jeden z elementów programu został drastycznie zmodyfikowany. Atakujący mogą celowo doprowadzać do niestabilności produktu, bądź poprzez swoje ataki i modyfikacje innych elementów inżynieryjnych, wpływać negatywnie na całość produktu.
  • Ataki mające na celu doprowadzenie do wycieku danych producenta oraz klientów. W branży technologicznej bardzo często dochodzi do ataków na własność intelektualną, taką jak kod produktu, mapy infrastruktury oraz architektura całej organizacji. W przypadku produktów, które trafiają do innych organizacji i punktów sprzedaży, bądź robotów produkowanych przez jedną fabrykę i dystrybuowanych do tysięcy innych fabryk skala konsekwencji rośnie w zatrważającym tempie. Atakujący skupiają się więc na producentach oprogramowania oraz sprzętu, bo przełamując ich zabezpieczenia zyskują dostęp nie do danych poufnych tylko jednej firmy, ale także wszystkich innych, które korzystają z niezabezpieczonego produktu.

 

BIOGRAFIE AUTORÓW:

Krzysztof Czuba

 

Członek zarządu i prokurent Bergman Engineering Sp. z o.o, zajmującej się contractingiem i rekrutacją inżynierów. Partner w Prime Fund, funduszu inwestującym w firmy rozwijające rozwiązania Industry 4.0 oraz członek Rady Nadzorczej TestArmy Group SA, zajmującej się cyberbezpieczeństwem. Swoje doświadczenie budował podczas pracy w KGHM TFI w obszarze nowych technologii przemysłowych, jako menedżer inwestycyjny oraz jako inżynier ds. optymalizacji procesów produkcyjnych w Whirlpool. Jest absolwentem Inżynierii Materiałowej na Politechnice Wrocławskiej.

 

Dawid Bałut

Dawid Bałut zajmuje się bezpieczeństwem od prawie dekady, a ostatnie 5 lat spędził pracując jako architekt bezpieczeństwa dla korporacji z doliny krzemowej zajmującej się bezpieczeństwem danych korporacji o skali globalnej. W trakcie swojej kariery, współpracował z korporacjami takimi jak Amazon, Facebook, Paypal, Ebay, LinkedIN, Barracuda, Apple, Adobe, AT&T, Allegro, Alibaba i wieloma innymi nad poprawieniem ich stanu bezpieczeństwa, znajdując krytyczne luki oraz doradzając w zakresie eliminacji podatności.  Jego publikacje pojawiły się na łamach portalów takich jak Forbes, Quora, Apple News, Peerlyst, 2600 Security Magazine, Australian Cyber Security Magazine, oraz wielu polskich magazynach, między innymi Puls Biznesu, Money.pl i Rzeczpospolita.
Autor książki “Social Skills For Information Security Professionals: A Handbook For Those Who Strive To Lead And Manage Effectively”. Obecnie wykorzystuje swoje doświadczenie obejmując rolę CEO oraz Chief Security Strategist w współzałożonej spółce TestArmy CyberForces, trudniącej się poprawianiem globalnego stanu bezpieczeństwa, z mocnym naciskiem na tworzenie strategii cyberbezpieczeństwa dla firm polskich.

Oferta: automatyka magazynowa, case study, centrum logistyczne, dystrybucja, logistyka, magazyn, magazynier, operator logistyczny, palety, regały, studia przypadków, system wms, wózek widłowy, wózki widłowe

Background Image

Header Color

:

Content Color

:

Strona korzysta z plików cookies w celu realizacji usług zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce lub w konfiguracji usługi. Polityka prywatności.