Dlaczego tak dużo mówi się ostatnio o bezpieczeństwie infrastruktury OT?

Infrastruktura OT przez długi czas była traktowana nieco po macoszemu. W tych środowiskach kluczowa jest niezawodność działania, więc kwestie cyberbezpieczeństwa pojawiły się tam stosunkowo późno. W dodatku ataki na infrastrukturę OT wymagają większych kompetencji, więc cyberprzestępcy koncentrowali się wcześniej na łatwiejszych celach. Kiedy jednak już je opanowali, efekty są spektakularne – wyłączenie elektrowni, zakłócenie pracy sieci przesyłowej czy paraliż dostaw wody. To ma ogromne konsekwencje, zarówno gospodarcze, jak i psychologiczne. Groźnie zrobiło się także w Polsce na przełomie roku – atakującym udało się wówczas uzyskać dostęp do części infrastruktury krytycznej. Dlatego jej ochrona to dziś zadanie absolutnie kluczowe.

Czy organizacje zarządzające infrastrukturą OT mają tego świadomość?

Są organizacje, które mają dużą świadomość zagrożeń – posiadają plan działania i konsekwentnie go realizują. Z drugiej strony wciąż trafiamy na środowiska, często bardzo poważne infrastrukturalnie, gdzie kwestie bezpieczeństwa są traktowane marginalnie. Wychodzi się tam z założenia, że skoro system jest odizolowany od internetu, to nie wymaga szczególnej ochrony. Co jest, niestety, lekkomyślne. Po wejściu do takich środowisk z zaawansowanymi systemami monitorowania, praktycznie nie zdarzyło się nam, żebyśmy w krótkim czasie nie wykryli aktywnych połączeń.

Skąd biorą się te niekontrolowane połączenia?

W dużych infrastrukturach krytycznych pracuje wiele osób, głównie automatycy i specjaliści od systemów technologicznych. Są oni pod ogromną presją zapewnienia ciągłości działania. W efekcie często tworzą swoje „furtki” – instalując dodatkowe urządzenia i konfigurując alternatywne ścieżki dostępu – żeby w razie problemów móc szybko zareagować. Nierzadko wykorzystywany jest do tego tani, „marketowy” sprzęt, którego jedynym celem jest zapewnienie łączności. Systemy stają się wtedy podatne na ataki i są stosunkowo łatwe do zakłócenia. Brakuje w nich odpowiednich zabezpieczeń, segmentacji czy kontroli dostępu.

Co się dzieje, gdy wdrażacie w organizacji narzędzia do monitoringu i inwentaryzacji sieci?

Takie systemy są bezwzględne – pokazują rzeczywistość dokładnie taką, jaka jest. Z początku, na poziomie deklaracji, zwykle wszystko wygląda dobrze – pytane wcześniej zespoły technologiczne potwierdzają, że mają pełną wiedzę o infrastrukturze. Gdy przychodzimy z narzędziem, okazuje się, że są często dziesiątki i setki nieznanych urządzeń, szczególnie w dużych środowiskach. Zdarzają się przy tym zaskakujące przypadki. W sieciach przemysłowych potrafimy znaleźć na przykład konsole do gier czy nieautoryzowane kamery. Ktoś instaluje je „tymczasowo”, żeby coś sobie ułatwić – dajmy na to podgląd procesu. Problem w tym, że takie urządzenia mogą komunikować się z nieznanymi adresami w internecie i nikt nie ma pewności, co dokładnie robią.

Na czym konkretnie polega wasza praca u klienta?

Jesteśmy firmą wdrożeniową, która dostarcza sprawdzone rozwiązania i wspiera klientów w organizacji całego procesu – od technologii po procedury. Podstawą jest wspomniana już inwentaryzacja i monitoring. To uniwersalna zasada w cyberbezpieczeństwie – nie da się chronić czegoś, o czym nie mamy wiedzy. Kolejnym ważnym elementem jest analiza komunikacji między urządzeniami. Tworzymy grafy połączeń i pokazujemy je zespołom technologicznym. Często okazuje się, że nie mają pełnej świadomości, jak poszczególne elementy się komunikują. To prowadzi do ciekawych odkryć i często do optymalizacji samego procesu technologicznego. Następny etap to ocena stanu urządzeń – wersji oprogramowania, podatności. Wspólnie z klientem ustalamy plan działań: aktualizacje tam, gdzie to możliwe, oraz świadome zarządzanie ryzykiem tam, gdzie aktualizacja nie jest możliwa. Sama świadomość podatności już zmienia sposób podejścia do bezpieczeństwa. Końcowym efektem jest pełna widoczność i kontrola, które organizacja zyskuje po uporządkowaniu infrastruktury i wdrożeniu procesów bezpieczeństwa. Dzięki temu znacznie łatwiej wykryć incydenty, w tym pojawienie się nieautoryzowanego urządzenia czy nietypowej komunikacji. Mając wiedzę o tym, jak sieć powinna działać, szybciej zauważamy wszelkie odchylenia i możemy na nie reagować.

Co może stać na drodze do osiągnięcia takiego celu?

Kluczowym wyzwaniem jest brak spójnych procesów między różnymi działami w organizacji: technologicznym – odpowiedzialnym za procesy przemysłowe, IT – zarządzającym infrastrukturą i systemami oraz cyberbezpieczeństwa – monitorującym zagrożenia, często poprzez SOC. Bardzo często te działy nie miały wcześniej potrzeby tak bliskiej współpracy. Teraz muszą nauczyć się komunikacji, wypracować procedury, a także określić konsekwencje ich nieprzestrzegania. Naszą dużą wartością jest to, że potrafimy poprowadzić klienta również organizacyjnie.