DCS i SCADA

W12: Bezpieczeństwo i cyberbezpieczeństwo w systemach przemysłowych.

Sebastian Plamowski

Literatura1. „What is SCADA?,” [Online]. Available: https://inductiveautomation.com/what-is-scada.

2. E. Parr, Industrial Control Handbook, New York: Industrial Press Inc., 1998, pp. 440-441.

3. S. Boyer, SCADA:Supervisory Control and Data Acquisition 3rd Edition, Durham: ISA, 2004, p. 89.

4. J. Weiss, „What Executives Need to Know About Industrial Control Systems Cybersecurity”.

5. „http://pastebin.com/AtedM7Lj,” [Online]. Available: http://pastebin.com/AtedM7Lj.

6. „http://www.omnisecu.com/ccna-security/what-is-switch-spoofing-attack-how-to-prevent-switch-spoofing-attack.php,” [Online]. Available: http://www.omnisecu.com/ccna-security/what-is-switch-spoofing-attack-how-to-prevent-switch-spoofing-attack.php.

7. M. Tanase, „IP Spoofing: An Introduction,” [Online]. Available: https://www.symantec.com/connect/articles/ip-spoofing-introduction.

8. R. f. I. S. Incidents, „ Annual Report on Cyber Security Incidents and Trends Affecting Industrial Control Systems,” 2011.

9. F. Williams, „SCADA Security: Justifying the Investment,” [Online]. Available: https://www.tofinosecurity.com/blog/scada-security-justifying-investment.

10. J. W. Ellen Nakashima, „Stuxnet was work of U.S. and Israeli experts, officials say,” The Washington Post, 2012.

11. L. O. M. E. C. Nicolas Falliere, W32.Stuxnet Dossier, Wrzesień 2011.

12. K. Zetterr, Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target, Wrzesień 2010.

13. E. R. D. H. J. M. Aleksandr Matrosov, Stuxnet Under the Microscope.

14. R. Langner, Ralph's Step-By-Step Guide to Get a Crack at Stuxnet Traffic and Behaviour, Wrzesień 2010.

15. E. Chien, Stuxnet: A Breakthrough, Listopad 2010.

16. E.-I. ICS, „Analysis of the Cyber Attack on the Ukrainian Power Grid,” Waszyngton 2016.

17. „https://www.eset.com/int/about/newsroom/research/eset-finds-connection-between-cyber-espionage-and-electricity-outage-in-ukraine/,” [Online]. Available:https://www.eset.com/int/about/newsroom/research/eset-finds-connection-between-cyber-espionage-and-electricity-outage-in-ukraine/.

18. Adrian Zawiska „Ceberbezpieczeństwo w przemysłowych systemach wizualizacji i sterowania (SCADA, DCS)”, praca dyplomowa inżynierska w przygotowaniu

Wprowadzenie

• Szybki rozwój cyberprzestępczości ukierunkowanej przeciwko zakładom produkcyjnym i systemom automatyki przemysłowej wymusił zmiany w podejściu do bezpieczeństwa informatycznego tychże obiektów.

• Dotychczasowo przyjęte modele zarządzania i procedury mające zapewnić jak największą wydajność oraz bezawaryjność dla systemów sterowania nie były ukierunkowane jednocześnie na zapewnienie odpowiedniej ochrony przeciw atakom hakerów i szpiegów przemysłowych.

System IT a System przemysłowy

• Z racji na swoje zastosowanie w krytycznych gałęziach przemysłu zapewnienie bezpieczeństwa w systemach sterowania przemysłowego różni się znacząco od metodologii przyjmowanej przy ochronie zwykłej infrastruktury IT.

• Cykl życia przemysłowego systemu to od 15 do nawet 25 lat. Nie można pozwolić na nieplanowane odstawianie takiego systemu w celu wgrania poprawek w oprogramowaniu czy załataniu luk w infrastrukturze sieciowej.

• W poniższej tabeli przedstawione są najbardziej znaczące czynniki jakie należy wziąć pod uwagę porównując krytyczne systemy sterowania ze zwykłą infrastrukturą IT

System IT a System Przemysłowy

Cecha systemu IT Infrastruktura przemysłowa

Poufność (Prywatność) Wysoki Niski

Integralność (spójność) danych Niski-Średni Bardzo Wysoki

Dostępność Niski-Średni Bardzo Wysoki

Uwierzytelnianie Średni-Wysoki Wysoki

Poświadczenie pochodzenia danych Wysoki Niski-Średni

Krytyczność w czasie Zakres tolerancji w dniach Krytyczny

Niedostępność systemu Tolerowana Nieakceptowalna

Świadomość w kwestii bezpieczeństwa Zwykle dobra Zwykle niska

Długość życia systemu 3 – 5 lat 15 – 25 lat

Współdziałanie Niekrytyczne Krytyczne

Zasoby obliczeniowe „Nielimitowane” Bardzo ograniczone do starszych procesorów

Zmiany w oprogramowaniu Częste Rzadkie

Największe zagrożenia Częsta utrata danych Uszkodzenia sprzętowe

Słabe punkty w strukturze zabezpieczeń systemów przemysłowych – tło ataków• Istnieje wiele powodów przez które infrastruktura krytyczna staje się

celem ataków dla różnego rodzaju przestępców. Można podzielić ich na działających od wewnątrz jak i tych uzyskujących nieautoryzowany dostęp z zewnątrz przedsiębiorstwa.

• W pierwszym przypadku atakującym może być zwykły pracownik, który jest niezadowolony ze swojej posady bądź został on w swoim mniemaniu źle potraktowany przez przełożonych i przed odejściem ze stanowiska stara się zemścić na pracodawcy. Istnieje tu również aspekt szpiegostwa przemysłowego i sabotażu opłacanego najczęściej przez konkurencyjne firmy bądź dostawcę systemów sterowania, który przegrał przetarg na dany obiekt. Może być to również działanie nieintencjonalne, które może nie jest atakiem lecz błędem ludzkim bądź zwykłym niezastosowaniem się do wytyczonych procedur bezpieczeństwa ale również najczęściej skutkuje przerwą w dostępności do świadczonej usługi.

Słabe punkty w strukturze zabezpieczeń systemów przemysłowych – tło ataków• Odrębnym typem atakujących są zorganizowane grupy przestępcze i inne

jednostki przełamujące zabezpieczenia od zewnątrz. Najczęściej w uszkodzeniu danej infrastruktury widzą oni możliwość potencjalnego zarobku czy to poprzez kradzież danych, szantaż bądź wyeliminowanie konkurencyjnego rozwiązania z rynku. Mogą być to również agencje obcych wywiadów gdzie celem jest uzyskanie przewagi politycznej.

• Przykład: Amerykańsko-Izraelskiego robaka Stuxnet niszczącego infrastrukturę do wzbogacania uranu należącą do Irakijczyków. Zakład przemysłowy może paść ofiarą ataku ze względu na sektor swojej działalności. Najczęściej dzieje się to z ręki grup aktywistów czy też przez atak terrorystyczny. Również w tym przypadku obiekt może zostać zaatakowany przypadkowo. Dzieje się to na przykład wtedy gdy system zostanie przypadkowo zainfekowany przez pospolitego wirusa komputerowego czy zaatakowany przez osoby, które przełamywanie zabezpieczeń traktują jako swojego rodzaju hobby i nie są w pełni świadome szkód jakie mogą wyrządzić wyłączając krytyczne systemy przemysłowe.

Sposoby ataków

• Można wyróżnić dwa podstawowe sposoby dla przeprowadzenia ataku na systemy sterowania:• Włamanie fizyczne – atak wymierzony od wewnątrz czyli przeprowadzony przez

pracowników posiadających dostęp do newralgicznych danych,• Cyberatak – atak przeprowadzony z zewnątrz, zazwyczaj poprzez luki

w zabezpieczeniach, które atakujący omija i tym samym zwiększa swoją wiedzę o wewnętrznej architekturze systemu.

• Pomijając ataki przeprowadzane od wewnątrz przez pracowników większość z konwencjonalnych włamań następuje za pośrednictwem Internetu. Choć wydawać by się mogło że systemy przemysłowe nie powinny widnieć w sieci i być dostępne z poziomu naszego domowego komputera jest to niestety złudne wyobrażenie. W roku 2012 grupa hackerów chcąc pokazać ignorancję części przedsiębiorstw z USA wykorzystujących systemy SCADA w swoim procesie technologicznym opublikowała listę około 50 adresów internetowych, które najprawdopodobniej stanowią bramy do infrastruktury przemysłowej.

Skutki ataków

Skuteczny atak cybernetyczny może pociągnąć za sobą najróżniejsze skutki:

• Ujawnienie informacji poufnych

• wstrzymanie bądź uniemożliwienie dalszej produkcji przez wyłączenie lub uszkodzenie urządzeń odpowiedzialnych za sterowanie procesem technologicznym czy też urządzeń produkcyjnych (Niemcy, 2013 –atak na hutę),

• zaburzenie przepływu informacji w systemie co może rozstroić proces produkcyjny (Ukraina, 2015 – atak na elektrownię),

• wyłączenie systemów bezpieczeństwa bądź ich modyfikacja i w efekcie uszkodzenie instalacji (atak na stalownie).

Czynniki zmniejszające bezpieczeństwo

Wrażliwe punkty, które mogą przyczynić się do zmniejszenia bezpieczeństwa:

• czynnik ludzki,

• niewłaściwe procedury i procesy bezpieczeństwa,

• luki w zabezpieczeniach fizycznych,

• luki w architekturze sieciowej,

• niezabezpieczone lub przestarzałe oprogramowanie i sprzęt.

Sposoby uzyskania dostępu do sieci - VPN

• Serwery VPN są jedną z prostszych metod na uzyskanie autoryzowanego dostępu do sieci firmowej czy też produkcyjnej a to wszystko na prawach innego użytkownika o odpowiednim poziomie dostępu.

• Procedura rozpoczyna się najczęściej od zainfekowania komputera pracownika o odpowiednich uprawnieniach przy pomocy phishingu.

• Doświadczony napastnik może stosować również bardziej wyrafinowane metody oparte na socjotechnice. Może to być na przykład przechwycenie prywatnego konta e-maila lub dysku w chmurze gdzie mogą znaleźć się zapisane hasła lub klucze dostępu do infrastruktury firmowej. W teorii sytuacja taka nie powinna przynieść żadnego rezultatu niestety w praktyce znane są przypadki przetrzymywania danych firmowych na prywatnych słabo zabezpieczonych nośnikach. Nawet jeśli hacker uzyska dostęp tylko do sieci firmowej nic nie stoi na przeszkodzie aby znaleźć dostęp do infrastruktury produkcyjnej czy to przez zmianę ustawień w bieżącej architekturze czy też przez wykorzystanie dalszych luk w zabezpieczeniach.

Sposoby uzyskania dostępu do sieci – RTU, PLC

• Innym ze słabych punktów są urządzenia RTU i PLC. Często mają one zapasowe łącze służące do przesyłania danych, w przypadku kiedy główne połączenie ulegnie awarii. Łącza te mogą być oparte na starszej technologii takiej jak połączenie modemowe z użyciem linii telefonicznych bądź nadajników GSM. Są to technologie gorzej zabezpieczone i słabiej szyfrowane przez co stanowią idealną furtkę dla potencjalnego atakującego.

• Często sterowniki PLC, czy komputery przemysłowe są niezabezpieczone lub uruchomione na standardowych ustawieniach producenta.

Sposoby uzyskania dostępu do sieci – dostęp dla dostawców• połączenia VPN oraz dial-up pozostawione dla dostawcy rozwiązania

na danym obiekcie, dzięki którym dostawcy udzielają pomocy zdalnej czy też monitorują pracę urządzeń. Takie rozwiązanie uzasadnione jest chęcią oszczędności oraz skrócenia czasu trwania awarii.

Sposoby uzyskania dostępu do sieci –centralna baza, API• Centralnym miejscem większości systemów sterowania jest baza

danych. Jeśli atakujący znajdzie możliwość na przesyłanie kwerend do takiej bazy może wykorzystać podatność znaną jako SQL Injection. Dzięki takiemu zabiegowi jest on w stanie podnieść swoje uprawnienia w strukturze zabezpieczeń co da mu dalsze pole do penetracji wewnętrznej warstwy zabezpieczeń.

• Często w systemie dostępne jest API (zbiór funkcji) pozwalających na kontakt z kluczowym składnikiem systemu poza wewnętrzny obszar sieci. Może być to podyktowane chęcią stworzenia systemu odpowiedzialnego za generowania raportów i statystyk na aktualnie dostępnych danych. API może być również wykorzystane do dostępu do sieci.

Metody ataku – Denial of Service DoS (1/2)

Szeroko pojęta metoda ataku polegająca na czasowym bądź stałym wyłączeniu danej usługi lub uniemożliwieniu uprawnionym użytkownikom na korzystanie z niej. Najczęściej realizowana poprzez wysycenie zasobów lokalnych i sieciowych maszyny przez co nie jest ona w stanie przetwarzać dalszych zapytań. Istnieje wiele metod umożliwiających przeprowadzenie udanego ataku:

• Ping of death – atakujący wysyła wiele pofragmentowanych pakietów IP o rozmiarze większym niż dozwolony przez protokół TCP/IP (63535 bajty) przez co atakowany system nie może poradzić sobie z obsłużeniem ich w poprawny sposób. Wygenerowanie wielu jednoczesnych zapytań tego typu zajmuje wszystkie wolne zasoby atakowanej maszyny co skutkuje brakiem odpowiedzi na jakiekolwiek inne zapytania,

• UDP flood attack – tak jak w przypadku Ping of death na atakowany komputer wysyłanych jest wiele jednoczesnych zapytań z tą różnicą, że są to zapytania generowane dla losowych portów UDP, na które ofiara odpowiada informacją o tym iż na danym porcie nie działa żadna aplikacja. Wysycenie zasobów powoduje brak odpowiedzi na inne poprawne zapytania sieciowe,

• TCP SYN flood attack – atak używany w celu zarezerwowania przez atakującego wszystkich wolnych sesji sieciowych danej maszyny co finalnie skutkuje odrzucaniem przez nią zapytań kierowanych ze strony innych urządzeń,

Metody ataku – Denial of Service (2/2)

• Land attack – spreparowanie pakietu SYN (pakiet z flagą synchronizacji, służącą do poinformowania zdalnego komputera o chęci nawiązania z nim połączenia) w taki sposób aby atakowane urządzenie zaczęło wysyłać pakiety do samego siebie w nieskończonej pętli co prowadzi do wysycenia zasobów,

• Teardrop attack – atak polega na wysyłaniu fragmentów pakietów, które po złożeniu przez docelowy system w całość nie dają sensownych informacji, na które można by odpowiedzieć. Ma to doprowadzić do wywołania błędów na atakowanym systemie,

• ICMP smurf attack – atak polegający na wysłaniu żądania odpowiedzi na pakiet ICMP (ang. Internet Control Message Protocol – protokół komunikatów kontrolnych) w imieniu atakowanej maszyny przez co jest ona zalewana odpowiedziami z całej infrastruktury.

Metody ataku – VLAN hopping

• Metoda ataku oparta na wykorzystaniu źle skonfigurowanych portów dostępowych urządzeń sieciowych. Są to porty, które używają podsieci opartych na standardzie VLAN i pozostają ustawione w trybie „Trunk”, „Dynamic Desirable” lub „Dynamic Auto” co umożliwia hakerowi na użycie tej drogi jako bramy do reszty podsieci logicznych.

• Poprzez podłączeniu do niezabezpieczonego portu atakujący może uzyskać dostęp do sieci o dowolnym numerze VLAN, która to normalnie powinna pozostać odizolowana od napastnika.

• Konsekwencją przeprowadzenia takiego ataku może być dostęp z podsieci sieci firmowej do podsieci produkcyjnej skąd prosta droga do zatrzymania procesu technologicznego. Po uzyskaniu dostępu do podsieci logicznej, w której znajdują się interesującej przestępcę urządzenia bądź systemy może on przeprowadzić ataki mające na celu utratę dostępności dostarczanej usługi bądź dalszą penetrację sieci przemysłowej w poszukiwaniu kolejnych luk.

Metody ataku – IP spoofing

• Jest to metoda polegająca na ukryciu tożsamości osoby przeprowadzającej atak wykonywana poprzez fałszowanie ramek pakietów IP. Pozwala na zmianę swojego adresu IP na nieprawdziwy (lub taki co posiada większe uprawnienia) co pomaga napastnikowi przy przeprowadzaniu DoS oraz ataków typu man-in-the-middle.

• Man in the middle - polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy

Metody ataku – atak na bazę z użyciem SQL Injection• technika ataku polega na wstrzyknięciu złośliwego kodu do aplikacji

bazy danych. Baza taka jest zazwyczaj słabo zabezpieczona a dodatkowym ułatwieniem może być wystawienie jej na dostęp przez Internet.

• W konsekwencji hacker pozyskuje dostęp do danych zawartych w bazie. Możliwe jest również przechwycenie samej maszyny na której jest uruchomiona aplikacja co umożliwia dalszą infiltrację systemów produkcyjnych.

Przeszkody stojące na drodze do podniesienia bezpieczeństwa – otwartość środowisk• W obecnych systemach przemysłowych pojawia się konflikt

otwartości infrastruktury a jej bezpieczeństwa. Odchodzi się od standardowego modelu odizolowanego środowiska na rzecz usług zdalnego dostępu. Najczęściej wykorzystywany jest on przez kadrę zarządzającą w celu łatwego dostępu do systemów zbierających dane historyczne. Ułatwia to podejmowanie właściwych decyzji w czasie rzeczywistym oraz generowanie sprawozdań i różnego rodzaju raportów na podstawie aktualnych danych pobranych bezpośrednio z działającego systemu.

• Zgodnie z raportem przedstawionym przez Repository for IndustrialSecurity Incidents w 2011 r. ponad 35% wszystkich ataków na systemy przemysłowe i technologiczne zostało rozpoczętych przez luki w dostępie zdalnym.

Przeszkody stojące na drodze do podniesienia bezpieczeństwa – świadomość użytkowników• Jednym z problemów jaki pojawia się przy próbie zapewnienia wysokiego stopnia

bezpieczeństwa w systemach produkcyjnych jest przekonanie ich użytkowników o niezawodności dostarczonych systemów zabezpieczających infrastrukturę przed atakiem.

• Innym problemem może być również negatywne podejście kadry zarządzającej do ponoszenia kosztów związanych z ustawicznym szkoleniem załogi w dziedzinie cyberbezpieczeństwa. Problemy te w najmniejszym stopniu dotyczą super krytycznych gałęzi przemysłowych takich jak: instalacje atomowe, przemysł rafineryjny czy elektrownie ponieważ przedsiębiorstwa takie przeznaczają dużą część budżetu na doszkalanie pracowników z zakresu procedur i planów mających ograniczyć możliwość potencjalnego ataku a w razie wykrycia włamania minimalizować poniesione straty.

• Niestety mniejsze przedsiębiorstwa produkcyjne często nie dostrzegają realnego zagrożenia atakiem cybernetycznym lub finansowanie inwestycji podnoszących bezpieczeństwo wydaje się nie przynosić firmie mierzalnych korzyści

• Pracownicy przedsiębiorstw, których architektura oparta jest o systemy sterowania i wizualizacji są najczęściej specjalistami z wysokimi kwalifikacjami technicznymi oraz długim stażem pracy, niestety nie posiadającymi wiedzy w dziedzinie bezpieczeństwa komputerowego lub nie stosującymi wiedzy nabytej na szkoleniach w praktyce. Świadczy o tym fakt, iż większość udanych ataków rozpoczyna się od prostych wiadomości phishingowych a obrona przed nimi jest podstawowym elementem szkoleń z zakresu bezpieczeństwa IT.

Przeszkody stojące na drodze do podniesienia bezpieczeństwa – korzystanie z gotowych rozwiązań• W celu minimalizowania kosztów przemysłowe systemy sterowania

coraz częściej przestają być projektowane wyłącznie w oparciu o sprzęt i aplikacje dedykowane do rozwiązań automatyki przemysłowej.

• W połączeniu z zaniedbaniami w sferze bezpieczeństwa otwiera to system na podatności takie jak luki w oprogramowaniu oraz błędy w systemach operacyjnych i sterownikach urządzeń użytych do konstrukcji infrastruktury sieciowej.

• Z racji powszechnego użycia powyższych składników błędy te są odnajdywane nie tylko przez wyspecjalizowanych w tym przestępców lecz również przez normalnych hackerów operujących na niekrytycznych systemach komercyjnych.

Przykłady ataków – Stuxnet, Grudzień 2010, Iran (1/4)• Wykryty 13 lipca 2010 roku robak komputerowy Stuxnet o numerze CVE-

2010-2568 jest pierwszym w swoim rodzaju złośliwym oprogramowaniem komputerowym. Od innych programów tego typu odróżnia go fakt iż został napisany specjalnie na potrzeby szpiegostwa w instalacjach przemysłowych.

• Jego cechą szczególną jest, to że obiekty jakie obiera za swój cel są ściśle określone. Stanowią je sterowniki PLC firmy Siemens działające pod kontrolą systemów operacyjnych z rodziny Microsoft Windows – SIMATIC S7-300 i SIMATIC S7-400. W przypadku gdy wymienione powyżej sterowniki nie zostaną wykryte na komputerze ofiary bądź w podłączonej sieci komputerowej oprogramowanie pozostaje nieaktywne i nie podejmuje dalszych kroków – ma to na celu zminimalizowanie potencjalnego wykrycia przez systemy zabezpieczeń.

Przykłady ataków – Stuxnet, Grudzień 2010, Iran (2/4)• Aby pozostać niewykrytym jak najdłużej i nie wzbudzać podejrzeń Stuxnet

instalował się jako sterowniki znanych firm JMicron i Realtek. W normalnej sytuacji użytkownik systemu operacyjnego zostałby natychmiast powiadomiony o chęci dodania podejrzanych urządzeń ale w przypadku Stuxnet zostały użyte oryginalne certyfikaty - najprawdopodobniej wykradzione wcześniej z wymienionych powyżej firm.

• Kolejnym krokiem było zainfekowanie plików należących do oprogramowania firmy Siemens zajmującego się kontrolą systemu SCADA. W tym przypadku chodzi o oprogramowanie WinCC oraz PCS 7, w których to kodzie zapisano na stałe hasło dostępu do bazy danych. Dzięki tej luce robak dostawał się na sterownik PLC i był w stanie przeprogramować go dowolnie nie wzbudzając przy tym systemów bezpieczeństwa.

• W finalnym kroku robak zaczynał zmieniać częstotliwość obrotów podłączonych do systemu SCADA silników. Szybka zmiana pomiędzy wartościami 1410 a 1064 Hz ukryta przed systemami monitorującymi pracę urządzeń powodowała fizyczne uszkodzenia.

Przykłady ataków – Stuxnet, Grudzień 2010, Iran (3/4)• Atak rozpoczynał się od przejęcia kontroli nad systemem operacyjnym

Windows. Złośliwe oprogramowanie dostawało się na komputery wykorzystując aż 4 nieznane wcześniej luki oraz inne bardziej powszechne metody zaciemniania złośliwego kodu przed systemami antywirusowymi.

• Głównym medium rozprzestrzeniania się tego narzędzia były pamięci przenośne takie jak choćby powszechnie stosowane pendrive-y. Drugą z dróg infekcji była lokalna sieć komputerowa, którą to oprogramowanie skanowało w poszukiwaniu potencjalnych nosicieli jeszcze przed uruchomieniem właściwego złośliwego kodu. Jednocześnie odbywało się przeszukiwanie lokalnych zasobów zainfekowanej maszyny na obecność wcześniej wspomnianych sterowników PLC.

• Koleją techniką jaka została wykorzystana przy projektowaniu omawianego robaka była możliwość aktualizacji peer-to-peer co powodowało, że wystarczyło aby jedna z maszyn w danym segmencie sieci miała dostęp do Internetu i była w stanie utrzymywać aktualną wersję oprogramowania w całym kontrolowanym środowisku.

Przykłady ataków – Stuxnet, Grudzień 2010, Iran (4/4)• Producent złośliwego oprogramowania nie ujawnił się. Zgodnie z

powszechnie przyjętą tezą za powstaniem tak wyspecjalizowanego narzędzia miały stać wywiady Stanów Zjednoczonych i Izraela motywowane osiągnięciem przewagi politycznej nad rządem Iranu. Na poparcie tej tezy stawiany jest fakt, iż większość infekcji miała miejsce właśnie na terenie tego ostatniego państwa, a sterowniki PLC, które były celem ataku wykorzystywano właśnie w procesie wzbogacania uranu przez Irański program jądrowy.

• Według danych udostępnionych przez firmę Symantec, która jest wiodącym producentem oprogramowania antywirusowego, na dzień 29 września 2010 roku liczba zainfekowanych maszyn mogła osiągnąć nawet 100 tys. Liczba unikatowych adresów IP z których pochodziły sygnały wskazujące na infekcję robakiem Stuxnet sięgała wtedy ponad 40 tys. i swoim zasięgiem obejmowała 155 krajów.

Przykłady ataków – BlackEnergy, Grudzień 2015, Ukraina (1/3)• Dnia 23 grudnia 2015 r. nastąpił cyberatak na infrastrukturę energetyczną w

obwodzie Iwanofrankiwskim (ukr. Івано-Франківська область) na Ukrainie. Ofiarą ataku był lokalny dostawca energii - firma Prykarpattyaoblenergo.

• Analiza powłamaniowa wykazała, że w powyższym incydencie można wyróżnić 3 główne fazy wspólne dla wielu innych ataków tego typu:• uzyskanie dostępu do infrastruktury,• infiltracja sieci przemysłowej,• atak Denial of Service.

• Atak rozpoczął się od wysłania przez hackerów spreparowanej wiadomości e-mail do jednego z pracowników elektrowni. Rzekomym nadawcą był członek tamtejszego parlamentu co najprawdopodobniej skłoniło operatora do otworzenia złośliwego maila i umożliwiło dalszą infekcję systemów w zakładzie. E-mail zawierał załącznik, w którym zaszyty został złośliwy kod znany jako BlackEnergy – szkodliwe oprogramowanie należące do grupy Trojanów.

Przykłady ataków – BlackEnergy, Grudzień 2015, Ukraina (2/3)• Program ten raz uruchomiony rozpoczyna na komputerze ofiary

szereg procesów mających udostępnić daną maszynę na potrzeby atakującego oraz umożliwić dalszą infekcję sieci komputerowej.

• Po przejęciu kontroli nad jednym ze stanowisk rozpoczął się proces infiltracji wewnętrznej sieci przemysłowej. Grupa hackerów uzyskała dostęp do systemów sterowania i zarządzania węzłami sieci energetycznej, modułów zasilania awaryjnego UPS oraz systemów zabezpieczenia elektrowni przed awarią i niekontrolowanym wyłączeniem. Żaden z pracowników nie zdawał sobie sprawy z trwającego przełamywania kolejnych zabezpieczeń.

Przykłady ataków – BlackEnergy, Grudzień 2015, Ukraina (3/3)• Atak właściwy polegał na przerwaniu pracy elektrowni i uniemożliwieniu

szybkiego wznowienia pracy. Atakujący po zalogowaniu się do sieci SCADA z wcześniej wykradzionych kont w pierwszej kolejności wyłączyli zasilanie awaryjne oraz systemy bezpieczeństwa. Następnie uniemożliwili komunikację Ethernet z węzłami sterowania siecią energetyczną nadpisując kod sterownika karty sieciowej.

• Analiza oprogramowania odnalezionego na zainfekowanych komputerach w ukraińskiej elektrowni wykazała, że wersja Trojana w tym przypadku została wcześniej wzbogacona o dodatkowe funkcje. Jedną z nich był moduł instalujący komponent KillDisk, który umożliwiał niszczenie specjalistycznych systemów przemysłowych zlokalizowanych na wcześniej przechwyconych stacjach roboczych. KillDisk został wykorzystany w ostatniej fazie czyli ataku właściwym.

• Dowodzi to, że atak nie był dziełem przypadku i został skrupulatnie przygotowany. W efekcie ponad 700 tysięcy ludzi zostało pozbawionych energii elektrycznej na kilka godzin zanim udało się wdrożyć procedury awaryjne.

Przykłady ataków – Niemcy, cyberatak na hutę (1/2)• W grudniu 2014 roku Niemiecka agencja rządowa do spraw bezpieczeństwa informacji

(ger. Bundesamt für Sicherheit in der Informationstechnik) ogłosiła, że jedna z tamtejszych hut stali stała się celem ataku po przejęciu kontroli nad systemami zarządzania procesem przez nieznanych sprawców. Był to drugi znany do tej pory przypadek kiedy to zewnętrzny atak na infrastrukturę SCADA doprowadził do fizycznych uszkodzeń sprzętu produkcyjnego.

• Analiza ataku podana przez organizację BSI zawiera informacje o sposobie w jaki napastnicy uzyskali dostęp do sieci firmowej przedsiębiorstwa jednak niestety brak w niej wzmianki o tym jakie zabezpieczenia zostały przełamane w celu przejęcia kontroli nad wydzieloną częścią przemysłową tamtejszej infrastruktury.

• Tak jak w przypadku omawianych wcześniej incydentów zawiódł czynnik ludzki. Wielu napastników przeprowadzało w tym samym momencie skoordynowaną akcję phishing’ową opartą o wiadomości email kierowane do pracowników huty. W audycie powłamaniowym powyższy punkt ataku został określony jako użycie zaawansowanych technik inżynierii społecznej. Po zainfekowaniu komputerów znajdujących się w sieci biurowej nastąpił proces dalszej infiltracji mający na celu szeroko rozumiane uzyskanie dostępu do składników wyizolowanej architektury SCADA.

Przykłady ataków – Niemcy, cyberatak na hutę (2/2)• Po przedostaniu się do chronionej podsieci sterowania napastnicy

wykorzystali szereg błędów w tamtejszej architekturze systemu produkcyjnego. Najpoważniejszym z nich było niedostateczne zabezpieczenie pieca hutniczego przed utratą kontroli nad zarządzanymi automatycznie sterownikami PLC. Były one łatwo dostępne dla atakującego z racji scentralizowanego zarządzanie. Obsługa nie zauważyła w porę, iż mechanizm alarmowy został wyłączony a zabezpieczenia SIS odłączone od urządzeń. Spowodowało to nieodwracalną utratę kontroli nad urządzeniami i niekontrolowaną pracę pieca co doprowadziło do jego wybuchu. Gdyby zabezpieczenia SIS zadziałały instalacja zostałaby wygaszona po przyjęciu krytycznych wartości i udałoby się uniknąć tragedii.

• Niestety według dostępnych informacji nie można ocenić dokładnych strat spowodowanych przez powyższy cyberatak na który złożyło się wiele niedopatrzeń i szereg źle zabezpieczonych systemów mających zapewnić bezpieczeństwo.

Przykład potencjalnego ataku – Replay-attack(1/2)• W obecnych czasach poważnym problemem staje się wizja ataku na

infrastrukturę krytyczną bez przełamywania jej drogich systemów zabezpieczeń. W Stanach Zjednoczonych coraz większą popularnością cieszy się system automatycznej kontroli poboru prądu przez klimatyzatory i inne urządzenia chłodzące. Polega to na tym, że dostawca energii poprzez komendy radiowe jest w stanie kontrolować termostaty w domach swoich klientów na danym obszarze. Ludzie chętnie korzystają z takiego rozwiązania ponieważ wiąże się to ze znacznymi obniżkami w cenach za dostarczaną energię. Podczas kiedy sieć elektryczna zbliża się do stanu przeciążenia operator wyłącza bądź zmniejsza moc na odbiornikach w danym obszarze wysyłając do nich komendę poprzez nadajnik radiowe lub GSM. Skutkuje to obniżeniem zapotrzebowania na energię elektryczną i daje dostawcy dodatkowy czas na zwiększenie generowanej mocy. Problem z powyższym rozwiązaniem tkwi w tym że duża część takich systemów wysyła sygnały bez szyfrowania a komendy odbierane przez termostaty bądź inne urządzenia sterujące nie mają zaimplementowanego mechanizmu sprawdzania sumy kontrolnej.

Przykład potencjalnego ataku – Replay-attack(2/2)• Potencjalny napastnik organizując atak na dużą skalę byłby w stanie

rozesłać sygnał mający włączyć wszystkie odbiorniki podłączone do systemu na maksymalną moc po czym zakłócać komendy wysyłane przez elektrownię. Jeśli taka sytuacja nastąpi w momencie kiedy dostawca nie jest w stanie w szybkim czasie sprostać zapotrzebowaniu na dodatkową energię powstaje realne zagrożenie awarii sieci elektrycznej. Na chwilę obecną jest to hipotetyczna metoda ataku i jeszcze nie miał miejsca incydent, który wykorzystując powyższą podatność spowodowałby realne szkody.

Struktura zabezpieczeń

• Przy projektowaniu architektury dla systemów SCADA/DCS myślą przewodnią była wysoka niezawodność oraz szybkość działania. Cyberbezpieczeństwo nie było priorytetem z racji na przyjęte założenie o izolacji części sieci odpowiedzialnej za zarządzanie i produkcję od świata zewnętrznego.

• Obecnie ta zasada została zatracona ponieważ często stosuje się metody zdalnego dostępu i kontroli procesu. Wewnętrzne systemy sterowania mogą mieć również punkty styczne z infrastrukturą biurową bądź usługami udostępnianymi na zewnątrz dla klientów czy serwisu danej firmy.

• Przygotowywanie struktury zabezpieczeń można podzielić na dwie składowe. Jedną z nich stanowią wszystkie procesy jakie należy przygotować przed implementacją oraz uruchomieniem architektury. Są one ważne zarówno dla procesu projektowania systemu jak i dla jego dalszego użytkowania. Drugą grupą są składniki systemu mające realny wpływ na zapewnienie bezpieczeństwa i utrzymanie wysokiej dostępności procesu.

Procesy odpowiadające za podnoszenie bezpieczeństwa – Ocena ryzyka• Pierwszym z kroków jaki należy podjąć przy rozważaniu słabych punktów

w zabezpieczeniach systemów SCADA i DCS jest ocena ryzyka dla przyjętego modelu zarządzania procesem technologicznym.

• Proces ten ma na celu określenie podstawowych kroków, które pomogą poprawnie zaprojektować poziomy bezpieczeństwa jak również ustalą reguły dla monitorowania bieżących i przyszłych zagrożeń. Jedną z pierwszych czynności jest stworzenie schematu ukazującego połączenia do i z systemów kontroli, poszczególnych obszarów infrastruktury oraz zarządzanych procesów. Pozwala to na szybką i skuteczną identyfikację potencjalnych zagrożeń oraz słabych punktów w architekturze systemu.

• Otrzymana mapa połączeń ukazuje miejsca styków poszczególnych stref. Dla przykładu router łączący sieć produkcyjną z siecią firmową. Finalnym produktem powyższej analizy jest szczegółowa dokumentacja potencjalnych zagrożeń z wyszczególnieniem krytycznych miejsc w infrastrukturze wraz z określeniem czy zagrożenie pochodzi z zewnątrz czy z wewnątrz systemu. W źródłach zewnętrznych wypatruje się działania hackerów natomiast w wewnętrznych załogi pracującej w zakładzie oraz dostawców poszczególnych rozwiązań.

• Zagrożenia należy uszeregować według ich wpływu na interes oraz krytyczności dla bezpieczeństwa. Pomoże to w określeniu kolejności w jakiej należy eliminować zagrożenia oraz jak szybko należy wprowadzać konkretne poprawki do poszczególnych części systemu.

Procesy odpowiadające za podnoszenie bezpieczeństwa – plan bezpieczeństwa• Plan ten oparty jest na wnioskach wyciągniętych podczas przeprowadzonej wcześniej

procedury oceny ryzyka.

• Tworzy ogólną politykę jaka zostanie przyjęta przez przedsiębiorstwo w celu zapewnienia wysokich standardów ochrony oraz szczegółowo określa procedury, które należy wdrożyć podczas naruszenia bezpieczeństwa.

• Przewiduje jakie zachowania i procesy są akceptowalne, a które z nich mogą stanowić potencjalne zagrożenie dla ciągłości procesu technologicznego.

• Określa zasoby zaangażowane we wdrażanie bezpieczeństwa, do których należy zarówno cała infrastruktura sprzętowa jak również zasoby ludzkie.

• Dzieli role i obowiązki pomiędzy poszczególne zespoły, które będą miały styczność z systemem produkcyjnym.

• Jednym z kluczowych elementów jest spisanie procedur odzyskiwania systemu, który uległ całkowitej bądź częściowej awarii, do stanu w którym jest on w pełni funkcjonalny.

• Plan bezpieczeństwa powinien być przeglądany co pewien ściśle określony czas w celu nanoszenia poprawek i zmian jakie zaszły w systemie.

Procesy odpowiadające za podnoszenie bezpieczeństwa – system szkoleń• Nawet najlepiej zaprojektowany system nie będzie w stanie obronić się przed atakami

jeśli nie będą przestrzegane wcześniej przyjęte normy i procedury bezpieczeństwa. Ponieważ zabezpieczenie jest tak skuteczne jak jego najsłabsze ogniwo, ważnym elementem staje się uświadamianie ludzi poruszających się po danym ekosystemie o potencjalnych zagrożeniach związanych z cyberbezpieczeństwem.

• Należy przygotować szkolenie, w którym zostaną przedstawione wszystkie ogólne normy, standardy i procedury bezpieczeństwa spisane podczas poprzednich kroków. Szkolenie takie powinno być podane w przystępnej formie oraz obowiązkowe dla wszystkich pracowników i interesantów niezależnie od wykonywanej funkcji.

• Kolejnym szkoleniem powinno być szkolenie uzupełniające spersonalizowane pod konkretne stanowiska bądź role zajmowane w organizacji. Należy zawrzeć w nim zagrożenia z jakimi można się spotkać podczas wykonywania poszczególnych obowiązków oraz szczegółowo przedstawić kroki jakie trzeba wykonać w czasie cyberataku bądź wypadku mogącemu zagrozić procesowi technologicznemu.

• Od wyżej wymienionych szkoleń nie mogą zostać zwolnione osoby takie jak sprzedawcy czy serwisanci tylko dlatego, że nie mają styczności z procesem na co dzień.

Składniki systemu odpowiadające za podnoszenie bezpieczeństwa – separacja i segmentacja sieci 1/2• Ważne jest aby oddzielić od siebie poszczególne segmenty sieci co

znacznie ogranicza szansę na udany atak na całą infrastrukturę. Obecnie powszechnie stosowany i uznawany za dobrą praktykę jest podział na logiczne podsieci: firmową, sterowania i przemysłową.

• Podział pomaga w ograniczeniu niepotrzebnego ruchu sieciowego pomiędzy wydzielonymi segmentami oraz ogranicza zasięg potencjalnego ataku typu Denial of Service. Odpowiednią segmentację można uzyskać poprzez zastosowanie urządzeń typu firewall i wirtualnych sieci lokalnych. Możliwe jest również ustawianie list dostępu ACL na routerach zarządzanych.

• Najlepszym z dostępnych rozwiązań jest połączenie wszystkich wymienionych powyżej rozwiązań w jedną spójną całość co dodatkowo zwiększy poziom bezpieczeństwa i znacząco utrudni penetrację sieci nieuprawnionym do tego podmiotom.

Składniki systemu odpowiadające za podnoszenie bezpieczeństwa – separacja i segmentacja sieci 2/2• Dzięki wprowadzonemu podziałowi zwiększamy wydajność oraz bezpieczeństwo

infrastruktury o dodatkowe punkty:• sieć komputerowa nie jest widoczna w całości co utrudnia jej zmapowanie oraz poprawia

wydajność zmniejszając ruch typu broadcast,• znane są punkty na których następuje wymiana krytycznych urządzeń co ułatwia ich

monitorowanie,• zmniejsza zasięg infekcji niechcianym oprogramowaniem do konkretnego segmentu sieci.

• Dobrą praktyką jest stworzenie tak zwanej zdemilitaryzowanej strefy sieciowej, w której będą działać narzędzia i aplikacje potrzebne zarówno ze strony sieci firmowej jak i sieci przemysłowej. Strefa ta pośredniczy w komunikacji pomiędzy nimi i nie dopuszcza do bezpośredniego przepływu danych z jednego segmentu do drugiego. Utrudnia to znacząco przedostanie się z zewnątrz do strefy sterowania i produkcji ponieważ są one chronione podwójnym zabezpieczeniem firewall. W strefie takiej można umieścić przykładowe typy usług:• serwery danych historycznych wykorzystywane do prognozowania i raportów,• systemy odpowiedzialne za dostarczanie uaktualnień do urządzeń i aplikacji,• serwery proxy oraz VPN.

Składniki systemu odpowiadające za podnoszenie bezpieczeństwa – system kontroli dostępu• Jednym z kluczowych elementów jeśli chodzi o utrzymanie bezpieczeństwa jest kontrola dostępu

do poszczególnych części infrastruktury. Bardzo często nie jest możliwe aby mieć fizyczny dostęp do danego urządzenia czy stanowiska stąd powszechne jest stosowanie rozwiązań dostępu zdalnego. Jedną z metod takiego dostępu jest użycie łączności bezprzewodowych Wi-Fi lub Bluetooth. Połączenia takie mogą być podsłuchiwane dlatego należy zadbać o ich szyfrowanie.

• Kolejnym krokiem jest monitorowanie urządzeń podłączanych do tychże sieci i wychwytywanie tych, które są wpięte nielegalnie. Jeśli chodzi o połączenia zdalne do serwerów VPN należy zwrócić uwagę na to kto taki dostęp posiada i czy połączenie to jest nawiązywane z użyciem bezpiecznych protokołów takich jak Secure Socket Layer (SSL) czy Internet Protocol Security (IPsec).

• Jednym ze składników, który jest w stanie skutecznie zarządzać uprawnieniami i autoryzacją użytkowników jest serwer RADIUS. Dzięki zastosowaniu reguły AAA (Authentication, Authorization, Accounting) rozpoznaje on użytkownika jeszcze zanim ten dostanie jakiekolwiek uprawnienia i dostęp. Jest to scentralizowany system zarządzania kontami użytkowników i ich uprawnieniami co sprawia, że obsługa i monitorowanie usług dostępowych staje się łatwiejsza.

• Innym aspektem na jaki należy zwrócić uwagę jest monitorowanie codziennego dostępu personelu obsługującego system oraz firm zajmujących się serwisem sprzętu i oprogramowania. Nawet w tym przypadku należy zastosować zasadę ograniczonego zaufania i odnotowywać każdą próbę uzyskania dostępu większego niż potrzebny na dany moment.

Składniki systemu odpowiadające za podnoszenie bezpieczeństwa – zabezpieczenie urządzeń• Dzięki wprowadzeniu procedur mających na celu zabezpieczenie urządzeń

wykorzystanych przy budowie systemu sterowania chcemy uniknąć możliwości uzyskania przez niepowołane osoby dostępu do infrastruktury.

• Sprzętem nad którym powinno się skupić są przede wszystkim routery i switche ale również inne urządzenia odpowiedzialne za komunikację z komponentami wykorzystywanymi przy automatyce przemysłowej.

• Należy wyłączyć wszystkie działające usługi i aplikacje, które nie są używane a ukrytew nich luki mogą stanowić potencjalną drogę do przeprowadzenia ataku. Kolejnym krokiem jest skonfigurowanie urządzeń w taki sposób aby spełniały założenia przyjęte we wcześniejszym planowaniu kontroli dostępu.

• Jedną z kluczowych spraw jest również zaktualizowanie sterowników i oprogramowania do najnowszych pozbawionych błędów wersji.

• Dobrym posunięciem jest również wyeliminowanie komunikacji sieciowej po protokołach nieposiadających szyfrowania. Dla przykładu można użyć tu zamiany protokołu Telnet na SSH czy FTP na SFTP.

• Szyfrowanie komunikacji nasuwa kolejny wniosek, iż hasła dostępowe zapisane na urządzeniach powinny być również utrzymywane w formie niejawnej.

Składniki systemu odpowiadające za podnoszenie bezpieczeństwa – utrzymanie i monitorowanie• System należy stale wspierać aby z biegiem czasu nie stał się on

podatny na ataki i był w pełni sprawny przez cały okres użytkowania. Aby spełnić powyższe założenia należy stale monitorować stan systemu i reagować na zauważone problemy.

• Utrzymanie systemu polega na okresowym instalowaniu łatek i aktualizacji według wcześniej przyjętego planu do określonych w dokumentacji składowych systemu. Składniki te należą do niżej wymienionych podgrup:• oprogramowanie,• urządzenia sieciowe,• bazy antywirusów,• systemy operacyjne.

Składniki systemu odpowiadające za podnoszenie bezpieczeństwa – utrzymanie i monitorowanie• Kolejnym z kroków jest ustawiczne monitorowanie sieci

komputerowych, maszyn oraz znajdującego się na nich oprogramowania w poszukiwaniu potencjalnych zagrożeń i niezałatanych dziur. Można osiągnąć to stosując równolegle wiele technik i praktyk stosowanych przy wykrywaniu włamań do systemów komputerowych. Poniższa lista przedstawia podstawowe z nich:• sprawdzanie obciążenia sieci komputerowych,• przeglądanie plików z dzienników zdarzeń aplikacji, systemów operacyjnych

i urządzeń,• ustawienie na urządzeniach fizycznych protokołu SNMP z opcją

Authentication Trap,• użycie systemów Intrusion Detection.

Ovation Security Center

• Jednym z dostępnych na rynku kompleksowych rozwiązań służących ochronie systemów przemysłowych opartych o środowiska SCADA jest system Ovation Security Center firmy Emerson.

• W swoim arsenale posiada on szereg narzędzi mających zapobiec dostępowi do systemów sterowania i infrastruktury przez osoby do tego nieupoważnione. Jest to rozwiązanie, które oprócz monitorowania i ochrony utrzymuje system w jak najlepszej kondycji poprzez dystrybucję aktualizacji dla oprogramowania i sterowników oraz doglądaniu tego czy ustawienia bezpieczeństwa spełniają wcześniej przyjęte reguły.

• Zastosowano w nim podział narzędzi na aplikacje wirtualne i zabezpieczenia sprzętowe.

Ovation Security Center – zabezpieczenia w warstwie oprogramowaniaDo zabezpieczeń przynależących warstwie oprogramowania należą narzędzia wymienione poniżej:

• Antivirus protection (AV) – stacje robocze oraz serwery działające pod kontrolą systemów z rodziny Microsoft Windows są chronione w czasie rzeczywistym przeciwko zagrożeniom ze strony wirusów komputerowych oraz innego rodzaju szkodliwego oprogramowania.

• Patch manager (PM) – każda z maszyn wpiętych do systemu jest monitorowana i sprawdzana pod kątem aktualności oprogramowania wdrożonego aktualnie na obiekcie co sprawia że środowisko jest mniej podatne na wykorzystanie luk w tymże oprogramowaniu. Składnik ten dba ponadto o wdrażanie poprawek na wszystkich maszynach obecnych w systemie. Instaluje łatki dla systemu operacyjnego oraz dla poszczególnych programów używanych przez pracowników obiektu.

• Malware prevention (MP) – z pomocą specjalnej listy pozwala szczegółowo kontrolować jakie oprogramowanie może być uruchamianie na stacjach roboczych poszczególnych typów. Dzięki wprowadzeniu takich zasad nie jest możliwe uruchomienie innych potencjalnie szkodliwych programów. Nawet wtedy, kiedy program jest powszechnie uznawany za bezpieczny, może on stwarzać zagrożenie otworzenia luk w architekturze systemu produkcyjnego.

• Vulnerability Assessment (VA) – oprogramowanie, które aktywnie przeszukuje środowisko produkcyjne w poszukiwaniu potencjalnych luk i zagrożeń po czym podaje najlepsze rozwiązania mające ograniczyć ryzyko i rozwiązania dla występujących problemów.

Ovation Security Center – zabezpieczenia w warstwie oprogramowaniaDo zabezpieczeń przynależących warstwie oprogramowania należą narzędzia wymienione poniżej:

• Configuration Management (CM) – utrzymuje spójną konfigurację na zarządzanych stacjach roboczych, urządzeniach sieciowych i w architekturze Ovation Active Directory. Dzięki temu narzędziu mamy pewność, że w systemie nie zostały wprowadzone niestandardowe zmiany.

• Device Control (DC) – jest to usługa zapewniająca scentralizowaną kontrolę nad portami USB, napędami optycznymi oraz portami szeregowymi czyli potencjalnymi miejscami przez które dzięki fizycznemu kontaktowi ze sprzętem możliwe jest zainfekowanie systemu.

• System Backup & Recovery (SBR) – system OSC posiada dedykowany serwer na którym trzymane są kopie zapasowe wszystkich krytycznych części systemu aby w razie awarii stacji bądź ataku cybernetycznego możliwe było szybkie odtworzenie w pełni funkcjonalnego środowiska. Kopie mogą być wykonywane na poziomie plików oraz całych dysków dzięki czemu możliwe jest dostosowanie procesu do konkretnej architektury. Pozwala to zaoszczędzić miejsce na dysku twardym i przyśpiesza proces odzyskiwania danych.

• Network Intrusion Detection (manager) (NID) – dzięki zastosowaniu rygorystycznych ustawień na urządzeniach architektury sieciowej takich jak routery i przełączniki możliwa jest jednoczesna izolacja sieci na podsieci firmową, centrum sterowania i produkcyjną oraz jednoczesne zapewnienie pełnej dostępności do określonych składników systemu. Ruch sieciowy jest monitorowany w czasie rzeczywistym dzięki czemu każde naruszenie wcześniej przyjętej polityki bezpieczeństwa oraz niestandardowe zachowania zostają wychwycone i zgłoszone administracji systemu. Narzędzia takie jak NID są ważną częścią zabezpieczeń pre factum ponieważ pomagają wyeliminować zagrożenie zanim jeszcze faktycznie nastąpi.

Ovation Security Center – zabezpieczenia sprzętoweNa system zabezpieczeń sprzętowych składają się następujące komponenty:

• Security Incident & Event Management (SIEM) – serwer dedykowany do zbierania i analizowania zdarzeń związanych z bezpieczeństwem. Zdarzenia te zbierane są z całej infrastruktury od maszyn roboczych i serwerów po urządzenia sieciowe poprzez protokoły SNMP i Syslog. Dzięki scentralizowanej bazie naruszeń polityki bezpieczeństwa możliwe jest błyskawiczne wychwycenie nietypowego ruchu sieciowego oraz infekcji komponentów architektury. Jeśli atakujący będzie na bieżąco czyścić logi zainfekowanych maszyn ze swojej aktywności w celu ukrycia nieautoryzowanego dostępu kopia zapasowa tych wpisów trzymana na serwerze SIEM pozwoli zlokalizować atakującego.

• Network Intrusion Detection (sensor) (NID) – urządzenia pozwalające na zbieranie danych o niestandardowych zachowaniach odnotowanych w ruchu sieciowym, które to informację przesyłane są dalej do centralnej aplikacji zwanej Network Intrusion Detection manager.

• Network Attached Storage (NAS) – serwer o dużej przepustowości służący do współdzielenia plików w systemie. Położenie współdzielonych katalogów w jednym monitorowanym izolowanym miejscu pozwala na sprawne zarządzanie dostępem do zasobów. Pozwala to na wyeliminowanie sytuacji, w której napastnik bądź inna nieuprawniona osoba uzyska dostęp do newralgicznych danych takich jak dokumentacja czy własność intelektualna danego przedsiębiorstwa poprzez przejęcie kontroli nad losowym serwerem lub stacją roboczą.

Ovation Security Center – podsumowanie

• Ovation Security Center jest kompleksowym rozwiązaniem, które zapewnia bezpieczeństwo począwszy od architektury sieciowej na monitorowaniu krytycznych serwerów bazodanowych kończąc. Spełnia on zatem wszystkie założone wcześniej metody ochrony komponentów w systemach sterowania i wizualizacji przy zastosowaniu przemysłowym.

• OSC jest również systemem redundantnym co podnosi jego dostępność i niezawodność. Jeśli jeden z serwerów czy też któraś z działających na nim aplikacji zostanie uszkodzona jej miejsce zastępuje zapasowy komponent o identycznym działaniu i konfiguracji.

• Szkielet tego rozwiązania powstał w oparciu o obecnie obowiązujące normy. Klient dostaje potwierdzenie tego, że system spełnia warunki wytyczone według standardów NERC CIP zapewniających o jakości i niezawodności działania systemów elektrycznych.

Komponent Składnik systemu

Separacja i segmentacja sieci NID

System kontroli dostępu DC, MP

Zabezpieczenia urządzeń AV, CM, VA, SIEM, MP

Utrzymanie i monitorowanie PM, CM, SBR, SIEM, NAS

Tabela 1. Podział składników systemu OSC na komponenty zapewniające bezpieczeństwo w systemach sterowania i wizualizacji.

Kolokwium 2

W7 i 81-2 pytania od Pana Wojtulewicza

W9• 1. Omów główne komponenty budowy sterownika kompaktowego PLC• 2. Omów typy pamięci sterownika PLC, dokonaj ich charakteryzacji• 3. Omów kiedy (w jakich zadaniach, zastosowaniach, projektach) sterownik modułowy jest lepszy/gorszy niż kompaktowy• 4. Rozszyfruj skrót SIL, omów założenia• 5. Czym jest CoDeSys• 6. Omów cykl pracy sterownika PLC• 7. Kontroler w systemie OVATION składa się z dwóch głównych modułów: zdefiniuj je i napisz za co odpowiadają• 8. Na czym polega mechanizm „watch dog detection”• 9. Na czym polega mechanizm „failover”• 10. Czym jest VxWorks• 11. Cechy systemu RTOS• 12. Szeregowanie RMS/EDF

Kolokwium 2

W1013. Wymagania stawiane siecią przemysłowym14. Model ISO/OSI architektura komunikacji sieciowej, rola poszczególnych warstw15. Warstwa fizyczna RS232/RS485/Ethernet16. Algorytm dostepu do nośnika CSMA/CD /CTDMA17. Protokół TCP/UDP18. Omów system sieciowy MODBUS RTU/PROFIBUS

W1219 Omów trendy technologiczne w systemach DCS/SCADA20 Pytania bardziej szczegółowe do danego trendu

W1121. Wymień i omów skutki udanych cyberataków22. Wymień i omów czynniki zmniejszające bezpieczeństwo w systemach przemysłowych przedsiębiorstw23. Metody Denial of Sevice: Ping of death, TCP SYN flood attack, inne24. Przeszkody stojące na drodze do podniesienia bezpiczeństwa25. Omów przebieg ataku Stuxnet26. Omów procesy i składniki systemu odpowiedzialne za podniesienie ryzyka (ocena ryzyka, plan bezpieczeństwa,

system szkoleń, separacja/segmenacja sieci, kontrola dostępu, zabezpieczenie urządzeń, utrzymanie i monitorowanie)

27. Ovation Security Center - zabezpieczenia sprzętowe i zabezpieczenia w warstwie oprogramowania.

DIPR egzamin – ok. 90minut

• Przyczyny/skutki stanów awaryjnych urządzeń i linii procesowych• Efekty działań diagnostycznych• Etapy/fazy diagnostyki• Podejście oparte o Machinery Health Management (sygnały,

wady/zalety)• Podejście oparte o modele/metody bazujące na pomiarach

(modele/metody) – detekcja (schemat, zasady)• Układ statyczny, dynamiczny, rząd, zastosowanie charakterystyk• Opis matematyczny obiektów diagnozowanych z uwzględnieniem

uszkodzenia• Sposoby, wady i zalety metody identyfikacji modelu dynamicznego

DIPR egzamin – ok. 90minut

• Lokalizacja - rodzaje sygnałów diagnostycznych• Narzędzia/metody wykorzystywane w lokalizacji (macierz binarna,

drzewa i grafy diagnostyczne, system informacyjny)• Mechanizmy uwzględniania blokad elementów wykonawczych w

algorytmach regulacji predykcyjnej• TPM, predictive Maintenance, CMMS• Diagnostyka off-line, on-line, alarmowanie

Zadania praktyczne:• Macierz binarna ->drzewo i odwrotnie (lub reguły)• Macierz binarna dla stanowiska wentylacji