Ιστορικά, οι βιομηχανικές επιχειρήσεις παγκοσμίως έχουν προσεγγίσει πολύ διαφορετικά την έννοια της Κυβερνοασφάλειας στα ΙΤ (Information Technology) και ΟΤ (Operational Technology) δίκτυα τους.
Βασίλης Βλάχος
Channel Manager Greece & Cyprus,
Kaspersky
Οι περισσότερες εταιρείες έχουν ήδη υλοποιήσει τεχνολογικές υποδομές για τον εντοπισμό και την αντιμετώπιση δικτυακών απειλών, αλλά όσον αφορά τα βιομηχανικά συστήματα τους (OT), η αντιμετώπιση των Κυβερνο-απειλών περιορίζεται συνήθως στην απομόνωση των σχετικών συστημάτων από το υπόλοιπο δίκτυο. Οι βιομηχανίες ‘ψηφιοποιούνται’ συνεχώς επενδύοντας ολοένα και περισσότερο σε έξυπνες τεχνολογίες, νέα συστήματα αυτοματοποίησης και άλλες εφαρμογές που προάγουν την αύξηση της παραγωγικότητας ή βελτιώνουν πολλούς άλλους δείκτες που ενδιαφέρουν τον οργανισμό. Αυτό στην ουσία εξομοιώνει σταδιακά τα συστήματα του ΙΤ με αυτά του ΟΤ και καθιστά τα δεύτερα ολοένα και πιο εκτεθειμένα στις απειλές που παραδοσιακά αφορούσαν αποκλειστικά τα πρώτα. Σε πρόσφατη έρευνα της Kaspersky τον Νοέμβριο του 2021, η Ελλάδα κατατάσσεται στην 5η θέση, με το 32% των βιομηχανικών συστημάτων να έχουν υποστεί κάποιου είδους επίθεση.
Οι κυβερνοεπιθέσεις σε βιομηχανικούς οργανισμούς θεωρούνται εξαιρετικά επικίνδυνη απειλή, καθώς έχουν τη δυνατότητα να προκαλέσουν μεγάλες υλικές απώλειες και να οδηγήσουν σε διακοπή του κύκλου παραγωγής ολόκληρου του συστήματος. Στοχεύουν, μεταξύ άλλων, βιομηχανικά συστήματα ελέγχου και συλλογής δεδομένων (ICS, SCADA). Επιπλέον, λόγω των εξαιρετικά ευαίσθητων πληροφοριών που διαθέτουν οι βιομηχανικοί οργανισμοί, αποτελούν συνήθως ελκυστικό στόχο για τους επιτιθέμενους. Όπως συνέβη με τις επιθέσεις Stuxnet και BlackEnergy, απαιτείται απλά η χρήση ενός μολυσμένου USB stick ή το άνοιγμα ενός phishing email για να επιτρέψει στον επιτεθέμενο να αποκτήσει πρόσβαση στο μέχρι πρότινος απομονωμένο βιομηχανικό δίκτυο. Τους τελευταίους μήνες, γίναμε μάρτυρες σε πολλές περιπτώσεις, επιθέσεων σε συστήματα και υποδομές που χρησιμοποιούν βιομηχανικά πρωτόκολλα. Στις αρχές του έτους, στην πόλη Oldsmar στην Florida, πραγματοποιήθηκε επίθεση σε κυβερνητική υποδομή που είναι υπεύθυνη για την ύδρευση της πόλης. Στην ουσία έγινε απομακρυσμένη προσπάθεια να αλλαχτεί το μείγμα των χημικών που σχετίζονται με την απολύμανση των υδάτων, κάτι το οποίο θα είχε ως συνέπεια τη μαζική δηλητηρίαση των καταναλωτών. Πολύ πρόσφατα, τον Οκτώβριο, έλαβε χώρα μία άλλη κυβερνοεπίθεση σε δημόσιο νοσοκομείο στο Ισραήλ. Η συγκεκριμένη επίθεση δημιούργησε μεγάλα προβλήματα στην ομαλή παροχή υπηρεσιών του οργανισμού, ενώ απαιτούσε την καταβολή συγκεκριμένου χρηματικού ποσού (ransomware). Οι υπηρεσίες του νοσοκομείου αντέδρασαν χρησιμοποιώντας εναλλακτικούς πόρους και συστήματα υποστήριξης των λειτουργιών τους. Στη συγκεκριμένη περίπτωση δεν υπήρχε ευτυχώς κάποια ανθρώπινη απώλεια, όπως δυστυχώς συνέβη σε αντίστοιχη περίπτωση σε νοσοκομείο στη Γερμανία πριν από λίγους μήνες.
Προστασία σε 3 άξονες
Η αποτελεσματική προστασία βιομηχανικών συστημάτων και δικτύων από Κυβερνο-απειλές συνήθως δομείται σε τρεις διαφορετικούς άξονες. Ο πρώτος άξονας αφορά την προστασία των Endpoints με κάποιο Antivirus που όμως είναι προσαρμοσμένο στις ιδιαίτερες ανάγκες και προδιαγραφές των συγκεκριμένων υπολογιστών και τερματικών. Αυτά ενδέχεται πολλές φορές να χρησιμοποιούν πολύ απλά/βασικά λειτουργικά συστήματα (embedded), ή ακόμα και κάποιες πολύ παλιές εκδόσεις hardware & software (legacy systems). Με αυτόν τον τρόπο θα αντιμετωπιστούν αποτελεσματικά τυχαίες (μη στοχευμένες) ‘μολύνσεις’ αλλά θα λειτουργήσουν και αποτρεπτικά απέναντι σε πιθανές οργανωμένες και στοχευμένες επιθέσεις.
Ο δεύτερος άξονας έχει να κάνει με την προστασία των βιομηχανικών δικτύων (ΟΤ) μέσα από λύσεις παρακολούθησης, ανάλυσης και ανίχνευσης της κυκλοφορίας του δικτύου ICS αλλά και τον εντοπισμό ‘ανωμαλιών’ με σκοπό την ανακάλυψη κακόβουλων ενεργειών στο επίπεδο των PLCs (Programmable Logic Controllers).
Ο τρίτος άξονας αφορά τον ανθρώπινο παράγοντα και τη συμβολή του στην προστασία βιομηχανικών πρωτοκόλλων. Είναι πολύ σημαντικό οι υπάλληλοι που εμπλέκονται στη διαχείριση των βιομηχανικών συστημάτων μιας εταιρείας να εκπαιδεύονται συχνά επάνω στην ορθή χρήση των συγκεκριμένων υποδομών. Με αυτόν τον τρόπο ελαχιστοποιούνται οι ατυχείς ενέργειες που ενδέχεται να ‘ανοίξουν’ κερκόπορτες που θα εκμεταλλευτεί κάποιο κακόβουλο λογισμικό. Επιπλέον, η ύπαρξη εξειδικευμένων (in-house) επαγγελματιών σε θέματα ασφάλειας βιομηχανικών υποδομών/συστημάτων μπορεί να φαντάζει σαν πολυτέλεια στην παρούσα φάση, αλλά αποτελεί μονόδρομο για κάθε βιομηχανία που έχει συνειδητοποιήσει το μέγεθος της ενδεχόμενης οικονομικής ζημιάς από πιθανή Κυβερνο-επίθεση.
Η πρόταση της Kaspersky, τα τελευταία 5 χρόνια στον τομέα της Κυβερνο-ασφάλειας βιομηχανικών συστημάτων, είναι η λύση KICS (Kaspersky Industrial Cyber Security). Σε πρόσφατη παγκόσμια έρευνα που διεξήχθη από τους βιομηχανικούς αναλυτές της Frost & Sullivan, η Kaspersky αναγνωρίστηκε με το Global Company of the Year Award για το 2020 για τη συγκεκριμένη λύση. Το KICS είναι μία πρόταση που συνδυάζει τα προϊόντα και τις υπηρεσίες που περιγράφονται στο παρακάτω διάγραμμα.
Το KICS for Networks εντοπίζει ανωμαλίες και εισβολές εντός του δικτύου ICS σε πολύ πρώιμο στάδιο και διασφαλίζει την εκτέλεση όλων των απαραίτητων ενεργειών που θα αποτρέψουν τις όποιες αρνητικές επιπτώσεις στις βιομηχανικές διαδικασίες. Το προϊόν είναι συμβατό με τις συσκευές διαχείρισης βιομηχανικού αυτοματισμού όλων των γνωστών κατασκευαστών παγκοσμίως.
Το KICS for Nodes έχει σχεδιαστεί για να καταναλώνει ελάχιστους πόρους και να λειτουργεί με embedded και legacy συστήματα, αντιμετωπίζοντας αποτελεσματικά είτε εξωτερικές απειλές, είτε εσωτερικές, ως αποτέλεσμα ανθρώπινου λάθους. Μπορεί να ρυθμιστεί σε λειτουργία εντοπισμού & αποτροπής της απειλής αλλά και σε απλή λειτουργία εντοπισμού, με σκοπό να μην δεσμεύει πόρους από τα χαμηλής απόδοσης (low performing) συστήματα. Αξίζει να σημειωθεί ότι το KICS for Nodes είναι συμβατό με όλα τα γνωστά βιομηχανικά πρωτόκολλα όπως είναι τα SCADA, PLC & DCS.
Τέλος, είναι επιτακτικό για κάθε βιομηχανική υποδομή που θέλει να διατηρήσει τα μέγιστα επίπεδα προστασίας, να πλαισιώσει τα παραπάνω προϊόντα με υπηρεσίες που σχετίζονται είτε με την εκπαίδευση των χρηστών (όπως είναι το Kaspersky Automated Security Awareness Platform) είτε με υπηρεσίες που παρέχονται από εξειδικευμένους επαγγελματίες και αφορούν την αξιολόγηση της υπάρχουσας υποδομής προστασίας (Kaspersky Security Assessment) αλλά και τη διαδικασία διαχείρισης σε περίπτωση περιστατικού επιτυχημένης Κυβερνο-επίθεσης (Kaspersky Incident Response).