Bezpieczeństwo systemów automatyki przemysłowej (analiza)

Systemy automatyki przemysłowej stają się coraz częściej celem ataków hakerskich. Według analiz IBM liczba ataków na przemysłowe systemy automatycznego sterowania wzrosła o 600% w latach 2012–2014, a według raportu rocznego firmy Dell z 2015 r. Liczba ataków na systemy typu SCADA wzrosła w tym samym okresie ponad 7 razy.

Zimą 2015 roku rosyjska grupa ATK14 (Black Energy) pozbawiła 1,4 mln mieszkańców Ukrainy energii elektrycznej i ciepła na kilka godzin. Rok później, w rezultacie ataku "Industroyer" została odłączona podstacja Pivnichna na Ukrainie, w rezultacie czego zostało pozbawione prądu ok. 1/5 gospodarstw domowych w Kijowie.

W październiku 2019 roku największą indyjską elektrownię jądrową Kudankulam (łączna moc 2000 MWe) zaatakowała północnokoreańska grupa hakerska ATK3 (APT38). 19 marca 2019 firma Norsk Hydro ogłosiła, że po cyberataku przeszła w „tryb ręczny” oraz tymczasowo wstrzymała produkcję aluminium w kilku zakładach.

Przykładem zaawansowanego ataku na systemy automatyki przemysłowej jest zdarzenie, do którego doszło w roku 2017 w Arabii Saudyjskiej. Został on opisany przez firmę Thales w raporcie "Report on Cyber Threats to Operational Technologies in the Energy Sector":

Pod koniec 2017 roku instalacja naftowo-gazowa w Arabii Saudyjskiej została zamknięta z powodu infekcji złośliwym oprogramowaniem zdolnym do łączenia się z przemysłowymi systemami sterowania. To złośliwe oprogramowanie było wymierzone w znany system bezpieczeństwa firmy Schneider. Dostęp do systemu został uzyskany poprzez "klasyczny" atak phishingowy, który pozwolił na uzyskanie dostępu administracyjnego (zmieniono numer telefonu, na który przychodziły SMSy z kodami) w sieci IT.

Grupa następnie włamała się do stacji roboczej administratora systemu po przekroczeniu strefy zdemilitaryzowanej, stanowiącej "śluzę" między siecią IT a OT (systemem sterującym niepodłączonym do intenretu). Następnie uzyskano dostęp do kontrolerów SIS (Safety Instrument System), które zostały ustawione w "trybie programowym", umożliwiając atakującym ich przeprogramowanie.

Atakujący penetrowali sieć OT ofiary prawie rok, kiedy to przejęli systemy bezpieczeństwa z wykorzystaniem 0-day. Po roku od włamania przeszli do ataku, który jednak zakończył się bez strat w sprzęcie i ludziach, gdyż w wyniku błędu atakujących system produkcyjny przeszedł do stanu wyłączonego (bezpiecznego), a nie jak zamierzali przestępcy do całkowitego wyłączenia systemów bezpieczeństwa, które doprowadziłoby do katastrofy na większą skalę.

Unia Europejska zainicjowała działania w zakresie ochrony infrastruktury krytycznej w postaci przyjęcia dyrektywy NIS - Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Dyrektywa zobowiązuje wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego w zakresie usług kluczowych, do których zalicza się m.in. sektory: energetyczny (m.in. energia elektryczna, ropa naftowa, gaz), transportowy (lotniczy, kolejowy, morski) czy zaopatrzenia w wodę.

Dyrektywa ta została wdrożona w Polsce w postaci ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560) wraz z towarzyszącymi jej rozporządzeniami wykonawczymi. Według ustawy KSC, operatorzy usług kluczowych to firmy oraz instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej w Państwie.

Krajobraz cyberzagrożeń dla sektora energetycznego i jego przemysłowych systemów sterowania niestety podąża za ewolucją w szerokim ujęciu. Ewoluuje, staje się bardziej złożony i wymaga stałego i specjalistycznego monitorowania. Krytyczne systemy ICS / SCADA używane przez organizacje w tym sektorze coraz częściej stają się celem ataków grup hakerskich, w szczególności ze strony grup sponsorowanych przez państwa. Dynamikę tych ataków dodatkowo wzmacnia trend coraz większego wzajemnego połączenia "światów" IT oraz OT w przedsiębiorstwach. Ataki na systemy przemysłowe są nadal relatywnie mało prawdopodobne, ale stanowią bardzo niebezpieczne zagrożenie z racji skutków, jakie mogą wywołać.