Wzrost liczby cyberataków na infrastrukturę o znaczeniu krytycznym, który miał miejsce w ciągu ostatniej dekady sprawił, że cyberbezpieczeństwo stało się centralnym problemem dla użytkowników i dostawców systemów automatyzacji oraz sterowania w przemyśle. W latach 2006-2012 liczba incydentów zagrażających bezpieczeństwu przemysłu na świecie wzrosła aż o 782 %. Z różnych powodów wiele ataków wciąż nie jest zgłaszanych, co pozwala zakładać, że skala problemu jest większa, niż wskazywałyby na to zebrane dane.
Zamierzone działanie
Cyberataki wymierzone w przedsiębiorstwa przemysłowe mają zawsze charakter strategiczny. Ich celem jest zakłócenie funkcjonowania systemów w celu uzyskania korzyści finansowych, rynkowych (ataki na konkurencyjne firmy) czy czysto politycznych. Zdarzają się również ataki, których podłożem są kwestie społeczne, a w niektórych przypadkach mogą one wynikać nawet z osobistych animozji. Ataki nie są niczym nowym, ale ich skala oraz sposoby są coraz bardziej zaawansowane i przemyślalne. W ciągu ostanich 10 lat miało miejsce kilka głośnych ataków. W 2003 roku zaatakowano elektrownię Davis-Besse należącą do First Energy. Z kolei w grudniu 2010 roku w centrum uwagi całego świata znalazł się robak Stuxnet, który zaatakował elektrownię atomową w Iranie. Po tym zdarzeniu spojrzenie świata na bezpieczeństwo obiektów strategicznych nabrało nowego znaczenia.
Również w Polsce mieliśmy do czynienia z atakami na ważne elementy infrastuktury miejskiej. W styczniu 2008 roku doszło do serii wykolejeń tramwajów w Łodzi. Ich przyczyną był atak 14–latka, który za pomocą przerobionego pilota do TV zmieniał ustawienia zwrotnic działających na podczerwień. Został złapany, tylko dlatego, iż w szkolnym zeszycie miał wpisane numery ulubionych linii tramwajowych. Pokazuje to, jak duże możliwości do ataków mają dzisiejsi hakerzy i jak sie okazuje nie jest to dla nich zbyt trudne.
Ataki przemysłowe
Według danych pochodzących z raportu Cyberbezpieczeństwo środowisk sterowania i automatyki przemysłowej, opublikowanych przez Frost & Sullivan we współpracy z Schneider Electric najbardziej zagrożonymi sektorami są: gospodarka wodna (41% ataków), energetyka (16%) oraz firmy wielosektorowe (25%). W dalszej kolejności uplasowały się: sektor chemiczny, jądrowy oraz administracja publiczna. Dziś główna uwaga hakertów atakujących firmy przemysłowe skupia się najczęściej na systemach sterowania, takich jak rozproszone systemy sterowania (DCS – distributed control systems), programowalne sterowniki logiczne (PLC – programmable logic controllers), systemy SCADA (supervisory control and data acquisition) i panele sterownicze HMI (human machine interface). Cyberprzestępcy wykorzystują różnorodne luki i słabości od niezabezpieczonych kanałów zdalnego dostępu, przez niedoskonałe zapory firewall, po brak segmentacji sieci. Możliwe są również ataki przeprowadzane od wewnątrz, zwłaszcza w przypadku niezadowolonych pracowników lub partnerów biznesowych.
Wszytskie te ataki mają jednak swoje określone przyczyny. Do głównych z nich należą luki w zabezpieczeniach sieci, które mogą mieć różnorodny charakter, od niechronionych punktów umożliwiających zdalny dostęp, po niewystarczające zapory firewall. Z kolei w przypadku sprzętu i oprogramowania luki obejmują m.in. niechronione zdalne terminale RTU, komputery PC, pamięci USB, urządzenia mobilne i peryferyjne oraz konkretne interfejsy HMI, a także wszelkie rodzaje oprogramowania sterującego – mówi Ireneusz Martyniuk, Wiceprezes Pionu Przemysłu w Schneider Electric Polska.
Na bezpieczeństwo trzeba jednak patrzeć szeroko. Przyczyną ataków są również słabe zabezpieczenia fizyczne w przedsiębiorstwie. Tutaj mówimy głównie o niewystarczającej ochronie dostępu osób fizycznych do obiektu i systemów sterowania oraz automatyki i to one są najczęściej spotykanymi fizycznymi lukami – dodaje Ireneusz Martyniuk, Czynnik ludzki w kwestiach związanych z bezpieczeństwem obiektów przemysłowych można powiązać z szeregiem czynników zagrożenia takich jak błędy projektantów oraz instalatorów podczas konfiguracji i instalacji systemu. Do tego mogą dojść również błędy operacyjne podczas pracy systemu, niewystarczająco skrupulatne prace konserwacyjne, plany wymiany sprzętu oraz oprogramowania na nowsze, jak również zbyt niski poziom umiejętności osób wykonujących takie działania. Całościowa kultura pracy ma więc istotny wpływ na bezpieczeństwo i umożliwienie cyberprzestępcom dokonanie ataku. Jeżeli kultura ta nie będzie uwzględniać kluczowych czynników ryzyka to będzie przyzwoleniem na realizację działań operacyjnych w niebezpieczny sposób, ignorując np. podstawową politykę zarządzania hasłami bezpieczeństwa i dostępem pracowników do systemu. Związane jest to mocno z środowiskiem pracy, w którym nie są przeprowadzane regularne audyty, brakuje skutecznych i spójnych działań mających na celu egzekwowanie polityk bezpieczeństwa. Ponadto, nie korzysta się w pełni z dostępnych narzędzi nadzoru i monitoringu, narażając się tym samym na stanowczo zbyt wysokie ryzyko.
Zbyt dużo do stracenia
Konsekwencje niezbezpieczenia przedsiebiorstwa przed atakami moga być bardzo duże. Cyberataki mogą doprowadzic do znacznych strat finansowych, opóźniając lub zakłócając produkcję i procesy operacyjne, doprowadzić do uszkodzenia urządzeń i infrastuktury, a także potencjalnych problemów związanych z niezgodnością z regulacjami bezpieczeństwa. To z kolei może wiązać się z wysokimi karami pieniężnymi – kontynuuje Ireneusz Martyniuk,. Kary finansowe to jednak nie wszystko. Szkody wywołane atakami hakerów mogą wpłynąć na wizerunek firmy i przełożyć się wprost na zmniejszenie zaufania klientów, a tym samym pomniejszenie zysków. W wyniku ataku może również dojść do utraty poufnych danych, co może wpłynąć na obniżenie jakości usług.
Cyberataki to zjawisko, które będzie coraz częściej występowało w sektorze przemysłu. Dla cyberprzestępców, przedsiębiorstwa działające w tej branży stały się bardziej atrakcyjne ze względu na : większe obroty finansowe, możliwość wyrządzenia większych szkód w całym łańcuchu dostawców, jak również uzyskanie dostępu do ciekawych nowych technologii, które później mogą wykorzystać na świecie. Z tego względu wdrażanie strategii bezpieczeństwa jest z jednej strony koniecznością z drugiej zaś stanie się w niedalekiej przyszłości obowiązkiem narzuconym przepisami. Pomimo pojawienia się narzędzi bezpieczeństwa zintegrowanego z konkretnymi produktami, przyjęcie strategii dla sieci przemysłowych stanie się w nadchodzących latach koniecznością w obliczu cyberzagrożeń.