SCADA, skrót od Supervisory Control and Data Acquisition, to system pozwalający na kontrolowanie, przechowywanie oraz ciągłą aktualizację danych w czasie rzeczywistym, włącznie z wglądem w faktyczny stan urządzeń produkcyjnych i wykonawczych. SCADA są dziś wykorzystywane między innymi do administracji miejskimi wodociągami, synchronizacji sygnalizacji świetlnej, czy zarządzania infrastrukturą energetyczną. Coraz częściej również prywatni przedsiębiorcy decydują się na wprowadzenie rozwiązań SCADA, na przykład do administrowania sieciami pomieszczeń biurowych czy wspierania departamentu logistyki. Niestety, rozwój systemów kontroli przemysłowej nie jest równoznaczny ze wzrostem wiedzy na ich temat.
Rosnąca liczba ataków na systemy SCADA
Z opublikowanych w styczniu br. informacji Departamentu Bezpieczeństwa Krajowego USA wynika, że w ciągu ostatnich dwóch lat wzrosła liczba ataków wymierzonych w systemy SCADA. Zdaniem ekspertów z zespołu ICS-CERT, nadzorującego zagrożenia dla systemów kontroli przemysłowej, w 2012 r. najczęściej dotyczyły one sektora energetycznego (41% ataków, w tym 23 na firmy paliwowe). Cyberzagrożenia są jednak często niezależne od branży, a przy tym bardzo podobne do tych, na jakie narażone są sieci korporacyjne. Z tą jednak różnicą, że ich reperkusje są nierzadko znacznie poważniejsze, ze względu na złożoność administrowanych przez nie mechanizmów i danych.
Zagrożenie zainfekowaniem firmowych baz danych za pośrednictwem systemów SCADA jest coraz poważniejsze, a jego skutki mogą być równie dotkliwe, co konsekwencje ataków na infrastrukturę krytyczną. Jest to spowodowane dwojako rozumianą wszechobecnością firmowych systemów SCADA – zarówno powszechnością ich występowania, jak i mnogością zadań, które koordynują.
Mity na temat SCADA
W jaki sposób zatem sformułować odpowiednią politykę bezpieczeństwa dla systemów SCADA? Przede wszystkim należy wyjaśnić nieporozumienia, skutecznie blokujące wdrażanie właściwych zasad ochrony oprogramowania SCADA w przedsiębiorstwach.
Oto trzy najważniejsze mity, funkcjonujące w odniesieniu do tych systemów:
- SCADA i używane przez nie protokoły komunikacyjne są unikalne i mało znane, co ogranicza liczbę osób zdolnych do ich zaatakowania,
- SCADA są odporne na cyberataki, ponieważ funkcjonują w wyizolowanych środowiskach, niepołączonych z Internetem,
- cyberataki na systemy SCADA są mało atrakcyjne dla potencjalnych hakerów.
Wszystkie powyższe założenia są fałszywe i mogą prowadzić do bezpośredniego zagrożenia bezpieczeństwa sieci. Ataki na systemy SCADA, tak jak te wymierzone w sieci firmowe, mogą być dokonywane przez połączenie internetowe, sieć firmową, sieć VPN, luki w zabezpieczeniach, niezabezpieczone porty TCP lub UDP czy sieć Wi-Fi bez zabezpieczeń.
Jak się bronić?
Efektywnym rozwiązaniem, umożliwiającym zmniejszenie skali ataków na systemy automatyki przemysłowej i zminimalizowanie związanych z nimi zagrożeń jest segmentacja sieci. Jest ona jednak skuteczna jedynie wtedy, gdy towarzyszy jej odpowiedni poziom zabezpieczenia. Tradycyjne firmowe sieci już teraz korzystają z profitów, jakie zapewnia im segmentacja na aplikacje, użytkowników i zawartość, dzięki zastosowaniu firewalli nowej generacji (NGFW, Next Generation Firewall) – podobne korzyści mogą zacząć odnosić również sieci SCADA.
Wykorzystanie firewalla nowej generacji w zabezpieczeniu systemów SCADA rozszerza możliwości ich ochrony o:
- Budowanie specjalistycznych stref bezpieczeństwa „SCADA”, odizolowanych od reszty sieci zaporami nowej generacji,
- Dostęp do strefy SCADA może być uwierzytelniany przez użytkownika, nie przez adres IP i jest odmawiany nieautoryzowanym użytkownikom. Możliwość powiązania kwestii bezpieczeństwa z identyfikacją użytkownika pozwala również na sprawdzanie i raportowanie jego działalności wewnątrz systemu,
- Dostęp do aplikacji charakterystycznych dla SCADA może zostać w bezpieczny sposób odblokowany w oparciu o konkretne programy, nie porty. Eliminuje to zagrożenie związane z wieloma otwartymi portami. Dodatkowo, dostęp do aplikacji typu jak RDP czy Telnet może zostać ograniczony wyłącznie do wybranych użytkowników.
- System ochrony może być wykorzystany do kontroli całego ruchu przechodzącego przez strefę SCADA pod kątem exploitów, malware, botnetów i innych dedykowanych zagrożeń. Co więcej, firewall umożliwia ochronę najsłabszych punktów systemu SCADA, dzięki zdolności do stałej identyfikacji całości generowanego ruchu, na wszystkich portach, w tym do rozpoznawania zaszyfrowanych zagrożeń.
Dodatkowe zabezpieczenia, które powinny zostać wdrożone w celu uzupełnienia działania zapory nowej generacji w sieciach SCADA obejmują procesy organizacyjne, takie jak ustanowienie bieżących procedur zarządzania ryzykiem, okresowe przeglądy techniczne oraz cykliczne audyty bezpieczeństwa.
autor: Karl Driesen/wiceprezes Palo Alto Networks EMEA