Na jakie zagrożenia ze strony cyberprzestępców narażone są duże firmy z sektora przemysłu 4.0? Jakie szkody mogą wyrządzić takie ataki?
Marek Smolik, CTO ICsec: Hakerzy lubią grać o wysoką stawkę. Atakują na zlecenie rządu lub tam, gdzie na stole leżą duże pieniądze. Międzynarodowe firmy przemysłowe i przedsiębiorstwa z branży utilities, funkcjonujące w coraz większym stopniu w oparciu o chmury obliczeniowe, Internet rzeczy, sieci VPN, to dla nich oczywisty kierunek.
Zagrożenia oraz możliwe techniki działań hakerów dla sektora przemysłowego zostały usystematyzowane w macierzy „MITRE ATT&CK for ICS” (Adversarial Tactics, Techniques and Common Knowledge for Industrial Control Systems). To narzędzie oceny opracowane przez organizację MITRE, aby pomóc organizacjom zrozumieć czy są gotowe do zapewnienia odpowiedniego poziomu bezpieczeństwa i odkryć ewentualne luki w ich zabezpieczeniach. Macierz przedstawia różne taktyki, rozumiane jako kolejne fazy ataku, w powiązaniu z możliwymi technikami i akcjami podejmowanymi przez cyberprzestępców. Wskazuje ona również możliwe skutki ich działań, którymi mogą być: uszkodzenie zaatakowanej infrastruktury (Stuxnet), utrata kontroli nad urządzeniami (Industroyer), utrata możliwości działania (Conficker), czy zaszyfrowanie danych firmy i wysunięcie żądania okupu za przywrócenie kontroli nad urządzeniami. Tak było w przypadku ataku ransomware na amerykańskiego operatora sieci rurociągów Colonial Pipeline, za pomocą którego udało się wymusić okup w wysokości 63,7 bitcoinów o wartości 4,4 mln dolarów.
Każdy atak to nie tylko strata finansowa, ale też znaczne utrudnienie bieżącej działalności przedsiębiorstwa i poważne problemy wizerunkowe – obnażenie faktu, że system zabezpieczeń przedsiębiorstwa nie był wystarczający – co niesie ze sobą długofalowe konsekwencje. Kluczowy jest czas wykrycia infekcji. Średnio następuje to dopiero to pół roku od włamania. W tym czasie hakerzy mogą bezkarnie harcować po zasobach organizacji. Straty powstałe w wyniku ataku mogą więc być liczone nawet w perspektywie kilkuletniej.
Szczególna rola przemysłu w zapewnianiu społeczeństwu dostępu do podstawowych usług sprawia, że firmy produkcyjne muszą wyjątkowo czujnie chronić swoje zasoby IT przed cyberterroryzmem i cyberszpiegostwem.
Czym różnią się wspomniane zagrożenia od zagrożeń, które mogą wystąpić np. w branży IT lub e-commerce?
Zagrożenia te są praktycznie takie same, jednak ich skutki mogą nieść za sobą dużo poważniejsze konsekwencje. Ataki na infrastrukturę krytyczną i przemysłową mogą powodować nie tylko straty finansowe czy wizerunkowe, ale mogą także zagrażać życiu ludzkiemu, czy być przyczyną powstania szkód środowiskowych.
Znaczącą różnicę stanowi też czas życia urządzeń stosowanych w przemyśle i pozostałych sektorach, który wynosi odpowiednio 20-30 lat w przemyśle i 3-5 lat w IT.
Odmienny jest również sposób zapobiegania tym zagrożeniom. W świecie IT (w bankach czy e-sklepach) bardzo często spotykamy się z sytuacją, w której operator zarządza przerwę techniczną na konserwację, aktualizację czy zabezpieczenie systemu. W przypadku sieci przemysłowych i infrastruktury krytycznej takie działanie jest niemożliwe i mitygacja zagrożeń może nastąpić tylko podczas planowanych np. co kilka lat przerw technologicznych.
To, na co warto zwrócić uwagę porównując zagrożenia w różnych sektorach, to liczba urządzeń z możliwymi podatnościami. Każde urządzenie, które ma oprogramowanie, może stać się celem cyberataku. O ile jednak w przypadku np. sektora e-commerce takim urządzeniem jest komputer czy serwer, o tyle w przemyśle mamy jeszcze sterowniki i urządzenia dedykowane. W sieci przemysłowej może działać nawet kilkaset urządzeń od różnych producentów, z różnymi wersjami oprogramowania, a zmiana takiego urządzenia, gdy zostanie wykryta podatność, może być niemożliwa z wielu powodów.
Bez przemysłu trudno wyobrazić sobie funkcjonowanie usług publicznych i dystrybucji cywilizacyjnych zasobów, takich jak: energia elektryczna, woda pitna, czy potrzebny do ogrzewania gaz. Odpowiedzialność ta sprawia, że firmy przemysłowe muszą dysponować szczególnie zaawansowanymi systemami chroniącymi zasoby przed cyberterroryzmem oraz cyberszpiegostwem.
Skąd pomysł, aby zająć się cyfrowym bezpieczeństwem firm przemysłowych? Nisza na rynku? Szeroka, bogata gałąź gospodarki?
Podążamy z duchem epoki. Jesteśmy obecnie świadkami czwartej rewolucji przemysłowej. Klasyczne parki maszynowe tracą na znaczeniu, ustępując chmurom obliczeniowym, sztucznej inteligencji i Internetowi Rzeczy. Dla światowej produkcji to ogromny przełom, szansa na optymalizację kosztów, poprawę jakości wytwarzania, a także bardziej precyzyjne wychwytywanie defektów urządzeń i maszyn. Ale są też nowe zagrożenia. Automatyzacja, cyfryzacja, powszechne podłączenie do sieci, cała masa aktualizacji oprogramowania będącego rynsztunkiem nowego systemu produkcji – to wszystko stwarza przestrzeń dla działalności cyberprzestępców.
Tu warto zaznaczyć, że przemysł jest jedną z tych branż, które łatwo zaatakować. Wynika to po części z historii – przez wiele lat sieć przemysłowa była odseparowana od świata zewnętrznego. Za sprawą cyfryzacji, bardzo szybko i zazwyczaj niestety w sposób niekontrolowany, zaczęło się to zmieniać. Najczęściej już na wstępnym etapie analizy sieci okazuje się jak wiele, nawet drobnych z pozoru, jest obszarów cyberryzyka i podatności. Przykładowo są to nieuprawnione i nienadzorowane urządzenia w sieci, otwarte i niezabezpieczone porty komunikacyjne, nadmiarowa komunikacja pomiędzy urządzeniami, nieaktualizowane oprogramowanie układowe na sterownikach. To główne luki, przez które łatwo przeniknąć cyberprzestępcom. W sytuacji, gdy trudno zdiagnozować zagrożenia, nie można im skutecznie przeciwdziałać. I tu widzimy swoją rolę. Jesteśmy przekonani, że budowanie cyberodporności musi rozpocząć się od inwentaryzacji sieci, jej wizualizacji i zmapowania urządzeń. Firma musi wiedzieć co ma chronić i najlepiej, aby ta wiedza była dostępna w trybie ciągłym, a nie tylko podczas jednorazowych audytów – nazywamy to świadomością sytuacyjną w cyberbezpieczeństwie. Tylko posiadając wiedzę na temat tego co mamy i z czym się łączymy, jesteśmy w stanie zabezpieczyć infrastrukturę, uporządkować ją i przygotowywać na ewentualne zagrożenia ze świata zewnętrznego, które mogą wyrządzić szkodę instalacji przemysłowej.
Jak działa Wasze rozwiązanie? Czy możemy porównać je do antywirusa, czy to zbyt daleko idące uproszczenie?
Dostarczamy narzędzie do monitorowania infrastruktury, które umożliwiają pełną kontrolę nad siecią OT/ICS (Operational Technology / Industrial Control Systems) oraz zapewniają skuteczne zarządzanie ryzykiem operacyjnym w czasie rzeczywistym, a także zarządzanie incydentami, w tym odpowiednie ich dokumentowanie.
Mówiąc bardzo obrazowo: to, co obecnie oferujemy, to rozwiązanie sprzętowo-softwarowe, które można podpiąć do każdej infrastruktury przemysłowej, niezależnie od tego czy jest to elektrownia, przepompownia, kopalnia, wodociągi czy fabryka. Nasz produkt jest w stanie stworzyć dokładny obraz sieci, pokazać jakie urządzenia w niej funkcjonują. Po włączeniu trybu nauki system obserwuje całą komunikację pomiędzy urządzeniami, uczy się jej charakterystyki i buduje dedykowane dla monitorowanej sieci modele Machine Learning. Po kilkudziesięciu godzinnej nauce system w trybie ciągłym monitoruje sieć i urządzenia, sygnalizując zauważone anomalie pracy i zagrożenia.
Nasze rozwiązanie jest odpowiedzią na problem niepełnej inwentaryzacji sieci, pojawiający się w infrastrukturze produkcyjnej. Problem ten może generować anomalie w postaci braku wiedzy na temat funkcjonowania całej architektury urządzeń i świadczonych przez nie usług. Efektem tego są luki w zabezpieczeniach systemów, co stanowi wyzwanie nie tylko dla zespołów bezpieczeństwa, ale też całej organizacji. Nasze produkty zapewniają więc odpowiedni system inwentaryzacji oraz raportowania stanu infrastruktury.
Oferowane przez nas narzędzia wpasowują się w charakterystykę sieci chronionych, tworzących nowy przemysł i są ważnym elementem bezpieczeństwa infrastruktury krytycznej.
W jaki sposób przebiega wdrożenie Waszej platformy u klienta? Czy za każdym razem musicie ją personalizować, czy jest to w pełni skalowalne narzędzie?
Wypracowane przez nas rozwiązanie ma charakter uniwersalny – można je podłączyć do każdej sieci automatyki przemysłowej i uzyskać wizualizację nawiązanych w jej ramach połączeń i działających urządzeń w czasie rzeczywistym. Nasze urządzenia informują administratora systemu o zachodzących zdarzeniach, diagnozują miejsce jego wystąpienia i alarmują o możliwości wystąpienia potencjalnego incydentu. Dzięki wykorzystaniu elastycznych modeli AI/ML, system jest przygotowany do obsługi niestandardowych typów sieci przemysłowych i unikalnych sterowników.
Nasze rozwiązanie opracowuje modele ML dedykowane do obserwowanej sieci – i co najważniejsze – robi to w sposób automatyczny. Użytkownik musi tylko wskazać, dla których segmentów jego sieci należy zbudować taki model. Może być ich oczywiście bardzo dużo, ponieważ urządzenia w jednym segmencie mogą pracować zupełnie inaczej niż w innym, lub w przypadku zmiany procesu na linii produkcyjnej te same urządzenia mogą wykonywać zupełnie inne programy.
Oprócz tego nasze rozwiązanie bazuje na architekturze mikroserwisów, co pozwala bardzo mocno skalować się, wykorzystując moc przetwarzania pojedynczych serwerów czy całych klastrów serwerowych.
Braliście udział w programie akceleracji Krakowskiego Parku Technologicznego oraz w programie mentoringowym Incredibles Sebastiana Kulczyka, a w kwietniu 2021 roku pozyskaliście 4 mln złotych od PGNiG Ventures. Jak zamknięta runda finansowania zmieniła Waszą firmę?
Ten zastrzyk finansowy umożliwia nam doskonalenie naszego systemu SCADvanceXP. Produkt ten, bazujący na analizie anomalii i korelacji wyników pracy modułów sztucznej inteligencji, który jest w stanie wykryć zagrożenia wcześniej nie obserwowane (i najbardziej niebezpieczne), zostanie wzbogacony o kolejne funkcjonalności.
Pracujemy też nad nowymi rozwiązaniami. W tej chwili nowoczesne sieci przemysłowe są dużo szybsze i bardzo często ich rozwój idzie w kierunku sieci bezprzewodowych jak 5G, LTE, sieci kampusowych, Industrial Internet of Things, czyli Internetu Rzeczy w przemyśle. Budujemy więc nową sondę opartą na technologii FPGA (Field-Programmable Gate Array). Nasze rozwiązanie będzie mogło działać samodzielnie, bez konieczności korzystania z dużego oprogramowania i serwera. To będzie przełomowa, bardzo mocna oferta, która spowoduje, że będziemy gotowi na rozwój 5G w sieciach przemysłowych.
Zmianą, którą odczujemy będzie również wzrost zatrudnienia, w tej chwili mamy otwartych kilkanaście rekrutacji.
Jakie cele stawiacie przed sobą na najbliższych 12 miesięcy? A co potem – będziecie rozwijać się głównie w Polsce, czy również na innych rynkach?
Produkt z założenia jest globalny i jest konkurencją dla amerykańskich czy izraelskich rozwiązań. Już w tej chwili niemal nie ustępuje im funkcjonalnością, a jednocześnie jest istotnie tańszy. Dodatkową zaletą SCADvanceXP jest jego zgodność z dowolnym interfejsem w sieci przemysłowej. Można go podpiąć do bardzo rzadko spotykanych, charakterystycznych dla wąskiej branży, protokołów komunikacyjnych, np. w kolejnictwie. Co więcej, my nie jesteśmy uzależnieni od globalnego łańcucha dostaw – technologię, projekt, wykonanie – to wszystko robimy na miejscu, własnymi siłami inżynierskimi. Możemy więc wdrożyć produkt w firmie od ręki, bez obaw, że jakiś komponent do nas “nie dojedzie” na czas.
Chcemy więc, w perspektywie najbliższego roku zaistnieć na rynkach zagranicznych, tym bardziej, że popyt na technologie do monitoringu infrastruktury krytycznej będzie coraz większy. Z jednej strony ze względu na wzrost liczby cyberataków, z drugiej za sprawą nowych regulacji, takich jak NIS2, która poszerza konieczność raportowania incydentów o nowe podmioty. Za kluczowe uznano tutaj organizacje z sektorów bankowego, energetycznego, transportowego, publicznego, w tym służby zdrowia i podmiotów odpowiedzialnych za zaopatrzenie w wodę i infrastrukturę cyfrową. Za podmioty istotne uważa się również niektóre części sektorów pocztowego, zarządzania odpadami, produkcji i dystrybucji chemikaliów, żywności oraz innych wskazanych produktów, a także wskazanych dostawców usług cyfrowych. Niezależnie od kategoryzacji, wszyscy będą podlegać dokładnie tym samym wymogom w kwestii zarządzania ryzykiem i obowiązków sprawozdawczych. W razie niespełnienia wymagań, firma poniesie karę w wysokości do 10 mln euro lub 2% przychodu. To istotna zmiana, która będzie miała wpływ na uszczelnienie systemu cyberbezpieczeństwa i – na to liczymy – także popularność naszego rozwiązania.
Komentarz Łukasza Polkowskiego, analityka inwestycyjnego PGNiG Ventures:
– Rewolucja przemysłowa spowodowała, że urządzenia automatyki przemysłowej korzystają z wielu nowoczesnych rozwiązań cyfrowych, dzięki czemu urządzenia te komunikują się ze sobą w sposób wydajny, a systemy sterowania i infrastruktura informatyczna stopniowo integruje się ze środowiskiem Internetu Rzeczy. W ten sposób, na naszych oczach, rodzi się Przemysłowy Internet Rzeczy (IIoT), który wymaga od właścicieli infrastruktury przemysłowej dużych zmian w standardach bezpieczeństwa cyfrowego. Systemy monitorowania sieci przemysłowych typu IDS rozwijają obecnie nieliczne spółki. Produkt ICsec jest polskim rozwiązaniem, którego potencjał zastosowania w różnych branżach, nie tylko energetycznej, jest bardzo szeroki. Zintensyfikowane działania cyberprzestępców w ostatnim czasie wpłynęły na wzrost świadomości w zakresie zagrożeń w sektorze przemysłowym, czego efektem była podpisana przez Prezydenta RP Ustawa o krajowym systemie cyberbezpieczeństwa w 2018 r. Kierunek jest oczywisty, a rynek cyberbezpieczeństwa to jeden z najbardziej perspektywicznych sektorów całej branży IT. Inwestycja PGNiG Ventures w ICsec była naturalnym krokiem wejścia w ten atrakcyjny rynek.
O rozmówcy
Marek Smolik, Chief Technology Officer, ICsec
Marek Smolik odpowiada za rozwój nowatorskich rozwiązań w obszarze cyberbezpieczeństwa w przemyśle jako CTO w spółce ICsec. Ma blisko 30-letnie doświadczenie na rynku IT. Jest architektem i autorem wielu aplikacji wykorzystywanych w energetyce, w tym także odnawialnej, automatyce i handlu detalicznym.
Marek Smolik ma duże doświadczenie w programowaniu sterowników PLC i dogłębną wiedzę z zakresu bezpieczeństwa i automatyki IT/OT. Wyróżnia się umiejętnością przekładania potrzeb biznesowych na zaawansowane technologicznie produkty i systemy IT, a także wysoką skutecznością w rozwiązywaniu problemów oraz definiowaniu strategii i roadmap produktowych.
Materiał powstał we współpracy z PGNiG Ventures
