Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Bezpieczeństwo informacji w systemach SCADA

Data publikacji: 14-07-2021 Autor: Tomasz Cygan

Bezpieczeństwo automatyki przemysłowej opiera się na spełnieniu wymogu „safety”, jak i „security”. O ile pierwszy przypadek dotyczy odporności na nieintencjonalne zagrożenia, o tyle trzeba pamiętać o działaniach czynionych z premedytacją.

 

Nie ulega wątpliwości, że skuteczne i sprawne działanie automatyki przemysłowej znajduje bezpośrednie przełożenie na bezpieczeństwo życia i zdrowia ludzi, ale jedną z metod jego zapewniania jest wdrożenie środków organizacyjnych i technicznych służących zapewnieniu bezpieczeństwa informacji, w tym także danych osobowych. Systemy SCADA (Supervisory Control And Data Acquisition) nadzorujące przebieg procesu technologicznego lub produkcyjnego nie są w tym zakresie wyjątkiem. Powinny one również podlegać ocenie przez pryzmat zapewnienia bezpieczeństwa informacji.

Na początku 2021 roku pojawiła się informacja o tym, że hakerzy włamali się do systemu komputerowego zakładu uzdatniania wody dla ok. 15 tys. mieszkańców miejscowości Oldsmar na Florydzie i próbowali dodać do wody niebezpieczną ilość wodorotlenku sodu. Nieustaleni sprawcy zdalnie uzyskali dostęp do oprogramowania TeamViewer na komputerze jednego z pracowników zakładu, aby przejąć kontrolę nad innymi systemami. Tragedii udało się zapobiec wyłącznie z powodu czujności jednego z pracowników, który zauważył niebezpieczne zmiany w procesie uzdatniania wody. Wzmiankowana historia nie jest zapewne niczym nowym ani wyjątkowym, ale zwraca uwagę na pewien często pomijany element. Część produkcyjna czy też związana z utrzymaniem ruchu podlega bardzo zbliżonym ryzykom informatycznym co część administracyjna. Pomijając konkretne rozwiązania techniczne, warto weryfikować bezpieczeństwo informatyczne systemów produkcyjnych lub związanych z utrzymaniem ruchu i uwzględnić je w planach audytowych. Wdrożenie systemów SCADA nie zwalnia z tego obowiązku. Wręcz przeciwnie – powinno ono otwierać audyt na nowe obszary.

 

> Zastosowania i funkcje SCADA

 

Rolą systemów SCADA jest nadzorowanie procesów technologicznych lub produkcyjnych, co realizowane jest najczęściej poprzez zbieranie aktualnych danych (pomiarów), ich wizualizację, sterowanie procesem, alarmowanie oraz archiwizację danych. Architektura systemów SCADA może obejmować między innymi: sprzęt (komputery, sterowniki, urządzenia pomiarowe), rozwiązania i protokoły komunikacyjne (Ethernet, MODBUS) czy oprogramowanie. Należy jednak uwzględniać także wszystkie osoby nadzorujące działanie systemów SCADA, obsługujące je oraz świadczące rozmaite usługi związane z ich wdrożeniem, obsługą i utrzymywaniem.

Każde z nich ma swoje własne zagrożenia i podatności. Ich szczegółowa analiza wykraczałaby znacznie poza rozmiary niniejszego opracowania. Natomiast warto zauważyć, że gdybyśmy do bezpieczeństwa automatyki przemysłowej czy też wprost bezpieczeństwa systemów SCADA przyłożyli definicję naruszenia ochrony danych osobowych zawartą w art. 4 punkt 12 rodo („oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”), to w całości znajdzie ona zastosowanie. Także w przypadku automatyki przemysłowej prawdopodobne jest bowiem naruszenie bezpieczeństwa (w rozumieniu security) prowadzące do przypadkowego lub niezgodnego z prawem (dotyczącym różnego rodzaju norm sanitarnych, środowiskowych, technicznych lub technologicznych):

 

  • zniszczenia – atak pendrive'em zainfekowanym wirusem Stuxnet na wirówki atomowe w Iranie,
  • utraty – ataki ransomware, gdy użytkownik otworzy zainfekowany załącznik na komputerze służącym do obsługi automatyki przemysłowej,
  • zmodyfikowania – włamanie do systemu komputerowego zakładu uzdatniania wody, o którym była mowa wcześniej,
  • nieuprawnionego ujawnienia – naruszenie tajemnicy przedsiębiorstwa, w szczególności informacji o charakterze technologicznym, o których mowa w art. 11 ustawy o zwalczaniu nieuczciwej konkurencji,
  • nieuprawnionego dostępu – współdzielone konta użytkowników oraz niesformalizowane zasady zastępowania się pracowników.


Po rozłożeniu działania systemu SCADA na relacje z urządzeniami pomiarowymi, sterownikami oraz użytkownikami wydaje się, że podstawowym (acz niejedynym i rzadko samoistnym) źródłem zagrożeń jest czynnik najsłabszy, czyli człowiek. W powiązaniu z bardzo często nieaktualnym (bo trudnym, a czasem wręcz niemożliwym do aktualizacji) oprogramowaniem i błędnymi założeniami związanymi z projektowaniem bezpieczeństwa może to tworzyć mieszankę wybuchową i to nie tylko w znaczeniu przenośnym. Atak zapoczątkowany błędem człowieka (otwarcie zainfekowanego załącznika w mailu) połączonym z błędnym zaprojektowaniem bezpieczeństwa (brak separacji sieci, brak blokady portów na nośniki zewnętrzne, błędna konfiguracja sieci) może wykorzystać słabości sterowników czy też urządzeń pomiarowych i doprowadzić do naruszenia bezpieczeństwa rozumianego jako safety.

 

> Privacy by design w SCADA

Jednym z podstawowych założeń wynikających z rodo jest zasada privacy by design. W przypadku bezpieczeństwa automatyki przemysłowej oraz systemów SCADA zasada ta mogłaby brzmieć security by design. Wymaga ona, aby projektując rozwiązania dotyczące nadzorowania procesów technologicznych lub produkcyjnych realizowane poprzez zbieranie aktualnych danych (pomiarów), ich wizualizację, sterowanie procesem, alarmowanie oraz archiwizację danych, uwzględniać także bezpieczeństwo informatyczne stosownych systemów, urządzeń i użytkowników. W takim przypadku konieczne jest zaimplementowanie dobrze znanych rozwiązań.

Punktem wyjścia dla bezpieczeństwa systemów SCADA powinno być wydzielenie i odseparowanie środowiska, w którym maja one działać. Niejednokrotnie stosowane są rozwiązania tworzące DMZ (strefę zdemilitaryzowaną). Natomiast pierwsza podstawowa zasada powinna brzmieć: fizycznie rozdziel sieci produkcyjne i związane z utrzymaniem ruchu od wszystkich innych występujących w organizacji. Wydaje się to kwestią dość oczywistą, ale wydana 11 stycznia 2021 roku decyzja Prezesa Urzędu Ochrony Danych Osobowych w sprawie DKN.5130.2815.2020 nakładająca karę upomnienia za naruszenie „polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia” w uzasadnieniu wskazała, że reakcją po naruszeniu ochrony danych osobowych w postaci utraty ich dostępności w następstwie zaszyfrowania danych spowodowanego złośliwym oprogramowaniem szyfrującym Devos było podjęcie działań polegających „na bieżącej aktualizacji oprogramowania i sprzętu, a także odseparowaniu sieci Wi-Fi dla gości”. Oczywiście stan faktyczny w opisywanym przypadku jest rodzajowo inny od bezpieczeństwa SCADA, niemniej wnioski i podjęte działania powinny być identyczne w obydwóch przypadkach. Nie może tutaj zmylić często powielane myślenie, że separacja sieci i tworzenie stref zdemilitaryzowanych są tak oczywiste, że nie trzeba sprawdzać ich prawidłowego wdrożenia.

 

[...]

 

Adwokat, inspektor ochrony danych, wykładowca, publicysta, audytor wewnętrzny normy PN-ISO/IEC 27001:2014-12. Ukończył kurs Data Protection and Privacy Rights organizowany przez Radę Europy Help Programme, kurs Cybersecurity for Critical Urban Infrastructure prowadzony przez Massachusetts Institute of Technology oraz kurs Cybersecurity Risk Management prowadzony przez Rochester Institute of Technology.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"