Cyberbezpieczeństwo sektora elektroenergetycznego
144
(z ang.
Industrial Internet of Things
– czyli urządzeń pomiarowych
lub sterujących, połączonych z internetem, służących do szeroko
rozumianej poprawy wydajności produkcji), które sprawiają, że
strefy IT i OT coraz bardziej się przenikają.
Wybrane metody ataku na systemy automatyki
przemysłowej (ISC):
• infekcja programów ICS złośliwym oprogramowaniem,
• blokowanie danych lub przekazywanie operatorowi systemu nie-
pełnych bądź fałszywych informacji w celu ukrycia rozwoju sytuacji
albo zmuszenia go do podjęcia niewłaściwych działań,
• nieuprawnione zmiany w progach alarmowych bądź całkowite
ich usunięcie,
• blokowanie lub opóźnianie przepływu informacji przez sieci ICS,
skutkujące zaburzeniami jej pracy,
• nieuprawnione zmiany w poleceniach zaprogramowanych w miej-
scowych procesorach w celu przejęcia kontroli nad zależnościami
typu master-slave pomiędzy terminalami nadrzędnymi MTU (z ang.
Master Terminal Unit
) a rozprowadzającymi FTU (z ang.
Feeder
Terminal Unit
),
• przeciążanie kadry jednoczesnymi awariami w wielu systemach.
x x x
Przenikanie się tradycyjnego bezpieczeństwa
i cyberbezpieczeństwa
Coraz bardziej zauważalnym trendem jest zacieranie się granicy
pomiędzy klasycznie pojmowanym bezpieczeństwem a cyberbez-
pieczeństwem. Przykładowo, rozwój technologii telewizji przemy-
słowej (CCTV), jaki nastąpił w ostatnich latach, pozwala na zasto-
sowanie zaawansowanych algorytmów m.in. do rozpoznawania
twarzy. Wraz z danymi z systemu elektronicznych identyfikatorów
i czytników tablic rejestracyjnych na parkingach informacje takie
pozwalają na tworzenie całych profili behawioralnych indywidual-
nych pracowników i analizowanie ich zachowań w realnym świecie.
Treści te można następnie zespolić z logami aktywności w sieci,
by zbudować kompleksowy obraz sytuacji i eliminować zagroże-
nia wewnętrzne, tzw. Insider threats (patrz ramka). Rozwój sztucz-
nej inteligencji i uczenia maszynowego, a także rozpowszechnienie
urządzeń Internetu Rzeczy (IoT) dodatkowo zacierają granicę mię-
dzy światem realnym a cyfrowym, dlatego istotne jest, aby jak naj-
wcześniej tworzyć synergię pomiędzy działaniami w obszarach tra-
dycyjnie pojmowanego bezpieczeństwa i cyberbezpieczeństwa.
x x x
Budowanie świadomości cyberbezpieczeństwa
Niezwykle istotnym elementem jest budowanie świadomości cyber-
bezpieczeństwa wśród pracowników firmy. W zależności od sza-
cunków, błąd ludzki jest powodem 80–90% skutecznych ataków.
Są na nie narażeni wszyscy pracownicy, którzy nawet w najmniej-
szym stopniu wchodzą w styczność z infrastrukturą informatyczną,
nie tylko dział IT. Otworzenie podejrzanego załącznika czy uży-
cie zainfekowanego nośnika USB może wystarczyć, aby stworzyć
krytyczną lukę w zabezpieczeniach. Ważne jest zatem podnosze-
nie świadomości pracowników w tym zakresie. Do dobrych praktyk
można zaliczyć zaangażowanie zarządu w takie działania, co stwa-
rza atmosferę solidarności w podejściu do problemu. Innym sposo-
bem jest ustanowienie systemu zachęt i nagród, nagradzającego
odpowiedzialne zachowanie pracowników. Natomiast zdecydowa-
nie nie zaleca się karania użytkowników za niebezpieczne zacho-
wania – nie skutkuje to wzrostem świadomości cyberbezpieczeń-
stwa, a jedynie tworzy atmosferę niechęci i niepokoju w podejściu
do zagadnienia. Przedsiębiorstwo może samodzielnie stworzyć
program budowania świadomości cyberbezpieczeństwa lub skorzy-
stać z szerokiego wachlarza gotowych usług dostępnych na rynku.
x x x
CERT – wyspecjalizowany zespół reagowania na
incydenty komputerowe
Realizację ww. postulatów w zakresie ochrony cybernetycznej pomaga
ustanowienie CERT-u (z ang.
Computer Emergency Response Team
).
To wyspecjalizowany zespół reagowania na incydenty z obszaru bez-
pieczeństwa IT, mający także na celu przeciwdziałać im i rozwiązy-
wać powstałe w ich wyniku problemy, identyfikować źródła czy pod-
nosić stopień skuteczności zabezpieczeń w organizacji. W idealnym
scenariuszu w skład CERT-u wchodzić powinni specjaliści obejmu-
jący szeroki zakres kompetencji: m.in. informatyka śledcza, inżynieria
wsteczna czy bezpieczeństwo automatyki przemysłowej. Należy tutaj
Insider threats
– zagrożenia wewnętrzne. Im większa korpo-
racja tym, większe zagrożenie sabotażem ze strony niezado-
wolonego pracownika. Nawet w przypadku braku złośliwych
intencji, zwyczajne niedbalstwo może doprowadzić do incy-
dentu komputerowego lub wycieku danych. Do minimaliza-
cji tego rodzaju zagrożenia można wykorzystać technologię
analityki behawioralnej UBA (z ang.
User Behaviour Analy-
tics
), która analizuje wzorce zachowań człowieka, a następ-
nie stosuje algorytmy i analizę statystyczną w celu wykrycia
znaczących anomalii. Dynamiczny rozwój sztucznej inteligen-
cji i uczenia maszynowego w ostatnich latach zdecydowanie
zwiększa możliwości i zakres użycia tego typu technologii.
Historia jednego e-maila
– „Glen, czy mógłbyś zająć się spra-
wą T251. To poufna transakcja, która bierze priorytet nad całą
resztą. Czy kontaktował się już z tobą Stephen Shapiro z KPMG?
To bardzo poufna sprawa, więc proszę kontaktuj się ze mną wy-
łącznie przez tego e-maila, inaczej możemy mieć problem z SEC.
Nie rozmawiaj z nikim o tej sprawie! Pozdrawiam, Gean”.
Powyższy tekst to treść e-maila, jaki w 2014 r. otrzymał Glen
Wurm, dyrektor finansowy Ameriforge Group, od atakującego
podającego się za jego szefa – CEO firmy. Na pierwszy rzut oka
polecenie powinno podnieść kilka czerwonych flag, jednak
kilkadziesiąt minut po otrzymaniu e-maila, Glen dostał telefon
z potwierdzeniem od Stephena i zrealizował przelew na 480 000
dolarów, którego odbiorcą był Agricultural Bank of China. Kiedy
polecenie okazało się być fałszywe, pieniądze zostały już wytran-
sferowane za granicę i wszelki ślad po nich zaginął. Atakujący
wykazał się w tym przypadku doskonałą znajomością proce-
sów, także nieformalnych, opartych na stopniu zażyłości pra-
cowników firmy. Czytając jednak treść tego e-maila, wydaje się,
że wpadki można byłoby łatwo uniknąć, gdyby w firmie posta-
wiono na rozwój świadomości i odpowiednie szkolenia w zakre-
sie cyberbezpieczeństwa.
