Wielkie katastrofy bez blasku fleszy. O cyberatakach w przemyśle

Podejście procesowe do spraw niezawodności i cyberbezpieczeństwa wymaga zaangażowania zarządu i kadry kierowniczej

– Cyberataki w przemyśle nie są medialnym tematem, jednak to właśnie ataki na sektor przemysłowy i produkcyjny przynoszą najwięcej strat. Sytuacja będzie coraz trudniejsza, bowiem w grę wchodzi przemysłowy Internet rzeczy (IIoT) – opowiada dr inż. Andrzej Kozak, specjalizujący się w analizach zagrożeń i ryzyka w przemyśle procesowym. Rozmawia Rafał Pikuła.

Rafał Pikuła: W dobie przemysłu 4.0 kwestia cyberbezpieczeństwa staje się kluczowa. Wciąż jednak wiele firm produkcyjnych nie traktuje tej kwestii poważnie.

Dr. inż. Andrzej Kozak: Sytuacja jest paradoksalna. Weźmy pod uwagę typowe urządzenie technologiczne z kategorii OT (Operational Technology), czyli zbiornik ciśnieniowy z substancją niebezpieczną. Sam zbiornik podlega różnorakim ocenom, badaniom, inspekcjom i uzgodnieniom z organami nadzoru państwowego (projekt, technologia wykonania, połączenia spawane itp.) Natomiast osprzęt regulujący ciśnienie – w znacznie mniejszym stopniu. Jednocześnie np. skutek zawodności układów regulacji w wyniku uszkodzenia i cyberataku jest identyczny. Stąd łatwość ukrywania celowych zewnętrznych ingerencji (cyberataków) dotykających przemysłowych systemów sterowania (ICS – Industrial Control System).

W systemach ICS występuje problem zespolenia cyberzagrożeń i poziomu niezawodności sprzętu. Niezawodność (reliability) jest produktem, który można kupić – to nic innego jak jakość danego sprzętu. Cyberbezpieczeństwo układów OT w przemyśle jest zaś procesem, programem, czymś na kształt software’u nierozłącznego z zakupionym sprzętem. Te dwie kwestie są komplementarne, ale wymagają holistycznego podejścia.

Jednocześnie postępowanie po skutecznym cyberataku i śledztwo są żmudne i długotrwałe. Raport np. po cyberataku i związanej z nim katastrofy rurociągu Baku – Tbilisi – Ceyhan, która wydarzyła się w sierpniu 2008 roku, został opublikowany prawie 10 lat po zdarzeniu.

To tylko dowodzi opieszałości w tej kwestii. A będzie jeszcze gorzej, ponieważ wszystko wskazuje, że możemy się spodziewać wzrostu dynamiki cyberataków?

Z publikowanych raportów rocznych, np. CISCO (CISCO Cybersecurity Report) lub ALLIANZ (Allianz Risk Barometer), widać duży (ok. 48%) wzrost liczby skutecznych cyberataków na obiekty przemysłowe w roku 2019 w stosunku do roku 2018. Raport CISCO (The Cisco 2018 Security Capabilities Benchmark Study)na podstawie badań ok. 3600 podmiotów z 26 krajów ocenia, że 53% skutecznych cyberataków wymierzonych w zakłady przemysłowe spowodowało straty powyżej 0,5 mln dolarów. Raport ALLIANZ podaje jako przykład straty przychodu w wyniku ataku typu NotPetya na firmę Reckitt Benckiser w wysokości 130 mln dolarów, zaś straty firmy Maersk i FedEx oszacowane są na ok. 300 mln dolarów.

Nadejście przemysłu 4.0, w którym znikną bariery między ludźmi a maszynami, jest nieuchronne. Internet rzeczy, ludzi, usług i danych zmieni podejście do cyberbezpieczeństwa. Czy w takim razie stanie się ono najważniejszym elementem nowej rewolucji informatycznej?

Istotą rewolucji przemysłu 4.0 są sztuczna inteligencja i samokomunikujące się obiekty połączone siecią internetową. Stawia to bezpieczeństwo i ciągłość działania w centrum uwagi. Konieczne jest holistyczne podejście do tych zagadnień. Przemysł 4.0 będzie szedł „pełną parą” jedynie w środowisku o wysokiej, dojrzałej kulturze bezpieczeństwa. Za cyberbezpieczeństwo będą odpowiedzialni wszyscy, którzy mają jakikolwiek związek z ochranianym procesem. Przemysłowy Internet rzeczy powinien być kontrolowany i pilnowany z najwyższą starannością, podobnie jak infrastruktura krytyczna. Spowodowane jest to włączeniem w globalną sieć, a więc możliwością łatwego rozprzestrzeniania się różnego rodzaju wirusów.

Jaka jest odpowiedzialność kadry zarządzającej w procesie zapewniania cyberbezpieczeństwa?

Podejście procesowe do spraw niezawodności i cyberbezpieczeństwa wymaga zaangażowania zarządu i kadry kierowniczej. Do zarządu należy bowiem uregulowanie szeregu rozwiązań związanych z występującymi w firmie czynnikami ryzyka i podatnościami. Działalność korporacyjna w tym obszarze stawia nowe wymagania, m.in.: kreowanie polityki niezawodności i cyberbezpieczeństwa, umiejętność oceny zjawisk z obszaru wojny informacyjnej (np. jak zwalczać zagrożenie typu BPC – business process compromise). Bardzo ważne jest stworzenie i utrzymanie systemu prowadzenia działań po skutecznym cyberataku oraz ciągła dbałość o infrastrukturę krytyczną.

Jakie są obecnie główne zagrożenia dla infrastruktury krytycznej?

Infrastruktura krytyczna jest obiektem najczęstszych ataków. Wymaga szczególnego, całościowego podejścia, tzn. od zarządu do najniższego szczebla musi być zrozumienie powagi sytuacji i wymogów stawianych przez kulturę bezpieczeństwa. Największe zagrożenie widzę w podejściu fragmentarycznym, czyli zrzucenie całej odpowiedzialności za niezawodność i cyberbezpieczeństwo krytycznych systemów sterowania i automatyki na działy branżowe (informatyka i automatyka).

Przemysł 4.0 to również o wiele większa rola m.in. chmury obliczeniowej i big data. Przetwarzanie ogromnych ilości danych pochodzących z rozproszonych urządzeń końcowych powoduje, że o wiele trudniej jest je zabezpieczyć i ochronić. Jak zabezpieczać dane?

Nie tylko jak chronić dane, ale najpierw trzeba odpowiedzieć na pytanie, jak podzielić dane na osobowe i nieosobowe. Sposoby zabezpieczania tych pierwszych określają przepisy RODO. Dane nieosobowe, a mogą to być dane wrażliwe z punktu widzenia interesu przemysłu lub państwa, obecnie chronione są wedle regulacji na tzw. ogólnych zasadach.

Czy obecne regulacje prawne i uwarunkowania kultury biznesu sprawiają, że kwestia bezpieczeństwa w obszarze produkcyjnym i przemysłowym rozwija się we właściwym kierunku?

Krajowe regulacje prawne dotyczą tzw. usług kluczowych lub infrastruktury krytycznej. Poza regulacjami prawnymi jest np. cały sektor przemysłu maszynowego. Stosowane w pojazdach rozwiązania powstały w początkowych latach dziewięćdziesiątych ubiegłego wieku! Regulacje prawne czy normatywne pojawiają się dopiero po wystąpieniu incydentu. To błędne działanie, typowe reagowanie po szkodzie. Cyberataki w przemyśle nie są medialnym tematem, jednak to właśnie ataki na sektor przemysłowy i produkcyjny przynoszą najwięcej strat. Być może gdyby trafiały na pierwsze strony gazet, kwestia bezpieczeństwa procesów przemysłowych nabrałaby należytej wagi.

*
Dr inż. Andrzej Kozak specjalizuje się w analizach zagrożeń i ryzyka w przemyśle procesowym. Opracowuje metody kompleksowego, holistycznego podejścia do zagadnień analizy bezpieczeństwa, obejmujące również sprawy niezawodności i związane z niezawodnością problemy cyberbezpieczeństwa przemysłowych systemów sterowania. Jest wykładowcą akademickim, prowadzi wykłady i seminaria na specjalistycznych studiach podyplomowych z zakresu bezpieczeństwa technicznego procesów przemysłowych.