Kilka lat temu istniał jeszcze wyraźny rozdział między technologią operacyjną (OT), która steruje fizycznymi funkcjami firmy produkcyjnej, a technologią informacyjną (IT), zawiadującą danymi, aby umożliwić zarządzanie i planowanie.
W miarę jak zasoby IT stawały się coraz bardziej połączone ze światem zewnętrznym za pośrednictwem Internetu, sieci OT pozostały odizolowane od IT – i reszty świata.
Jednak rozprzestrzenianie się przemysłowego IoT, a także potrzeba ciągłego monitorowania i śledzenia informacji z linii produkcyjnych oznaczają, iż połączenie między systemami IT i OT znacznie się rozszerzyło. Środowiska OT nie są już w pełni odizolowane. Są teraz tak samo wyeksponowane na świat zewnętrzny jak infrastruktura IT.
Co to oznacza dla bezpieczeństwa systemów OT, gdzie mało popularne urządzenia niezbędne na produkcji 24/7 mogą być wystawione na ataki z zewnątrz?
Luka powietrzna zniknęła
Jeszcze nie tak dawno wszelka wymiana danych między IT i OT odbywała się za pośrednictwem tak zwanego sneaker net. Operator podchodził do terminala podłączonego do urządzenia OT, rozpakowywał dane z ostatniego okresu i przenosił pliki na swoją stację roboczą, gdzie następnie przekazywał je do systemu informatycznego organizacji. Był to kłopotliwy i powolny sposób przesyłania danych, ale wiązał się z cenną fizyczną separacją (luką powietrzną) między infrastrukturą OT i IT, chroniącą krytyczne urządzenia produkcyjne przed typowymi zagrożeniami cyberbezpieczeństwa IT. Ale czasy się zmieniają.
Dziś widzimy OT na czele tych, których cyberbezpieczeństwo jest zagrożone. Coraz częstsze incydenty z ransomware, które paraliżują całe przedsiębiorstwa i na długi czas przerywają produkcję, mają destrukcyjny wpływ na rozwój dotkniętych nimi firm.
Przykład z życia: wcześniej wyceniane na 100 mln USD United Structures of American Inc. złożyło wniosek o upadłość na początku 2022 r. w dużej mierze ze względu na fakt, iż firma produkująca stal padła ofiarą ataku ransomware, w wyniku którego utraciła większość swoich danych.
Szybie zmiany są nieuniknione
Dynamiczny charakter dzisiejszego środowiska technologicznego oznacza, iż nie można wracać do starych sposobów radzenia sobie z problemami i trzeba iść z duchem czasu w każdym aspekcie. Dlatego niestety musimy założyć, iż OT pozostanie wystawione na świat zewnętrzny. Oznacza to potrzebę innego podejścia do zabezpieczania infrastruktury OT.
Istnieje wiele proponowanych rozwiązań tego problemu, ale często wiążą się one z zupełnie inną architekturą, ponieważ niektóre modele są już nieaktualne. Wymiana istniejących urządzeń lub zmiana istniejących procesów w celu dostosowania do nowych „najlepszych praktyk” zawsze wiążą się z wysokimi kosztami czasu, zasobów i szkoleń.
Ma to wpływ na budżet, więc firmy opóźniają aktualizacje i zmiany tak długo, jak to możliwe. Wielokrotnie widzieliśmy, iż niektóre organizacje znajdą motywację do przeznaczenia znacznych sum na cyberbezpieczeństwo dopiero po wystąpieniu incydentu. Gdy spełni się najgorszy scenariusz, firmy od razu znajdą niezbędne środki na rozwiązanie problemu, ale może być już za późno – jak przekonało się United Structures.
Zabezpieczenie OT – od czego zacząć?
Jeśli nie zabezpieczyłeś jeszcze swojego OT, warto zacząć od razu. Proces „step-by-step” będzie tutaj najlepszym podejściem, ponieważ hurtowe zmiany są bardzo drogie i mogą mieć negatywny wpływ na inne procesy produkcyjne, na których zarabia organizacja.
Rozważ na przykład segmentację sieci używanych przez OT i zastosuj białą listę aplikacji, aby upewnić się, iż tylko autoryzowane aplikacje OT mogą wysyłać i odbierać dane przez tę sieć. Uważnie obserwuj ruch sieciowy i stale analizuj dzienniki zdarzeń, by złapać napastników na gorącym uczynku – zanim będzie za późno.
Tam, gdzie sieć OT jest zbudowana przy użyciu urządzeń Linux, rozważ łatanie na żywo (ang. live patching). Ten mechanizm stale uaktualnia trudno dostępne systemy i urządzenia w infrastrukturze OT i nie koliduje z wymaganiami dostępności, co zwykle ma miejsce, gdy trzeba ponownie uruchomić komputer, aby zainstalować poprawki.
Bez względu na strategię, nie ma usprawiedliwienia dla pozostawienia swojego OT bez ochrony. Nie będzie „dobrego czasu” na stawianie pierwszych kroków. Najlepszy czas na rozpoczęcie ograniczania ryzyka środowisk OT jest właśnie teraz.