Bezpieczeństwo systemów automatyki przemysłowej
Czwartki OT
Bezpieczeństwo systemów automatyki przemysłowej
Czwartki OT
Sieci energetyczne – nowe wymagania bezpieczeństwa
13 października br. European Network for Cyber Security U.A. (ENCS) i Europejskie Stowarzyszenie Operatorów Systemów Dystrybucyjnych E.DSO ogłosiły wprowadzenie wymagań bezpieczeństwa dla sterowników telemechaniki RTU w automatyce dystrybucyjnej.
Jest to trzecia z serii wytycznych dotyczących bezpieczeństwa, tym razem inteligentnych sieci energetycznych, po wcześniejszym opublikowaniu wymogów bezpieczeństwa dla punktów ładowania pojazdów elektrycznych i inteligentnych liczników (AMI). Wymagania są ważnym narzędziem poprawy i uporządkowania bezpieczeństwa gromadzenia i analizy danych z infrastruktury w całej Europie i budowania bardziej odpornej sieci.
Wymagania zapewniają europejskim operatorom systemów dystrybucyjnych (OSD) zdefiniowany zestaw praktycznych rozwiązań dotyczących zamawiania bezpiecznych RTU i stanowią istotny krok w kierunku ujednolicenia wymagań całej branży.
Wymagania podzielono na części:
- DA-201-2019: Architektura bezpieczeństwa dla systemów automatyki dystrybucyjnej (tylko członkowie ENCS),
- DA-301-2019: Wymagania bezpieczeństwa dotyczące zamawiania DA RTU (publiczne),
- DA-401-2019: Plan testów bezpieczeństwa dla automatyki dystrybucyjnej RTU (publiczne).
Więcej w artykule: NCS And E.DSO Release Security Requirements For Distribution Automation.
Cyberataki w przemyśle w ostatnim tygodniu sierpnia 2020
Ostatni tydzień przyniósł kolejne informacje o wyciekach danych w firmach przemysłowych. Grupy hakerów organizują się w celu wymiany doświadczeń z zakresu cyberbezpieczeństwa, co umożliwia intensyfikację ataków.
- 24.08 – Prokes – wyroby z tworzyw sztucznych, atak przez grupę Avaddon, wyciek 2Gb danych, m.in. o pracownikach,
- 24.08 – Parkway – zaawansowane rozwiązania oraz produkty z tworzyw sztucznych m.in. dla motoryzacji, lotnictwa oraz ochrony zdrowia, ransomware Maze spowodował wyciek danych dot. produkcji,
- 25.08 – Sice Inc – integracja technologii w obszarach transportu, środowiska i energii, telekomunikacji oraz procesów przemysłowych, ransomware Conti (Ryuk),
- 26.08 – Autodesk – złośliwy moduł do oprogramowania 3ds max wykorzystywany m.in. do renderowania grafiki komputerowej pozwalał na uzyskanie informacji o zainfekowanym urządzeniu,
- 27.08 – Triad Mechanical Contractors – rozwiązania z zakresu mechaniki m.in. systemów wentylacji dla przemysłu, ransomware Maze,
- 28.08 – Tug Hill – firma inwestująca w przemysł naftowy i gazowy, minerały oraz operator systemów, ransomware SunCrypt spowodował wyciek 120 Gb danych.
Przeczytaj więcej:
Ransomware – co to jest i jak go usunąć? Jak się zabezpieczyć?
Potrzebujesz wskazówek jak chronić organizację przed atakami?
Skontaktuj się z nami!
Nośniki USB – jedno ze źródeł zagrożeń dla systemów sterowania
Jak się zabezpieczyć?
11.12.2017 pracownik nocnej zmiany w zakładzie przemysłowym na Bliskim Wschodzie podłączył nośnik USB do współdzielonej stacji roboczej. Oglądał film LaLaLand, który w czasie przerwy pobrał na swój dysk USB. Uruchomienie filmu rozpoczęło atak znany jako Operacja Copperfield.
Czy można było temu zapobiec?
Użycie nośników wymiennych w systemach ICS wiąże się z ryzykiem, ale obsługa stacji roboczych jest już dziś prawie niemożliwa bez ich wykorzystania.
Jednym z mechanizmów zabezpieczania przed złośliwym oprogramowaniem infekującym infrastrukturę IT/OT jest uniemożliwienie korzystania z danych na pamięciach USB, które nie zostały wcześniej przeskanowane w zewnętrznym terminalu. Po skończonych pracach gość lub pracownik odblokowuje pliki – są one ponownie skanowane, a te podejrzane poddane kwarantannie. System monitoruje i archiwizuje informacje o zdarzeniach, pozwalając na wykrycie infekcji wewnątrz organizacji lub dodanie nieautoryzowanych plików.
Lista zagrożeń jest systematycznie aktualizowana w celu zapewnienia ciągłego samouczenia się zabezpieczeń i automatyzacji ochrony przed obecnymi i nowymi zagrożeniami przenoszonymi przez USB.
Przeczytaj więcej:
Jak bezpiecznie korzystać z nośników wymiennych w sieciach ICS?
Secure Media Exchange – pierwsze rozwiązanie cyberbezpieczeństwa dla systemów przemysłowych w obronie przed złośliwymi atakami na USB
Zdalny dostęp do systemów ICS
Zasady bezpieczeństwa
Statystyki zarejestrowane przez firmę ESET pokazują 30 proc. wzrost ataków na usługi RDP wystawione do Internetu w okresie od marca do maja 2020. Ataki siłowe (BruteForce) na usługi stały się stałym elementem pracy zdalnej w obliczu pandemii. Poprawna polityka haseł, wieloskładnikowe uwierzytelnianie, a także zdolność do wykrycia niedozwolonego ruchu po przełamaniu zabezpieczeń, stanowią niektóre z elementów decydujących o skuteczności mechanizmów bezpieczeństwa.
Nieautoryzowany dostęp oraz wpływanie na środowisko OT możliwe są np. dzięki przełamaniu zabezpieczeń. Aby zmniejszyć skutki takiego zdarzenia warto rozważyć, czy integrator rozwiązania do zdalnego dostępu uwzględnił potrzeby cyberbezpieczeństwa, takie jak:
- zdolność monitorowania ruchu i identyfikacji niedozwolonego ruchu,
- zdolność do ograniczenia nieautoryzowanej działalności.
Przeczytaj więcej:
Zdalny dostęp do systemów ICS – zasady bezpieczeństwa.
Masz pytania związane z praktycznym zastosowaniem zasad bezpieczeństwa?
Skontaktuj się z nami!
Zdalny dostęp do systemów ICS
Zasady bezpieczeństwa
Podstawowym sposobem działania w sytuacji wymuszonej przez Covid-19 było umożliwienie pracy zdalnej z systemami sterowania. Nagła i dynamiczna sytuacja utrudniała wybór oraz wdrożenie bezpiecznego rozwiązania. Według raportu CIONET, VMWARE, Deloitte aż 2/3 firm wprowadziło rozwiązania VPN, natomiast tylko 1/3 firm dodatkowo wprowadziło zmiany w architekturze systemów IT. Daje to podstawy to stwierdzenia, że przy wprowadzeniu rozwiązań do pracy zdalnej mogły nie zostać uwzględnione aspekty związane z cyberbezpieczeństwem.
W ramach serii CzwartkiOT przedstawimy listę 17 zasad, których należy przestrzegać projektując lub decydując o wyborze rozwiązania do zdalnego dostępu.
Przeczytaj więcej:
Zdalny dostęp do systemów ICS – zasady bezpieczeństwa.
Artykuł źródłowy:
Remote access.
Trzy cyberataki w energetyce i przemyśle w czerwcu 2020
W czerwcu bieżącego roku wydarzyło się kilka skutecznych ataków na firmy energetyczne i przemysłowe, m.in:
- 7 czerwca: cyberatak na spółkę energetyczną Enel Group z wykorzystaniem ransomware EKANS/SNAKE. Atak został wykryty przez systemy zabezpieczeń IT wieczorem, a systemy informatyczne odzyskały pełną sprawność następnego dnia rano.
- 8 czerwca: atak na firmę Honda z wykorzystaniem wspomnianego ransomware’u. Konsekwencją był przestój linii produkcyjnych w zakładach m.in. w OHIO oraz Turcji. Badacze formułują hipotezę, że atak był możliwy dzięki wystawieniu stacji roboczych organizacji po RDP do Internetu. Firma w zeszłym roku padała ofiarą ataków. Upubliczniono m.in. 40 GB danych o wewnętrznych systemach i urządzeniach.
- 13 czerwca: atak dla okupu na szwajcarską firmę Hustech, dostarczającą rozwiązania z zakresu instalacji solarnych, e-mobilności (m.in. stacji ładowania) oraz automatyki budynkowej. W wyniku wycieku upubliczniono kilkaset GB danych. W nazwach katalogów były m.in. plany oraz narzędzia.
Większość z tych ataków to ransomware.
Potrzebujesz wskazówek jak chronić organizację przed atakami?
Skontaktuj się z nami!
Przeczytaj więcej:
Ransomware – co to jest i jak go usunąć? Jak się zabezpieczyć?
Jak ograniczyć skuteczność ataków na lokalne konto administratora?
- Jak ograniczyć skuteczność ataków na lokalne konta administratora w ICS?
- Jak skonfigurować lokalną politykę haseł?
Jakie zasady stosować, aby je zabezpieczyć?
Przeczytaj:
Jak ograniczyć skuteczność ataków na lokalne konta administratora w ICS.
Zarządzanie podatnościami ICS
Luki bezpieczeństwa pod kontrolą
Większość podatności odkrywanych dziś w środowisku OT, było obecne od zawsze. Urządzenia ICS projektowano bez uwzględnienia wymagań cyberbezpieczeństwa, a produkt końcowy rzadko kiedy był walidowany z tej perspektywy. Nawet bez błędów w urządzeniu, producenci oraz użytkownicy systemów ICS „otwierają drzwi” atakującym zostawiając domyślne hasła dostępu m.in. do paneli konfiguracji.
- Jakie podatności wykorzystują atakujący?
- Jakie narzędzia wykorzystać do identyfikacji podatności w środowisku ICS?
- Jak eliminować luki bezpieczeństwa?
Przeczytaj więcej:
Zarządzanie podatnościami w środowisku automatyki przemysłowej
Inwentaryzacja zasobów
Jak wykryć atak na urządzenia ICS?
Efektem działań hakerów w środowisku ICS może być modyfikacja programu sterowania w celu wyrządzenia fizycznych szkód, np. jak w przypadku ataku Stuxnet, lub doprowadzenie do zatrzymania systemów OT.
- Jak chronić sieć OT przed atakami?
- Jak wykryć atak?
Oprogramowanie monitorujące Tenable.OT oprócz identyfikacji ruchu wewnątrz sieci wspiera działania korekcyjne, np. lokalizuje zmienione fragmenty programu w sterowniku PLC oraz prezentuje historię modyfikacji kodu źródłowego.
Korzyści z zastosowania funkcji wspierających bezpieczeństwo sieci ICS z Tenable.OT, to m.in:
1. Sprawdzenie, czy na sterowniku PLC nadal działa oprogramowanie zainstalowane przez integratora,
2. Informacja o zdarzeniach takich, jak pobranie programu ze sterownika,
3. Zestawienie podatności urządzeń w sieci ICS.
Przeczytaj więcej:
Inwentaryzacja oprogramowania urządzeń automatyki ICS – rejestr konfiguracji z Tenable OT
Inwentaryzacja zasobów
Jak wybrać metodę dostosowaną do potrzeb ICS?
Którą metodę inwentaryzacji najlepiej zastosować do określonych potrzeb środowiska ICS? Jak zwiększyć bezpieczeństwo aktywnej inwentaryzacji? Jak zmniejszyć ryzyko przypadkowego zatrzymania urządzeń podczas skanowania? Przeczytaj artykuł, w którym oprócz odpowiedzi na powyższe pytania przedstawiamy rezultat automatycznej inwentaryzacji zasobów z wykorzystaniem Guardian firmy Nozomi Networks.
Przeczytaj więcej:
Inwentaryzacja i kontrola zasobów sprzętowych w ICS
W kolejnych odcinkach CzwartkiOT przedstawimy w jaki sposób prowadzić inwentaryzację zasobów programowych na przykładzie zarządzania konfiguracją w TenableOT oraz odpowiemy na pytanie, czy jak chronić się przed złośliwym oprogramowaniem przenoszonym na USB w środowisku OT z wykorzystaniem Secure Media exchange firmy Honeywell.
Inwentaryzacja zasobów
Czy może poprawić bezpieczeństwo systemów ICS?
Jak inwentaryzacja zasobów wpływa na bezpieczeństwo systemów automatyki? Czy można to zrobić w sposób automatyczny? Jakie narzędzia mogą wspomóc proces identyfikacji urządzeń OT w środowisku przemysłowym? W artykule poświęconym inwentaryzacji zasobów OT przedstawimy metody jej przeprowadzenia oraz przykładowe rezultaty identyfikacji urządzeń z wykorzystaniem rozwiązania Guardian firmy Nozomi Networks. Zapraszamy do lektury!
Przeczytaj więcej:
Inwentaryzacja i kontrola zasobów sprzętowych w ICS.
W kolejnym odcinku Czwartki OT przeanalizujemy, jak właściwie dobrać metodę inwentaryzacji do potrzeb środowiska ICS. Zaprezentujemy także zagadnienia związane z aktualnością listy zasobów OT oraz prowadzeniem rejestru urządzeń automatyki.
Środki kontroli stosowane w systemach ICS
Inwentaryzacja i kontrola zasobów
Zapraszamy do lektury nowego cyklu artykułów na temat inwentaryzacji i kontroli zasobów sprzętowych w systemach automatyki przemysłowej. Dlaczego temat inwentaryzacji zasobów jest ważny? Posiadanie bieżącej informacji o funkcjonujących urządzeniach oraz specyfice ich pracy sieciowej jest podstawowym elementem budowania aktywnej ochrony cybernetycznej dla środowisk OT.
Cykl życia systemów OT może wynosić nawet kilka dekad. W tym czasie mogą zajść nieudokumentowane we właściwy sposób zmiany systemów, o których informacja jest niepełna. Do infrastruktury sieciowej OT podłączane są także urządzenia, które nie są własnością przedsiębiorstwa, a są używane przez np. integratorów systemów czy samych pracowników.
Jakie wyzwania niesie za sobą inwentaryzacja sprzętu?
Przeczytaj:
Inwentaryzacja i kontrola zasobów sprzętowych w ICS
Czy systemy BMS mogą stanowić wektor ataku na systemy ICS?
- Jakie obszary współpracy występują pomiędzy systemami ICS oraz systemami BMS?
- Jaki mogą mieć wpływ na ich bezpieczeństwo?
Wpływ ataku na system budynkowy może rzutować na system ICS na wielu płaszczyznach:
- może być to dodatkowy wektor ataku, który pozwoli dostać się do architektury systemu ICS w przypadku nieprawidłowo wykonanej separacji/segmentacji sieci,
- w przypadku używania zmiennych z systemu budynkowego: przykładowo pomiaru temperatury, przepływu wody (np. zbieranej na potrzeby monitoringu mediów) czy temperatury powietrza i przekazywania ich do procesu systemu ICS, nieautoryzowana manipulacja w systemie pierwotnym może rzutować na realizację procesu w systemie docelowym.
To tylko dwa przykłady.
Jakie jeszcze są zagrożenia?
Jak zminimalizować ryzyko oraz skutki ataku?
Przeczytaj więcej:
Czy systemy BMS mogą stanowić wektor ataku na systemy ICS?
Atak na urządzenia mobilne
Czy dostęp do HMI na tablecie lub smartfonie jest bezpieczny?
- Korzystasz ze smartfona lub tabletu przy zdalnym dostępie do komponentów ICS?
- Jakie są możliwe scenariusze ataków na systemy przemysłowe z wykorzystaniem urządzeń mobilnych?
– Kradzież lub utrata smartfonów z zainstalowanym oprogramowaniem, zawierających zapisane poświadczenia logowania oraz np. klucze umożliwiające zdalny dostęp do sieci.
– Zdalny atak na smartfony z danymi firmowymi poprzez błędy oprogramowania pozwalające na pozyskanie danych logowania.
– Atak na niezabezpieczony kanał komunikacyjny łączący urządzenia mobilne oraz system automatyki przemysłowej.
Jak zapobiegać niektórym atakom?
- ustaw ograniczony dostęp do systemów na urządzeniach mobilnych i nadaj im uprawnienia tylko do odczytu,
- świadomie korzystaj z narzędzi dedykowanych do zarządzania dostępem, ochroną przed malware oraz zapewniające zdalne wymazanie danych w przypadku utraty sprzętu,
- korzystaj z szyfrowanych kanałów komunikacji np. VPN
Aplikacje mobilne oraz urządzenia często projektowane były jako Insecure by design i ich bezpieczeństwo nie było jednym z kluczowym wymagań na etapie ich projektowania.
Przeprowadź audyt, czy aplikacje i urządzenia mobilne, z których korzystasz są bezpieczne.
Skontaktuj się z nami!
Przeczytaj więcej:
Audyt bezpieczeństwa urządzeń mobilnych
Bezpieczeństwo: Działy OT i IT – razem czy oddzielnie?
Historycznie pracownicy działów OT postrzegali warstwę IT jako zło konieczne, niektórzy z nich nawet „chronili w zamkniętych szafach” swoją infrastrukturę przed pracownikami działu IT. Instalacje aktualizacji np. systemów operacyjnych mogły wiązać się z zakłóceniem monitoringu pracy procesu poprzez unieruchomienie np. systemów SCADA. Cyberbezpieczeństwa w fabrykach, organizacjach, przedsiębiorstwach nie jednak można rozpatrywać oddzielnie dla działów IT oraz OT.
Odmienne spojrzenia na systemy oraz dostrzeganie różnych zagrożeń dla ich bezpieczeństwa mogą przyczynić się do uwzględnienia potrzeb obu grup na etapie formułowania założeń projektowych, wdrażania oraz późniejszego utrzymania systemów automatyki. Często przeszkodą w realizacji tego celu pozostaje jednak niezrozumienie dwóch różnych perspektyw w kontekście systemów automatyki oraz odmienne słownictwo branżowe stosowane w tych działach.
Jakie są różnice OT vs IT?
Przeczytaj:
Bezpieczeństwo: działy OT i IT – razem, czy oddzielnie?
Atak przez zdalny dostęp
Co kryje się w urządzeniach umożliwiających zdalny dostęp do ICS?
W 2017 odkryto login i hash hasła ukrytego użytkownika oraz klucze prywatne w firmware urządzeń Westermo zapewniających zdalny dostęp do sieci ICS. Jedna z podatności została oceniona na 10 w skali CVSS v3. Przykład ataku na infrastrukturę OT z wykorzystaniem zdalnego dostępu oraz słabych haseł został upubliczniony w 2014 przez Departament of Homeland Security.
Zdalny dostęp do sieci OT odgrywa istotną rolę w monitorowaniu systemów ICS przez zewnętrznych serwisantów. Problem stanowi słabe zabezpieczenie urządzeń przez stosowanie domyślnych haseł czy zakodowanych na stałe ukrytych kont, haseł i kluczy.
Przeczytaj więcej:
Ataki na systemy przemysłowe przez luki bezpieczeństwa zdalnego dostępu
Do monitorowania zdalnego dostępu służą m.in. rozwiązania firmy Honeywell oparte na platformie Forge.
Wystawienie urządzeń do Internetu
Jak script kiddies wyszukują urządzenia podatne na ataki?
- Jaka wyszukiwarka została nazwana najgoźniejszą na świecie na RSAConference 2020?
- Gdzie znaleźć informacje o urządzeniach OT wystawionych do Internetu?
Udostępnianie komponentów systemów automatyki stanowi jedno z głównych zagrożeń dla systemów ICS. W celu realizacji ataku hakerzy wykorzystują ogólnodostępne portale. Shodan.io, na którym można znaleźć kilkaset tysięcy urządzeń OT wystawionych do Internetu został nazwany najgroźniejszą na świecie wyszukiwarką w ramach RSAConference 2020 w San Francisco. Portal ułatwia realizację ataków m.in. na urządzenia ICS dzięki filtrom pozwalającym na wyszukanie systemów automatyki oraz potencjalnych podatności.
Komponenty, które nie mają bezpośredniego dostępu do Internetu mogą być tam widoczne pośrednio np. przez udostępnienie aktywnych komponentów sieciowych. Istnieją rozwiązania wspierające możliwość identyfikacji potencjalnych ścieżek ataku na systemy teleinformatyczne.
Jak się zabezpieczyć?
- nie wystawiać komponentów systemów OT do Internetu,
- utwardzać konfigurację komponentów sterowania przez m.in. wyłączenie niepotrzebnych usług, zmianę domyślnych haseł,
- stosowanie dodatkowych mechanizmów bezpieczeństwa, t.j. firewalle czy VPN,
- niezwłoczne aktualizowanie podatnych komponentów.
Atak na dostępność typu (D)DoS
Jak zabezpieczyć infrastrukturę przemysłową?
5 marca 2019, atakujący wykorzystują podatność w interfejsie webowym producenta firewalli do przeprowadzenia ataku typu DoS na infrastrukturę elektroenergetyczną za oceanem. Nieoczekiwane ponowne uruchamianie sprzętu powodowało cykliczne, krótsze niż pięciominutowe przerwy w komunikacji między urządzeniami polowymi na podstacjach oraz między lokalizacjami a centrum kontroli. Raport Północnoamerykańskiej Korporacji Niezawodności Energii Elektrycznej (NERC) zostaje opublikowany 4.09.2019 r.
Co zrobić, aby zmniejszyć ryzyko ataku?
- segmentacja sieci. Ograniczenie komunikacji pionowej do niezbędnego, wymaganego minimum,
zmniejszenie powierzchni ataku poprzez niewystawianie do Internetu urządzeń lub świadome
udostępnianie tylko tych niezbędnych, - monitorowanie i właściwe zarządzanie podatnościami w celu wykrycia luk w urządzeniach oraz zastosowania aktualizacji (jeśli możliwe).
Przeczytaj więcej:
Ataki na dostępność typu (D)DoS. Jak zabezpieczyć infrastrukturę przemysłową?
Luka w implementacji protokołu Profinet-IO
Czego dotyczy i dlaczego jest tak niebezpieczne?
Luka w implementacji protokołu Profinet-IO wspiera wykonanie cyberataków na urządzenia czołowych producentów. Poprawki zostały wydane m.in. dla urządzeń firmy Siemens oraz Moxa.
We wskazówkach Agencji CISA (ICSA-20-042-04) z 11.2.2020 pojawiły się informacje o luce w implementacji stosu protokołu Profinet-IO. Wykorzystanie podatności umożliwia przeprowadzenie ataku DoS na komponenty automatyki czołowych producentów. Luka spowodowana jest niewłaściwym ograniczeniem alokacji wewnętrznej pamięci podczas przetwarzania komunikatów diagnostycznych. Zaburzenie pracy jest możliwe zdalnie, bez interakcji użytkownika i bez konieczności logowania. Dotyczy to 40 popularnych grup komponentów wykorzystywanych w przemyśle.
Producent podaje kilka zaleceń w celu zmniejszenia ryzyka:
- wyłączenie Profinet – tam gdzie nie jest on wykorzystywany,
- aktualizacja firmware,
- dla niektórych urządzeń utworzenie odpowiednich reguł na firewall’u.
Użytkując systemy OT warto rozważyć wprowadzenie standardów aktualizowania jego komponentów. W złożonych, nieinwentaryzowanych systemach może to być wyzwaniem. Istnieją rozwiązania wspierające manualną identyfikację urządzeń oraz podatności komponentów.
Skontaktuj się z nami w celu uzyskania bliższych informacji.
Inżynieria społeczna i phishing zagrożeniami dla pracowników OT
Czy wiesz jak sprawdzić, które informacje w Internecie mogą zostać wykorzystane do ataku?
Grudzień 2014. Pracownik elektrowni jądrowej należącej do Korea Hydro and Nuclear Power Co (KHNP) otrzymuje maila z załącznikiem w formacie .HWP. Rozszerzenie jest powszechnie wykorzystywane w Korei Południowej. Załącznik „program sterowania” po otwarciu powoduje lawinowy łańcuch zdarzeń prowadzący do wycieku informacji o elektrowni oraz wymazanie dysków przez malware (typu MBR).
W tym samym roku atak na niemiecką hutę stali rozpoczął się od phishingu, a skończył fizycznym uszkodzeniem infrastruktury.
Co łączy oba ataki? W początkowej fazie wykorzystano metody inżynierii społecznej oraz atak kierowany typu spear-phishing. W przypadku huty stali konsekwencją było zaburzenie ciągłości działania instalacji.
W ramach przygotowań do działań wykorzystujących inżynierię społeczną oraz phishing, atakujący często pozyskują wiedzę o organizacji z otwartych źródeł OSINT.
Jak sprawdzić, w jaki sposób informacje znajdujące się w Internecie mogą wpłynąć na potencjalny atak na przedsiębiorstwo?
Przeczytaj więcej:
Inżynieria społeczna i phishing zagrożeniami dla pracowników OT oraz zewnętrznych partnerów
Skontaktuj się z nami po więcej informacji.
Sabotaż i błąd ludzki w czołówce zagrożeń cybernetycznych dla OT
W jaki sposób zmniejszyć ryzyko?
W jaki sposób błąd ludzki spowodował odłączenie od prądu 45 milionów mieszkańców USA oraz 10 mln Kanadyjczyków?14.09.2003 o godz. 12:15 system telemetrii dostarcza nieprawidłowe dane do systemu optymalizującego rozpływ energii elektrycznej w sieci elektroenergetycznej. Operator naprawia problem związany z telemetrią, ale zapomina zresetować system sterowania nadrzędnego zasilony błędnymi danymi. Dalsze kaskadowe awarie wynikające z przeciążania sieci, doprowadzają do wyłączenia 256 elektrowni, z czego 85% z nich zostało wyłączone w wyniku zadziałania automatycznych zabezpieczeń. Efekt? 45 milionów mieszkańców USA oraz 10 mln Kanadyjczyków pozostaje bez prądu.
Powyższy przykład ilustruje konsekwencje reakcji lawinowej związanej z błędem operatora systemów cybernetycznych. Innymi źródłami zagrożeń mogą być: nieprawidłowa konfiguracja urządzeń sieciowych, błędy przy aktualizacjach i poprawkach systemów lub umieszczanie nieautoryzowanego sprzętu sieciowego.
W jaki sposób zmniejszyć ryzyko?
Przeczytaj więcej:
Sabotaż i błąd ludzki w czołówce zagrożeń cybernetycznych OT
Jak bezpiecznie kupować bezpieczną automatykę przemysłową?
- W jaki sposób definiować wymagania bezpieczeństwa?
- Jakie kryteria wziąć pod uwagę, aby realnie zwiększyć poziom cyberbezpieczeństwa organizacji, bez negatywnego wpływu na przebieg procesu zakupowego?
Może ono zostać ograniczone poprzez projektowanie i implementację rozwiązań automatyki z uwzględnieniem aspektów związanych z cyberbezpieczeństwem SecuritybyDesign. Projektowanie i wdrażanie najczęściej realizowane jest przez zewnętrznych wykonawców (współpracujących z podwykonawcami), natomiast odpowiedzialność za cyberbezpieczeństwo leży po stronie zamawiającego i zaczyna się na etapie planowania inwestycji.
Zapraszamy do obejrzenia wykładu z konferencji InfraSEC, gdzie Józef Sulwiński przedstawi, jak bezpiecznie kupować bezpieczne OT.
Zamów broszurę, która zawiera gotowy zestaw wymagań bezpieczeństwa opisanych językiem zakupów..
Jakie ryzyka niesie wdrożenie rozwiązań chmurowych do automatyki przemysłowej?
Jak je ograniczyć?
Usługi chmurowe w OT są proponowane np. do prezentacji zużycia mediów oraz możliwości optymalizacyjnych, analizy pętli regulacji i dostrajania nastaw regulatorów. Dostawcy oferują aplikacje wykorzystywane (np. przez integratorów, dział utrzymania ruchu) do nawiązania zdalnego połączenia ze sterownikami maszyn. Wadą takich rozwiązań w sieciach OT jest oddanie kontroli nad bezpieczeństwem (np. informacji oraz częściowo urządzeń) podmiotom zewnętrznym, np. dostawcom usług chmurowych.
Jak zmniejszyć ryzyko przy stosowaniu rozwiązań chmurowych?
- umowa o gwarantowanym poziomie usług (SLA) lub inne zobowiązanie kontraktowe operatorów elementów zewnętrznych do zapewnienia wystarczającego poziomu usług,
- wykorzystanie zaufanych oraz jeśli to możliwe certyfikowanych dostawców usług,
- stosowanie chmury prywatnej w celu zachowania kontroli oraz chronienia wiedzy (know-how) o procesie.
Przeczytaj więcej:
Aplikacje chmurowe jednym z zagrożeń dla sieci OT
Przed implementacją rozwiązań chmurowych w przedsiębiorstwie warto przeprowadzić audyt gotowości przedsiębiorstwa do wdrożenia usług cyfrowych (zgodnych z ideą Industry 4.0).
Cyberataki oraz przełamanie kluczowych zabezpieczeń infrastruktury oraz sieci w TOP10 globalnych zagrożeń
Jak zmniejszyć ryzyko ataku na sieć OT?
Na przełomie 2013/2014 na przejętych stronach www producenta routerów VPN firmy Ewon zostaje podmieniona zawartość plików aplikacji klienckiej. Zanim firma usunie złośliwe dane z serwera ok. 250 użytkowników pobierze (wielu zainstaluje) „poprawione” przez grupę Dragonfly oprogramowanie, aby później nieświadomie udostępniać informacje o wykorzystywanych aplikacjach i infrastrukturze ICS.
W ramach Światowego Forum Ekonomicznego, w raporcie Globalnych Ryzyk 2020, cyberataki oraz przełamanie kluczowych zabezpieczeń infrastruktury oraz sieci zostały zaklasyfikowane w TOP10 ryzyk.
Jak zmniejszyć ryzyko ataku na sieć OT?
- maksymalnie odizolować podsieć OT od pozostałych wykorzystując aktywne urządzenia sieciowe (np. firewall) lub przez fizyczną separację (np. air gap),
- utwardzić wszystkie komponenty IT (urządzenia sieciowe, stacje robocze, inżynierskie) oraz OT (sterowniki PLC, systemy SCADA, DCS, panele HMI, IED, kontrolery robotów),
- instalować poprawki do systemów operacyjnych, aplikacji biurowych, aktualizować firmware urządzeń sieciowych i komponentów ICS.
Przeczytaj także:
Jak zainfekować sieć OT przez Internet?
Rozwiązania bezpieczeństwa, które wspomagają monitorowanie komunikacji i detekcję zagrożeń w sieciach ICS, to Forge firmy Honeywell, dawniej ICShield i produkty Nozomi.
Nośniki USB jako jedno ze źródeł zagrożeń dla systemów sterowania
Jak się zabezpieczyć?
11.12.2017 pracownik nocnej zmiany w zakładzie przemysłowym na Bliskim Wschodzie podłączył nośnik USB do współdzielonej stacji roboczej. Oglądał film LaLaLand, który w czasie przerwy pobrał na swój dysk USB. Uruchomienie filmu rozpoczęło atak znany jako Operacja Copperfield. To pokazuje, że nośniki USB mogą stanowić źródło rozprzestrzeniania się złośliwego oprogramowania.
Jak się zabezpieczyć?
- wprowadzić mechanizmy whitelistingu nośników wymiennych (tylko zarejestrowane są dopuszczane do użytku),
- każdorazowo sprawdzać je pod kątem złośliwego oprogramowania na izolowanej stacji roboczej lub w kiosku, na których znajduje się inny system operacyjny niż na stacjach inżynierskich,
- wyraźne oznaczyć nośniki do użytku prywatnego (nie wolno ich używać w sieciach chronionych) oraz te do zastosowań wyłącznie w sieci OT.
Przeczytaj więcej:
Jak bezpiecznie korzystać z nośników wymiennych w sieciach ICS?
Warto wskazać na pojawiające się rozwiązania wspomagające bezpieczne korzystanie z nośników wymiennych w sieciach ICS. Jednym z nich jest SMX – Secure Media Exchange firmy Honeywell. Niedługo będzie można przetestować jego działanie w naszej siedzibie.