hirdetés
hirdetés

Kibervédelem a gyárakban

Kiszolgáltatott ipari vezérlőrendszerek

Amint egyre több ipari vezérlőrendszer (ICS) kapcsolódik az intelligens eszközökhöz, a vállalati informatikai rendszerekhez és az internethez, a gyártási műveletek egyre inkább kitetté válnak a kibertámadásokkal szemben. Ezek a gyártás megszakadását okozhatják, ami hibás termékekhez, a gyártás leállásához, fizikai károsodáshoz vezethet, sőt életet is veszélyeztethet.

hirdetés

Az új ipar 4.0 technológiák lehetőséget adnak a termelési rendszerek hatékonyságának és skálázhatóságának növelésére, de új kockázatokat is jelentenek magukban. Az ipari programozható logikai vezérlők (PLC) megtámadására tervezett számítógépes féreg, a Stuxnet felfedezése 2010-ben volt az első esemény, amely megmutatta a SCADA-rendszerek és a PLC-k sebezhetőségét. Azóta újabb és újabb támadásokat jelentettek az ipari rendszerek ellen. Ma már minden gyárban a legkomolyabb módon kell kezelni a kiberbiztonságot.

Az olyan trendek, mint az IIoT és az ipar 4.0, ösztönzik a szervezeteket, hogy elősegítsék a fizikai folyamatok világa és az internet közötti kapcsolatok bővítését. Ez a kapcsolat kibontja a korábban izolált működési környezeteket a számítógépes fenyegetéseknek.

 

Kihívások kereszttüzében az ipari vezérlés

Hogyan definiálható a megfelelő hálózati particionálás? Hogyan biztosítható az ipari hálózatok és a vállalati hálózatok közötti kapcsolat? Hogyan lehet hozzáférést biztosítani a távoli partnereknek a biztonsági irányelvek veszélyeztetése nélkül? Ezekkel a témákkal már a projekt elején foglalkozni kell, hogy a biztonsági megoldásokat már a tervezéskor implementálják. A magas színvonalú IT- és OT-rendszerek minden fél számára alapvető fontosságúak, legyen szó ipari érdekeltekről, szabályozókról vagy ügyfelekről.

Az ipari vezérlők – az elosztott vezérlőrendszerek (DCS), a távoli terminálegységek (RTU) és a programozható logikai vezérlők (PLC) hardveres és szoftveres, programozási vezérlőrendszerei – logikai alapú döntéseket hoznak az ipari folyamatok irányítására. Ezek legtöbbször ipari környezetben működnek, és létfontosságú szerepet játszanak olyan összetett folyamatokban, mint az áramtermelés, az olajszállítás, az elektromos és víziközművek kezelése vagy a különféle gyártási folyamatok. Ipari vezérlők működnek közre az energiatermelésben, energiaszolgáltatásban, a közlekedésben, víz- és csatornahálózatokban, az élelmiszer-feldolgozásban, az egészségügyben, és természetesen a termékek, gépek, berendezések előállításában és gyártásában, valamint az épületek üzemeltetésében is.

(Fotó: 123rf.com)
(Fotó: 123rf.com)

Az ipari vezérlők védelme nem csak a kritikus infrastruktúrák esetében kiemelten fontos. Bárhol, ahol gyártás- vagy folyamatautomatizálás kerül megvalósításra, ott az adott szervezet elsődleges célja, a termelési és kiszolgálási folyamat fenntartása kerülhet veszélybe (tehát maga a gyártás, a termelés), ha nem kezelik kiemelten az ipari vezérlők védelmét.

A Blackcell készített egy felmérést a hazai, internetről elérhető ICS- (Industrial Control System) vagy OT-eszközökről, ezeknek típusairól, megvizsgálták a felhasználásuk jellemzőit és általános biztonsági állapotukat is. Több mint kétezer eszközt azonosítottak, amelyek között megtalálhatók PLC-k és egyéb kontrollerek, HMI-eszközök és webes felületek, különböző kiegészítő modulok, webes menedzsment- és monitoringeszközök, ipari switchek, átalakítók, illetve egyéb rendszerelemek, amelyek felhasználása köthető valamilyen ipari vagy más, vezérléstechnikai (pl. épületvezérlés) tevékenységhez.

Az ipari automatizálás és az ipari és folyamatvezérlők kiemelt célpontot jelentenek a kiberbűnözés számára. Az interneten elérhetővé tett ICS/OT eszközök magas fenyegetettség mellett üzemelnek. A specifikus sérülékenységek vagy a DoS/DDoS támadások miatt a védtelenül elérhetővé tett eszközök nem csak az üzemi folyamatokra, de a mögöttes infrastruktúrára is potenciális kockázatot jelenthetnek.

 

Ebben a tanulmányban (Hazai ICS körkép címen megtalálható a Black Cell Magyarország Kft. honlapján) a titkosítatlan protokollhasználattól kezdve a megbízhatatlan tanúsítványok problémáján át az elavult, sérülékeny alkalmazásokig bemutatták azokat a biztonsági réseket, amelyek pillanatok alatt milliós károkat okozhatnak a vállalatoknak.

Példaként több, Magyarországon is gyártóegységgel rendelkező vállalat kritikus biztonsági eseményeit is említik, köztük a Hydro esetét. A Hydro Magyarországon is jól ismert norvég cégcsoport, a székesfehérvári 1200 fős alumíniummegmunkáló üzeme mellett további 40 országban találhatók leányvállalatai. 2019 márciusában a LockerGoga ransomware miatt 22 ezer PC-t és 40 hálózatot kellett leállítani, majd nulláról újraépíteni a teljes rendszert. A termelési folyamatok hetekre leálltak, a teljes helyreállás hónapokat vett igénybe. A Hydro az incidens miatt legalább 40 millió dollár kárt szenvedett el.

Adatok, kiberbűnözés, zsarolás

Az IBM X-Force Threat Intelligence Index jelentése szerint 2020-ban több ransomware-támadás volt, mint 2019-ben, és az X-Force által megfigyelt zsarolóvírusos támadások 60 százalékára kettős zsarolási stratégia volt jellemző, amelynek során a támadók az adatokat egyrészt titkosították, másrészt el is lopták, majd azok kiszivárogtatásával fenyegettek, váltságdíjat követelve. Az X-Force által azonosított adatsértések 36 százaléka olyan ransomware-támadásokból származott 2020-ban, amelyek valószínűleg adatlopással is jártak, ami arra utal, hogy az adatsértések és a ransomware-támadások összefonódnak.

Az ICS-hálózatok kialakítása és az alapvető biztonsági ellenőrzések, például a hitelesítés és a titkosítás hiánya miatt a legtöbb ICS-támadásnak nincs szüksége a szoftveres sebezhetőségek kihasználására. A hálózat megsértése után a támadó korlátlan hozzáférést kap az összes vezérlőhöz, és megváltoztathatja azok konfigurációját, logikáját és állapotát, hogy zavart okozzon.

A ransomware volt a 2020-as év leggyakoribb támadási fajtája
A ransomware volt a 2020-as év leggyakoribb támadási fajtája

Segítenek a szabványok

AZ ICS/OT hálózatok biztonságos kiépítését ipari szabványok támogatják, illetve a helyi és nemzetközi jogszabályi előírások.

  • Szabványok: NIS, NIST, ISO27k, EU Cyber Act, ITIL
  • Törvényi elvárások: MNB, 2013/L, SWIFT, PSD2

A Common Industrial Protocol (CIP) család – DeviceNet, CompoNet, ControlNet, Ethernet/IP – és főleg az Ethernet/IP kommunikáció biztonságosabbá tételére a legnagyobb automatizálási gyártókat tömörítő Open DeviceNet Vendor Association (ODVA) szervezet létrehozta a CIP Security standardot, amely az ipari protokollok biztonsággal kapcsolatos követelményeit és képességeit határozza meg.

A Black Cell tanulmánya bemutatja a különböző kommunikációs protokollok sérülékenységeit, így többek között a Siemens SIMATIC S7 eszközök általános kommunikációs protokollját, a Pcomot, a Building Automation and Control Network (BACNet) az épületautomatizálás és épületvezérlés egyik legelterjedtebb szabványosított protokollját, ezeknek a legérzékenyebb területeit.

Kutatás a támadásokról

Az IBM Security közzétette a 2021-es X-Force Threat Intelligence Indexét, amelyből kiderül, hogy 2020-ban a kiberbűnözők által a leginkább támadott iparág a feldolgozóipar és az energetikai szektor volt, ezeket követte a pénzügyi és a biztosítási ágazat. A támadók kihasználták azt is, hogy közel 50 százalékkal növekedett a gyártásban és az energetikában is létfontosságú ICS-ek sebezhetősége.

Az X-Force Threat Intelligence Index több mint 130 országban naponta több mint 150 milliárd biztonsági esemény vizsgálatára alapozza megfigyeléseit. Ezenkívül az adatokat az IBM-en belül több forrásból gyűjtik össze és elemzik, beleértve az IBM X-Force (az IBM kibertámadások felderítésével és az incidensek kezelésével foglalkozó szervezete), az X-Force Red (az IBM etikus hekkeléssel foglalkozó szervezete), az IBM menedzselt kiberbiztonsági szolgáltató részlege, valamint a Quad9 és az Intezer szervezetek által szolgáltatott adatokat, amelyek mind hozzájárultak a 2021-es jelentés összeállításához.

A világjárvány átalakította azt, hogy mit tekintünk kritikus infrastruktúrának, és ezt a támadók is felismerték. Számos szervezet először kényszerült a védekezés frontvonalába – függetlenül attól, hogy a koronavírussal kapcsolatos kutatás, az oltóanyaggyártás, az élelmiszerlánc vagy a védőfelszerelések gyártása a profilja.

Nyílt felhők

Az IBM-tanulmány megállapítja, hogy a nyílt forráskódú rosszindulatú szoftverekbe történő befektetés veszélyezteti a felhőkörnyezeteket, főleg most, hogy a koronavírus-járvány idején sok vállalkozás igyekezett felgyorsítani az átállást. A Linux jelenleg a felhőben zajló munkafolyamatok 90 százalékát látja el, és az X-Force számításai szerint az ehhez az operációs rendszerhez kapcsolódó kártékony programcsaládok száma 500 százalékkal nőtt az elmúlt évtizedben, így a felhőkörnyezetek az első számú támadási útvonallá válhatnak.

Mivel a támadók figyelme a felhőkörnyezetekre irányul, az X-Force azt javasolja, hogy a szervezetek mérlegeljék a zero-trust megközelítést a biztonsági stratégiájukban. A vállalkozásoknak a legérzékenyebb adataik védelme érdekében biztonsági infrastruktúrájuk központi elemévé kell tenniük a bizalmas számítástechnikát (confidential computing). A használatban lévő adatok titkosításával a szervezetek csökkenthetik egy rosszindulatú támadás kockázatát, még akkor is, ha a támadók képesek hozzáférni az érzékeny környezetekhez.

Trapp Henci
a szerző cikkei

hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés