Architektura cyberbezpieczeństwa dla robotyki i linii produkcyjnych

Krzysztof Czuba
Bergman Engineering

Dawid Bałut
TestArmy CyberForces

W świecie, w którym robotyzacja postępuje w coraz większym tempie, a każdego roku oczekujemy, że technologia pomoże nam wnieść cywilizację na jeszcze wyższy poziom, łatwo zatracić się w fantastycznych wizjach snutych przez orędowników robotyzacji i automatyzacji wszelkich procesów wytwórczych. Niestety, wraz z rozwojem technologii oraz innowacyjności spotykamy się z nowymi, zaskakującymi wyzwaniami dotyczącymi bezpieczeństwa.

Robotyka w większości firm jest już teraz mocno kontrolowana pod kątem bezpieczeństwa pracy, by upewnić się, że pracownicy znajdujący się w rejonie działania maszyn nie są wystawieni na szkodliwe dla zdrowia czynniki, oraz że cała linia produkcyjna jest przystosowana do współpracy z ludźmi. Zanim maszyny całkowicie przejmą proces wytwórczy minie jeszcze sporo czasu, więc odpowiednio egzekwowane zasady BHP są czymś oczywistym i niezbędnym do synergii człowieka z maszyną.

Jednak nie jest to jedyny rodzaj bezpieczeństwa, o którym trzeba myśleć. W świecie technologii spotykamy się już z nowym typem zagrożeń - cyberatakami. Głównym zamierzeniem cyberataków jest szkodliwie wpłynąć na proces technologiczny oraz biznesowy celu ataku. Mowa tutaj o atakach mających za zadanie odłączyć infrastrukturę od sieci i wygenerować straty; o atakach infekujących roboty linii produkcyjnej, które zachowując się w sposób niepożądany wyrządzają szkody na linii produkcyjnej; o atakach infekcji infrastruktury, przy których atakujący spowalniają funkcjonowanie systemów przez używanie zasobów systemowych do własnych celów, na przykład przeprowadzania dalszych ataków, kopania kryptowalut, bądź do rozprzestrzenienia złośliwego oprogramowania typu ransomware, kompletnie unieruchamiającego infrastrukturę pod rygorem zapłaty okupu. Nie są nam również obce ataki na procesy technologiczne odpowiedzialne za wytwarzanie robotów czy wytwarzanie produktów, które są dystrybuowane poza fabrykę, np. do punktów sprzedaży. Gdy zainfekowany zostanie serwer, na którym przechowywany jest kod produktu, może on zostać podmieniony, na taki który zawiera backdoory dające hakerom (zarówno prywatnym, zorganizowanym jednostkom, jak i organizacjom wywiadu innych krajów) dostęp do tysięcy punktów sprzedaży korzystających z danego oprogramowania.

Przykłady ataków na IoT

Liczba urządzeń należących do Internet of Things (IoT), czyli Internetu Rzeczy jest ogromna i stale rośnie. Prognozuje się, że w ciągu około roku, jej wartość osiągnie aż 50 miliardów. Spora część oprogramowania wbudowanego w te urządzenia jest dawno nieaktualizowana i pełna podatności, o których powszechnie wiadomo, a i tak pozostaje w stałym użytkowaniu, narażając całe systemy i wielkie ilości wrażliwych danych na niepotrzebne ryzyko.

Największy w historii atak DDoS wyłączył gigantyczny obszar światowego Internetu w październiku 2016 r. Przeciążenie serwerów firmy Dyn, która odpowiada za sporą część systemu DNS uniemożliwiło dostęp do wielu popularnych serwisów i usług, w tym Twittera, Netflixa, Reddita, CNN, The Guardian i setek innych, zarówno w USA, jak i Europie. Co ciekawe, nie zawiniły tutaj zabezpieczenia Dyn, ale właśnie miliony urządzeń IoT. Złośliwy program Mirai, korzystając ze słownika haseł (w większości przypadków wystarczyło domyślne hasło ustawione przez producenta), potrafi przejąć kontrolę nad urządzeniami opartymi o system Linux, a potem wykorzystać je do celów hakera, który kontroluje cały tzw. Botnet, czyli armię urządzeń-zombie, zainfekowanych wirusem i czekających na rozkazy. W przypadku ataku na Dyn, wykorzystano zsumowaną siłę aż 1,2 miliona takich maszyn i linia obrony była bez szans. Wystarczyłoby jednak, aby użytkownicy używali silniejszych haseł, a do ataku by nie doszło.

1,4 miliona samochodów Jeep okazała się podatnych na atak umożliwiający całkowite przejęcie kontroli nad pojazdem, w tym dodawanie gazu, odłączenie hamulców i zdalne kierowanie samochodem. Wystarczyła jedna luka w systemie zabezpieczeń, aby zmusić Chryslera do przeprowadzenia gigantycznej akcji serwisowej. Całe szczęście producent zareagował w porę i na poważnie potraktował odkrycie dwóch etycznych hackerów, Charliergo Millera i Chrisa Valaska, którzy zademonstrowali przebieg ataku na komputer pokładowy Uconnect portalowi Wired.

Hakerzy regularnie włamują się do systemów komputerowych amerykańskich systemów energetycznych, w tym elektrowni atomowych. W ciągu 4 lat, pomiędzy rokiem 2010, a 2014, hakerom udało się zinfiltrować komputery Departamentu Energetyki ponad 150 razy, a są to jedynie liczby z oficjalnych danych z dokumentów opublikowanych przez gazetę USA Today. Powołując się na przepisy o jawności informacji, dziennikarze dotarli do dokumentów, które opisywały w tym okresie aż 1131 prób ataków, z których powiodło się dokładnie 159. Rządowe raporty sugerują, że większość hakerów odpowiedzialnych za włamania pochodzi z Rosji, Chin i Iranu. Nie wiadomo do jakich danych udało im się uzyskać dostęp, ale mogą to być nawet krytyczne informacje o składowaniu materiałów promieniotwórczych na terenie USA.

 

Główne korzyści z inwestycji w architekturę cyberbezpieczeństwa

Inwestycje w architekturę cyberbezpieczeństwa, czyli stworzenie ram bezpieczeństwa dla każdego procesu inżynieryjnego oraz procesy egzekwujące te wymagania pomagają firmom na całym świecie zmniejszać koszty oraz minimalizować straty wygenerowane przez pomyślnie przeprowadzone cyberataki. Właściwym pytaniem nie jest: czy moja organizacja zostanie zaatakowana. Specjaliści od spraw bezpieczeństwa pytają raczej: kiedy nastąpi atak. Wraz z nowymi możliwościami monetyzacji udanych włamań, tych ataków jest coraz więcej. Podobnie z armią osób trudniących się hackingiem - rośnie ona w zatrważającym tempie, bo i coraz niższy jest próg wejścia na ścieżkę przestępczego życia (wiele firm kompletnie nie jest przygotowana na jakiekolwiek sieciowe zagrożenia, a możliwości zaszkodzenia im w stosunkowo prosty sposób, nawet przy pomocy gotowych już narzędzi, jest coraz więcej). W przypadku wielu przedsiębiorstw jedyną strategią obrony jest nadzieja, że kogoś tak małego nikt nie zechce zaatakować i kompletne ignorowanie problemu. Niestety jednak, kompletnie nic co podłączone do sieci nie może się ukryć przed czujnym wzrokiem botów skanujących cały zakres IPv4 i bez wytchnienia prowadzących zautomatyzowane ataki na wykrytą infrastrukturę. Próba pozostania w cieniu i nie wychylanie się nie jest również dobrą decyzją biznesową, bo takie podejście mocno ogranicza skalę działalności firmy. Zdecydowanie rozsądniej jest zainwestować w kompleksowy program cyberbezpieczeństwa, niż ograniczać sobie szeroki rynek potencjalnych klientów, którzy sami mogą zechcieć zweryfikować poziom bezpieczeństwa produktów których zakup rozważają.

Konkurencyjność na polu niezawodności usług oraz cyberbezpieczeństwa

Bezpieczeństwo produktów i usług staje się powoli, ale nieubłaganie coraz bardziej atrakcyjnym materiałem dla marketingowców i sprzedawców. Wraz z rosnącą świadomością zagrożeń płynących z niedopracowania technologii, w szczególności w świecie biznesu, firmy mogą wykorzystywać swój wysoki poziom bezpieczeństwa jako argument w trakcie negocjacji z klientami rozważającymi produkty konkurencji. W ten sposób tworzymy zdrowy ekosystem, w którym konkurencyjność pochodzi z troski o rzeczy istotne, a koncentracja na  cyberbezpieczeństwie niewątpliwie taka jest. Powstaje tutaj swoista pozytywna spirala usprawnień globalnych, w której każda kolejna organizacja, zakładając że konkuruje się już nawet na płaszczyźnie bezpieczeństwa, musi już nie tylko włożyć w nie maksimum wysiłku, ale starać się wychodzić naprzód z innowacyjnymi rozwiązaniami na najwyższym możliwym poziomie.

Warto więc zadać sobie pytanie, jak można poprawić poziom bezpieczeństwa, aby nie dać się zrujnować przez cyberprzestępców, a przy tym by implementacja nowych procesów bezpieczeństwa nie stała się zbyt kosztowna.

Możemy ograniczyć chaos, jeśli skupimy się na samym źródle problemu, czyli niezabezpieczonych procesach produkcyjnych w wielu przedsiębiorstwach oraz tworząc strategiczne partnerstwa w zakresie cyberbezpieczeństwa branży OT i IoT. Tego typu partnerstwa już istnieją w krajach o wysokim poziomie zaawansowania technologicznego. Biorąc pod uwagę zasoby, jakie mają do dyspozycji kraje, takie jak Stany Zjednoczone czy Chiny, łatwo zauważyć, iż w pojedynkę ciężko jest mierzyć się z tak ogromną infrastrukturą. Natomiast łącząc siły i tworząc partnerstwa strategiczne możemy ograniczyć czas marnowany na wynajdywanie koła na nowo i uruchamiać think tanki, które będą w stanie sprostać wysokim wymaganiom stawianym przez globalną konkurencję. Doświadczenie pokazuje, że firmy które połączyły swoje siły dzieląc się przynajmniej szczątkowymi informacjami dotyczącymi wykrywania włamań oraz ochrony, odniosły sukces w postaci zwiększenia poziomu innowacyjności.

Pytania ochronne

Na koniec przedstawiamy zestaw pytań, na które warto sobie odpowiedzieć, a odpowiedzi przedyskutować z kluczowymi osobami w firmie. Ułatwi to zainicjowanie dyskusji na temat brakujących procesów bezpieczeństwa.

Podczas rozważania kwestii cyberbezpieczeństwa musimy zawsze pamiętać o tworzeniu systemu jak najbardziej innowacyjnego, ale też trzeba cały czas mieć przed oczami najczarniejszy możliwy scenariusz. Mądrze zarządzane firmy starają się eliminować czynnik losowy i przygotowywać się na ten właśnie najgorszy scenariusz. Nie pozwalajmy by kwestie cyberbezpieczeństwa, a w zasadzie brak przykładania uwagi do tematu spowalniały innowacyjność i powstawanie wszystkich fantastycznych rzeczy tworzonych przez firmy z branż IoT i OT. Nikt z nas nie chce, żeby lata pracy oraz setki milionów złotych poszły na marne przez cyberataki kompletnie rujnujące nasz dorobek. Dlatego warto nabrać zdrowych nawyków jak najwcześniej i uchronić się przed bólem głowy w przyszłości.

Zaufanie kontrahentów jest w tej branży wszystkim, bo każdy element fabryki jest bardzo wartościowy, a więc żadna organizacja nie może pozwolić sobie na szkody wyrządzane przez nieodpowiednio zabezpieczone produkty firm trzecich.

Częste cele ataków na branżę OT:

 

BIOGRAFIE AUTORÓW:

Krzysztof Czuba

 

Członek zarządu i prokurent Bergman Engineering Sp. z o.o, zajmującej się contractingiem i rekrutacją inżynierów. Partner w Prime Fund, funduszu inwestującym w firmy rozwijające rozwiązania Industry 4.0 oraz członek Rady Nadzorczej TestArmy Group SA, zajmującej się cyberbezpieczeństwem. Swoje doświadczenie budował podczas pracy w KGHM TFI w obszarze nowych technologii przemysłowych, jako menedżer inwestycyjny oraz jako inżynier ds. optymalizacji procesów produkcyjnych w Whirlpool. Jest absolwentem Inżynierii Materiałowej na Politechnice Wrocławskiej.

 

Dawid Bałut

Dawid Bałut zajmuje się bezpieczeństwem od prawie dekady, a ostatnie 5 lat spędził pracując jako architekt bezpieczeństwa dla korporacji z doliny krzemowej zajmującej się bezpieczeństwem danych korporacji o skali globalnej. W trakcie swojej kariery, współpracował z korporacjami takimi jak Amazon, Facebook, Paypal, Ebay, LinkedIN, Barracuda, Apple, Adobe, AT&T, Allegro, Alibaba i wieloma innymi nad poprawieniem ich stanu bezpieczeństwa, znajdując krytyczne luki oraz doradzając w zakresie eliminacji podatności.  Jego publikacje pojawiły się na łamach portalów takich jak Forbes, Quora, Apple News, Peerlyst, 2600 Security Magazine, Australian Cyber Security Magazine, oraz wielu polskich magazynach, między innymi Puls Biznesu, Money.pl i Rzeczpospolita.
Autor książki “Social Skills For Information Security Professionals: A Handbook For Those Who Strive To Lead And Manage Effectively”. Obecnie wykorzystuje swoje doświadczenie obejmując rolę CEO oraz Chief Security Strategist w współzałożonej spółce TestArmy CyberForces, trudniącej się poprawianiem globalnego stanu bezpieczeństwa, z mocnym naciskiem na tworzenie strategii cyberbezpieczeństwa dla firm polskich.

Strona korzysta z plików cookies w celu realizacji usług zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce lub w konfiguracji usługi. Polityka prywatności.