Polityka i prawo
Cyberbezpieczeństwo kluczem do sukcesu przemysłu 4.0 [ANALIZA]
Nadejście przemysłu 4.0, w którym to znikną bariery między ludźmi a maszynami jest nieuchronne. Internet rzeczy, ludzi, usług i danych zmieni podejście do cyberbezpieczeństwa, które będzie musiało stać się najważniejszym elementem nowej rewolucji informatycznej. W innym przypadku, może ona przynieść więcej strat niż zysków. Niestety wciąż nie jesteśmy w stanie znaleźć odpowiedniej ochrony przeciwko współczesnym zagrożeniom. Ataki na infrastrukturę krytyczną przybierają tylko na sile. W 2017 roku, najwięcej z nich dotknęło sektor energetyczny i medyczny, czyli dwa absolutnie kluczowe obszary działalności każdego państwa.
Przemysł 4.0 będzie opierał się na interoperacyjności produktów i systemów, które będą coraz bardziej zdecentralizowane. Przesyłanie ogromnej liczby informacji między nimi będzie przebiegało w czasie rzeczywistym, co z kolei będzie wymagało dodatkowych inwestycji w odpowiednie zabezpieczenia. Kolejna problematyczna zmiana, która może mieć miejsce to system automatyki przemysłowej OT, stosowany do monitorowania, sterowania i kontroli procesów fizycznych. Technologie te dotychczas były izolowane od biznesowych sieci informatycznych, teraz ulega to zmianie, co rodzi kolejne zagrożenia. Dlatego też to zapewnienie cyberebezpieczeństwa będzie kluczem do sukcesu gospodarczego państw oraz sukcesów biznesowych podmiotów gospodarczych. Fakt ten dostrzega już 1/3 liderów firm – co wynika z badań przeprowadzonych przez Gartnera.
Obecne zagrożenia dla infrastruktury krytycznej
Dziś nie potrafimy poradzić sobie z obecnymi zagrożeniami w cyberprzestrzeni. W 2010 roku wykryto robak Stuxnet, który atakował systemy kontrolne wirówek odpowiadających za wzbogacanie uranu w irańskim ośrodku Natanz. Był to pierwszy tak spektakularny cyberatak, który powodował zniszczenia materialne i na nic zdało się izolowanie sieci i komputerów od Internetu czyli tzw. sieć air-gapped, która była metodą uważaną za skuteczną od lat. Stuxnet nie był jednak tylko incydentem, ale raczej zapowiedzią kolejnych ataków, których celem coraz częściej miała być infrastruktura krytyczna. Wiązało się to ze zwiększenie liczby przypadków, kiedy powstawały zniszczenia materialne. W 2014 huta stali w Niemczech była celem hakerów, którym udało się przejąć kontrolę nad oprogramowaniem odpowiedzialnym za kontrolę produkcji i doprowadzić do poważnych zniszczeń. W 2015 i 2016 roku doszło do cyberataków przeciwko sektorowi energetycznemu na Ukrainie. W ich wyniku, dostępu do energii elektrycznej zostało pozbawionych kilka milionów obywateli. Rok temu, tylko pomyłka atakujących uchroniła przedsiębiorstwo petrochemiczne w Arabii Saudyjskiej od całkowitego zniszczenia i śmierci wielu pracowników. Powyższe przykłady pokazują, że przemysł 4.0 jeszcze na poważnie nie nadszedł, a już mamy poważne problemy z zabezpieczeniem. Żadne państwo ani przedsiębiorstwo nie może czuć się bezpiecznie przed cyberatakami, co pokazują epidemie ransomware WannaCry i NotPetya. Zainfekowały one osoby, przedsiębiorstwa i instytucje państwowe z kilkudziesięciu państw na całym świecie.
Niebezpieczne IoT
Jednym z najważniejszych elementów przemysłu 4.0 będzie Internet Rzeczy (IoT). Mamy już pierwsze przykłady cyberataków z wykorzystaniem IoT. W 2016 roku doszło do zmasowanych ataków DDoS z wykorzystaniem zainfekowanych inteligentnych kamerek podłączonych do Internetu na serwery firmy Dyn. W konsekwencji serwisy takie jak Netlifx, Payplay czy Twitter miały duże problemy z działaniem w Stanach Zjednoczonych. Pokazuje to w jaki sposób IoT może wzmocnić klasyczne metody przeprowadzania ataków. Hakerom udało się również zdalnie przejąć kontrolę nad Jeepem Cherokee. Upowszechnienie tego typu ataków może zagrozić przyszłości autonomicznych pojazdów. Nie można również zapominać o nowych ogromnych możliwościach szpiegowskich, które daje przemysł 4.0. Podłączanie do Internetu wielu niezabezpieczonych urządzeń wyposażonych w kamery to raj dla potencjalnych szpiegów. IoT zmieni prawdopodobnie również ciężar ataków, który zostanie przesunięty przesunięty z poufności informacji na ich integralność i dostępność. Częściej będziemy mieli do czynienia z manipulacją danymi w celu dokonania zniszczeń fizycznych. Niestety wciąż brakuje świadomości konieczności zabezpieczania takich urządzeń. Nawet 15 % urządzeń może nie być chroniona żadnym hasłem, a biorąc pod uwagę, że w 2020 roku będzie ich więcej 20 miliardów to jest to poważny problem. Niestety klienci zainteresowani zakupem takich urządzeń rzadko kiedy zwracają uwagę na ich właściwe zabezpieczenie, co powoduje, że ich producenci nie przywiązują do tego odpowiedniej wagi.
Inne zagrożenia związane z przemysłem 4.0
Przemysł 4.0 to również o wiele większa rola m.in. chmury obliczeniowej i Big Data. Przetwarzanie ogromnych ilości danych pochodzących z rozproszonych urządzeń końcowych powoduje, że o wiele trudniej jest je zabezpieczyć i ochronić. W przypadku chmury obliczeniowej bezpieczeństwo naszych danych powierzamy jej dostawcy, któremu musimy zaufać, że zastosuje odpowiednie zabezpieczenia. Jej niedostępność ze względu na np. ataki DDoS powoduje problemy dla produkcji w erze przemysłu 4.0. Nie można również wykluczyć ryzyka zarażenia złośliwym oprogramowaniem czy zmiany danych składowanych w chmurze, co może wpłynąć na poprawność wykonywanych procesów przemysłowych. Ochrona wszystkich urządzeń końcowych, z których będą spływały informacje jest jednym z wyzwań dla bezpieczeństwa przemysłu 4.0. Niestety nie można wykluczyć, świadomego przesyłania błędnych, zmanipulowanych informacji, które mogą zakłócić procesy przemysłowe.
Ochrony przed cyberatakami w erze przemysłu 4.0
Przemysł 4.0 zmieni krajobraz zagrożeń, znacznie zwiększając liczbę wektorów ataków. Państwa i przedsiębiorstwa nie są jednak bezbronne i muszą wprowadzić odpowiednie zmiany, które umożliwiają zwiększenie odporności w organizacji. Reformy powinny mieć miejsce w obszarze polityki, organizacji oraz standardów technicznych. W obszarze polityki należy wprowadzić podejście security by design i privacy by design, zamiast obecnie dominującego, polegającego na jak najszybszym i najtańszym wdrożeniu danego projektu czy programu, często z lekceważeniem bezpieczeństwa. Niezbędne będzie również wprowadzenie procesów zarządzania ryzykiem i mitygowania zagrożeń zgodnie z przyjętymi normami i standardami w tym zakresie jak np. PN-ISO 31000:2012 Zarządzanie ryzykiem Zasady i wytyczne.
Na poziomie organizacyjnym konieczne będzie zwiększenie świadomości pracowników, poprzez treningi i alarmowe cyberataki, które uświadomią im, że środowisko w którym operują wcale nie jest bezpieczne. Konieczne będzie również wprowadzenie środków bezpieczeństwa na każdym etapie powstania produktów, od powstania, po proces zamówień, kończąc na ich wykorzystaniu. Poziom organizacyjny wymaga również efektywnego procesu zarządzania podatnościami oraz incydentami bezpieczeństwa tak żeby dokładnie było wiadomo jakie procesy trzeba uruchomić oraz jakie zasoby wykorzystać. Na poziomie technicznym konieczne będzie wprowadzenie odpowiednich środków bezpieczeństwa danych, usług chmurowych. Ważna jest również szyfrowanie przechowywanych informacji i aktualizowanie oprogramowania. Należy również przygotować się na postępowanie po udanym cyberataków, wychodząc z założenia, że zawsze dojście do sytuacji, że atakującym uda się przełamać nasze zabezpieczenia.
Dobrym pomysłem, który jest wprowadzany obecnie na poziomie Unii Europejskiej dotyczy obowiązkowej certyfikacji i akredytacji. Powinna ona objąć urządzenia IoT i nałożyć na ich producentów minimalne wymagania bezpieczeństwa. W innym wypadku nie byłby one dopuszczone na rynek europejskim, co dla ich producentów wiązałoby się ze stratą finansową.
Wnioski
Zagwarantowanie bezpieczeństwa przemysłu 4.0 będzie wiązało się ze zwiększeniem wydatków na zapewnienie cyberbezpieczeństwa. Jest to konieczne, ale wydatki te należy planować rozsądnie. Kupowania dużych ilości narzędzi, które nie są za sobą powiązane w ramach jednego, kompleksowego systemu bezpieczeństwa nie przyniesie pożądanych rezultatów. Należy najpierw opracować plan ochrony i zmniejszenia ryzyka a potem dopiero dobrać do niego odpowiednie narzędzia. Najważniejsza jest jednak świadomość zagrożenia zarówno wśród kadr zarządzających jak i również pracowników przedsiębiorstw. Bezpieczeństwo organizacji zaczyna się w końcu od sekretariatu. Stawką w tej batalii z hakerami nie będzie tylko utrata danych i narażenie prywatności, ale mogą to być zniszczenia materialne i życie ludzi.
Rekomendacje:
- Podjęcie skoordynowanych działań na poziomie politycznym, organizacyjnym i technicznym;
- Wprowadzenie minimalnych standardów bezpieczeństwa, które musi spełniać każdy sprzęt IoT;
- Utworzenie obowiązkowego systemu certyfikacji i standaryzacji sprzętu wykorzystywanego w przemyśle 4.0 na poziomie UE;
- Promowanie koncepcji security by desing i security by privacy wśród producentów;
- Procesy zarzadzania ryzykiem obejmujące zagrożenia z cyberprzestrzeni musza stać się koniecznością;
- Wprowadzenie w organizacjach efektywnych procesów zarządzania incydentami bezpieczeństwa;
- Nacisk na cykliczne szkolenia z zakresu cyberbezpieczeństwa;
Autor: Andrzej Kozłowski - Ekspert Fundacji Instytutu Bezpieczeństwa i Strategii
Pełna wersja tekstu została opublikowana na stronie Fundacji IBIS: Cyberbezpieczeństwo kluczem do sukcesu przemysłu 4.0