Masz pytania?
+48 22 487 8636
Masz pytania?
+48 22 487 8636
Backup, który ratuje produkcję: 3 scenariusze awaryjnego odtwarzania systemów SCADA i PLC po ataku
W brutalnym świecie ataków ransomware, posiadanie niezawodnej i odizolowanej kopii zapasowej jest ostateczną kartą atutową, która pozwala Ci wstać od stołu i powiedzieć szantażystom: „Nie potrzebujemy waszych kluczy. Mamy własne”. To absolutnie ostatnia i najważniejsza linia obrony, która oddziela kontrolowany incydent od katastrofy, która może zniszczyć firmę. Bez działającego backupu, jesteś całkowicie zdany na łaskę cyberprzestępców.
Jednak w środowisku technologii operacyjnej (OT), stworzenie i utrzymanie skutecznej strategii backupu jest znacznie bardziej skomplikowane niż w świecie IT. Mamy tu do czynienia z dziesiątkami typów urządzeń od różnych producentów, starymi systemami operacyjnymi i, co najważniejsze, z absolutnym priorytetem ciągłości działania, który sprawia, że proste „wyłącz i zrób kopię” jest często niemożliwe.
Wielu inżynierów i menedżerów polega na nieudokumentowanych, ręcznie robionych kopiach projektów PLC, przechowywanych na lokalnych dyskach lub niezabezpieczonych serwerach plików. Taka strategia w zderzeniu z nowoczesnym, agresywnym ransomware jest niestety iluzją bezpieczeństwa. Prawdziwa odporność wymaga systematycznego, zautomatyzowanego i, co kluczowe, regularnie testowanego procesu. Przeanalizujmy, jak taki proces powinien wyglądać w kontekście trzech typowych scenariuszy ataku.
Dlaczego w obliczu ataku ransomware, backup jest Twoją ostatnią i najważniejszą linią obrony?
Systemy prewencyjne – firewalle, antywirusy, szkolenia – są jak mury i strażnicy Twojej cyfrowej twierdzy. Ich zadaniem jest powstrzymanie wroga przed wejściem. Ale historia uczy, że nawet najpotężniejsze mury mogą kiedyś zostać sforsowane. Backup jest jak tajne, podziemne schrony i magazyny, w których przechowujesz wszystko, co niezbędne do odbudowy królestwa po najeździe.
Gdy ransomware dostanie się do środka i zaszyfruje Twoje działające systemy, cała prewencja przestaje mieć znaczenie. Atakujący jest już wewnątrz i kontroluje sytuację. W tym momencie jedyną rzeczą, która daje Ci niezależność i możliwość wyboru, jest posiadanie czystej, nienaruszonej przez atak kopii Twoich kluczowych systemów i danych.
Posiadanie niezawodnego backupu pozwala Ci z pełnym spokojem zignorować żądania okupu. Zamiast wchodzić w ryzykowne negocjacje z przestępcami, możesz skupić całą energię swojego zespołu na metodycznym procesie odtwarzania. To fundamentalna zmiana z pozycji ofiary na pozycję organizacji, która kontroluje proces powrotu do normalności. Bez backupu, nie masz żadnej z tych opcji.
Jakie kluczowe wskaźniki (RTO/RPO) należy zdefiniować dla krytycznej linii produkcyjnej?
Zanim w ogóle zaczniesz wybierać technologię do backupu, musisz, we współpracy z biznesem, zdefiniować dwa kluczowe wskaźniki, które będą fundamentem całej strategii. Cel Punktu Odtworzenia (Recovery Point Objective – RPO) odpowiada na pytanie: „Ile maksymalnie danych możemy stracić?”. Jeśli RPO dla projektu SCADA wynosi 4 godziny, oznacza to, że kopie zapasowe tego systemu muszą być wykonywane co najmniej co 4 godziny.
Cel Czasu Odtworzenia (Recovery Time Objective – RTO) odpowiada na pytanie: „Jak szybko musimy przywrócić system do działania po awarii?”. Jeśli RTO dla kluczowej linii produkcyjnej wynosi 2 godziny, cała Twoja technologia, ludzie i procedury muszą być zaprojektowane tak, aby umożliwić odtworzenie sterowania tą linią w czasie poniżej dwóch godzin.
Definicja RTO i RPO to nie jest decyzja techniczna, ale biznesowa. Musi ona wynikać z Analizy Wpływu na Biznes (BIA). Inne będą wymagania dla systemu sterującego procesem wartym milion złotych na godzinę, a inne dla systemu archiwizacji danych. Precyzyjne zdefiniowanie tych wskaźników jest pierwszym krokiem do zaprojektowania strategii, która jest adekwatna do realnych potrzeb, a nie przeszacowana lub niedoszacowana.
Jak często należy backupować projekty SCADA i programy PLC, aby zachować zgodność z normą IEC 62443?
Częstotliwość wykonywania kopii zapasowych jest bezpośrednią pochodną zdefiniowanego wskaźnika RPO. Jednak norma IEC 62443, będąca standardem w bezpieczeństwie OT, daje nam tu dodatkowe, ważne wskazówki. Norma ta wymaga, aby organizacja posiadała i regularnie testowała procedury tworzenia kopii zapasowych kluczowych danych i konfiguracji.
Dobrą praktyką, zgodną z duchem normy, jest zróżnicowanie częstotliwości w zależności od typu i krytyczności systemu. Projekty i konfiguracje serwerów SCADA/HMI, które zmieniają się stosunkowo rzadko, mogą być backupowane np. raz dziennie. Programy i konfiguracje sterowników PLC, które są modyfikowane tylko podczas prac serwisowych, powinny być backupowane po każdej autoryzowanej zmianie.
Z kolei dane historyczne i produkcyjne, które zmieniają się w czasie rzeczywistym, powinny mieć RPO na poziomie minut lub godzin, w zależności od ich krytyczności dla procesu i zgodności z normami jakościowymi. Kluczem jest automatyzacja tego procesu, aby wyeliminować ryzyko błędu ludzkiego.
Czy przechowywanie kopii zapasowych systemów OT w chmurze publicznej jest bezpieczne?
Przechowywanie kopii zapasowych w chmurze (np. Microsoft Azure, AWS) staje się coraz popularniejsze i oferuje wiele korzyści, takich jak skalowalność i dostępność. W kontekście OT, jest to jednak rozwiązanie, które wymaga bardzo starannego rozważenia i wdrożenia dodatkowych zabezpieczeń.
Głównym ryzykiem jest oczywiście bezpieczeństwo samego połączenia i platformy chmurowej. Wszystkie dane przesyłane do chmury i przechowywane w niej muszą być silnie szyfrowane, zarówno w tranzycie, jak i w spoczynku. Dostęp do zasobnika z backupami musi być chroniony za pomocą uwierzytelniania wieloskładnikowego (MFA) i restrykcyjnych polityk dostępu.
Jednak nawet przy najlepszych zabezpieczeniach, poleganie wyłącznie na chmurze jest ryzykowne. Kluczową zasadą odporności jest posiadanie wielu, niezależnych kopii. Dlatego najlepszą strategią jest podejście hybrydowe: posiadanie jednej kopii lokalnie, w zakładzie (co zapewnia szybkie odtwarzanie), a drugiej, dodatkowej kopii w zewnętrznej, bezpiecznej lokalizacji – którą może być właśnie chmura.
Na czym polega strategia „air-gapped backup” i jak ją wdrożyć w sposób zautomatyzowany?
Najważniejszą cechą niezawodnego backupu w kontekście ransomware jest jego izolacja. Nowoczesne, agresywne odmiany ransomware aktywnie poszukują w sieci serwerów backupu i próbują je zaszyfrować jako pierwsze, aby odciąć ofierze drogę ucieczki. Dlatego kluczowe jest, aby co najmniej jedna kopia zapasowa była przechowywana w sposób, który jest fizycznie lub logicznie odcięty od głównej sieci produkcyjnej.
Tradycyjnie, realizowano to za pomocą nośników taśmowych (LTO), które po zapisaniu były fizycznie wyjmowane i przechowywane w sejfie. To wciąż bardzo bezpieczna, choć wolna metoda. Nowocześniejszym podejściem jest logiczny air-gap, który można zautomatyzować. Polega on na skonfigurowaniu serwera backupu tak, aby inicjował on połączenie, wypychał dane do odizolowanego repozytorium (np. na serwerze w innej lokalizacji lub w chmurze), a następnie natychmiast zamykał połączenie.
Istnieją również technologie tzw. „niezmienialnego przechowywania” (immutable storage). Nawet jeśli atakujący przejmie kontrolę nad serwerem backupu, nie będzie w stanie nadpisać ani usunąć raz zapisanej kopii przez określony czas (np. 30 dni). Jest to niezwykle potężny mechanizm obronny.
Jakie narzędzia pozwalają na wykonanie „gorącej” kopii zapasowej stacji HMI z Windows 7 bez przerywania pracy?
Jednym z największych wyzwań w OT jest backup działających systemów, zwłaszcza starszych, opartych na Windows XP czy Windows 7. Zatrzymanie takiej stacji HMI w celu wykonania zimnej kopii dysku jest często niedopuszczalne. Rozwiązaniem tego problemu są narzędzia do tworzenia obrazów dysku „na żywo” (hot imaging lub live backup).
Wykorzystują one technologię migawek (snapshots), taką jak usługa VSS (Volume Shadow Copy Service) w systemie Windows. Pozwala ona na „zamrożenie” na kilka sekund stanu systemu plików, wykonanie spójnej kopii, a następnie „odmrożenie” go, podczas gdy system i aplikacje cały czas normalnie pracują. Cały proces jest przezroczysty dla operatora i nie powoduje żadnego przestoju.
Istnieje wiele komercyjnych i darmowych narzędzi, które potrafią to robić. Wybór odpowiedniego zależy od specyfiki systemu. Kluczowe jest, aby przed wdrożeniem produkcyjnym, przetestować wybrane narzędzie w środowisku laboratoryjnym, aby upewnić się, że jest ono w 100% kompatybilne z naszym oprogramowaniem SCADA/HMI.
Jak skutecznie odizolować serwer backupu od reszty sieci, aby chronić go przed ransomware?
Serwer backupu to Twój najcenniejszy zasób w momencie kryzysu i musi być chroniony jak skarbiec. Absolutną podstawą jest jego ścisła izolacja sieciowa. Serwer ten powinien znajdować się w osobnym, dedykowanym segmencie sieci (VLAN), chronionym przez restrykcyjne reguły na firewallu.
Komunikacja z serwerem backupu powinna być ograniczona do absolutnego minimum. Powinien on mieć możliwość inicjowania połączeń do systemów, z których pobiera dane, ale ruch w drugą stronę (z sieci produkcyjnej do serwera backupu) powinien być domyślnie blokowany. Dostęp administracyjny do serwera powinien być możliwy tylko z kilku, zaufanych stacji roboczych i chroniony za pomocą MFA.
Co więcej, serwer backupu nigdy nie powinien być przyłączony do tej samej domeny Active Directory, co reszta systemów. Atakujący, którzy przejmą kontrolę nad kontrolerem domeny, często wykorzystują go do rozprzestrzenienia ransomware na wszystkie podłączone maszyny. Utrzymanie serwera backupu w osobnej grupie roboczej lub domenie znacząco utrudnia ten wektor ataku.
3 scenariusze kryzysowe i rola backupów
| Scenariusz | Opis incydentu | Jak niezawodny backup ratuje sytuację? |
| 1. Ransomware na stacji HMI | Atakujący szyfruje dysk komputera operatora, paraliżując kontrolę nad jedną maszyną/linią. | Odtwarzamy cały system stacji HMI z czystego, pełnego obrazu (image-level backup) w ciągu kilkudziesięciu minut. |
| 2. Awaria serwera SCADA | Kluczowy serwer nadzorujący ulega awarii sprzętowej lub jego baza danych zostaje uszkodzona. | Przywracamy całą wirtualną maszynę serwera na nowym sprzęcie lub odtwarzamy samą bazę danych z ostatniej, spójnej kopii. |
| 3. Sabotaż sterownika PLC | Atakujący zdalnie wgrywa do sterownika PLC złośliwy lub uszkodzony program, powodując nieprawidłowe działanie maszyny. | Zatrzymujemy maszynę, podłączamy stację inżynierską i wgrywamy do sterownika ostatnią, zaufaną wersję programu z repozytorium. |
Czy tradycyjne taśmy LTO wciąż mają sens w nowoczesnych strategiach backupu dla OT?
W dobie szybkich dysków i chmury, magnetyczne nośniki taśmowe (LTO) mogą wydawać się archaicznym reliktem. Jednak w kontekście ochrony przed ransomware, przeżywają one swój renesans i wciąż mają ogromny sens jako element wielowarstwowej strategii.
Ich największą zaletą jest możliwość stworzenia prawdziwego, fizycznego „air gapu”. Po zapisaniu danych, taśma jest fizycznie wyjmowana z napędu i przechowywana w bezpiecznym miejscu (np. w sejfie, w innej lokalizacji). Żaden, nawet najbardziej zaawansowany ransomware, nie jest w stanie zaszyfrować danych na taśmie, która nie jest fizycznie podłączona do żadnego systemu.
Oczywiście, odtwarzanie danych z taśm jest znacznie wolniejsze niż z dysków. Dlatego nie powinny być one jedynym medium. Idealna strategia, znana jako „3-2-1”, mówi o posiadaniu co najmniej 3 kopii danych, na 2 różnych rodzajach nośników, z czego 1 kopia jest przechowywana offline/off-site. Połączenie szybkich, dyskowych backupów lokalnych (do szybkiego odtwarzania) z wolniejszymi, ale ultra-bezpiecznymi backupami na taśmach lub w chmurze (na wypadek katastrofy) jest dziś złotym standardem.
Dlaczego backup bez przetestowanej procedury odtwarzania jest bezwartościowy?
To najważniejsza i najczęściej ignorowana zasada. Posiadanie kopii zapasowych, których nigdy nie próbowaliśmy odtworzyć, jest jak posiadanie koła zapasowego w samochodzie, do którego nie mamy klucza. Daje nam to iluzję bezpieczeństwa, która w momencie realnej potrzeby zamienia się w katastrofę.
Istnieje tysiąc powodów, dla których backup może się nie powieść: uszkodzony nośnik, niekompatybilność oprogramowania, błąd ludzki w procedurze, niekompletna kopia. Jedynym sposobem, aby się upewnić, że nasza „polisa ubezpieczeniowa” jest ważna, jest jej regularne testowanie.
Test odtworzenia (restore test) to proces, podczas którego w kontrolowanym, odizolowanym środowisku (np. na maszynach wirtualnych) próbujemy odtworzyć system z kopii zapasowej i weryfikujemy, czy uruchamia się on i działa poprawnie. Tylko pomyślny wynik takiego testu daje nam realną pewność, że w dniu kryzysu będziemy w stanie uratować naszą produkcję.
Jak regularnie i bezpiecznie testować integralność i możliwość odtworzenia kopii zapasowych?
Testy odtwarzania powinny być stałym, zaplanowanym elementem cyklu życia systemu backupu. Dobrą praktyką jest przeprowadzanie pełnego testu odtworzenia dla każdego krytycznego systemu co najmniej raz na kwartał lub raz na pół roku.
Aby testy te były bezpieczne i nie zakłócały produkcji, muszą być przeprowadzane w odizolowanym środowisku testowym (sandbox). Tworzymy sieć wirtualną, odciętą od sieci produkcyjnej, i to właśnie w niej próbujemy odtworzyć serwer SCADA czy stację HMI. Weryfikujemy, czy system się uruchamia, czy aplikacja działa i czy loguje się poprawnie.
Oprócz pełnych testów odtworzenia, wiele nowoczesnych systemów do backupu oferuje zautomatyzowaną weryfikację integralności. Po każdym wykonaniu kopii, system potrafi automatycznie „uruchomić” ją w tle na wirtualnej maszynie, zrobić zrzut ekranu z ekranu logowania i wysłać nam e-mail z potwierdzeniem, że backup jest spójny i możliwy do uruchomienia.
Czy istnieją zautomatyzowane narzędzia pozwalające na odtworzenie sterownika PLC w ciągu kilkunastu minut?
Tak. Rynek oprogramowania do zarządzania środowiskami OT bardzo się rozwinął. Istnieją dziś dedykowane, komercyjne platformy do centralnego zarządzania, backupu i odtwarzania programów dla sterowników PLC od różnych producentów.
Narzędzia te potrafią automatycznie, zgodnie z harmonogramem, łączyć się ze sterownikami w sieci, pobierać aktualną wersję logiki i konfiguracji, a następnie porównywać ją z ostatnią, zaufaną wersją w centralnym repozytorium. W przypadku wykrycia nieautoryzowanej zmiany (co może być oznaką ataku), system natychmiast alarmuje operatora.
W przypadku awarii lub konieczności wymiany sterownika, platforma pozwala na błyskawiczne wgranie ostatniej, dobrej wersji programu na nowe urządzenie. To drastycznie skraca czas potrzebny na odtworzenie i minimalizuje ryzyko błędu ludzkiego. Inwestycja w takie narzędzie, którą można sfinansować z grantu, jest kluczowa dla osiągnięcia niskiego RTO dla warstwy sterowania.
Jak w praktyce wygląda scenariusz odtwarzania awaryjnego dla całej linii produkcyjnej?
Odtworzenie całej, złożonej linii produkcyjnej to skomplikowana operacja, która musi być opisana w szczegółowym Planie Odtwarzania Awaryjnego (Disaster Recovery Plan – DRP). Plan ten, krok po kroku, opisuje kolejność działań.
Zazwyczaj zaczyna się on od odtworzenia infrastruktury sieciowej (jeśli została naruszona). Następnie, odtwarzane są centralne systemy nadzorujące, takie jak serwery SCADA i bazy danych historycznych, z „czystych” kopii zapasowych. W kolejnym kroku, weryfikowana i ewentualnie odtwarzana jest logika na wszystkich sterownikach PLC wchodzących w skład linii.
Ostatnim, i często najdłuższym, etapem jest ponowna kalibracja i testowanie. Inżynierowie i operatorzy muszą krok po kroku, w trybie serwisowym, sprawdzić działanie każdej maszyny, każdego czujnika i każdego manipulatora, zanim linia zostanie przełączona w tryb automatyczny i wznowi normalną produkcję.
Jak nFlo projektuje i wdraża niezawodne systemy backupu i odtwarzania dla krytycznych środowisk przemysłowych?
W nFlo rozumiemy, że w środowisku OT niezawodność backupu to kwestia absolutnie fundamentalna. Nasze podejście do projektowania strategii BCDR (Business Continuity and Disaster Recovery) zawsze zaczyna się od dogłębnego zrozumienia Państwa procesów i wymogów biznesowych. Prowadzimy warsztaty, podczas których wspólnie definiujemy realistyczne i adekwatne wskaźniki RTO i RPO dla Państwa kluczowych systemów. Dobieramy i wdrażamy technologie, które są nie tylko nowoczesne, ale przede wszystkim sprawdzone i niezawodne w warunkach przemysłowych. Projektujemy wielowarstwowe architektury, zgodne z zasadą „3-2-1”, które łączą w sobie szybkość backupów dyskowych z bezpieczeństwem izolowanych kopii offline. Kluczowym elementem naszej usługi jest jednak nie tylko wdrożenie, ale również pomoc w stworzeniu i przetestowaniu procedur odtwarzania. Pomagamy Państwu zbudować system, co do którego można mieć realne, zweryfikowane w praktyce zaufanie, że w dniu kryzysu zadziała on dokładnie tak, jak powinien.
Zainteresowała Cię nasza oferta? Zapytaj o szczegóły
Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.
156480
O autorze:
Łukasz Szymański
Łukasz to doświadczony profesjonalista z wieloletnim stażem w branży IT. Jako Dyrektor Operacyjny, koncentruje się na optymalizacji procesów biznesowych, zarządzaniu operacjami i wspieraniu długoterminowego rozwoju firmy. Jego wszechstronne kompetencje obejmują zarówno aspekty techniczne, jak i biznesowe, co potwierdza jego wykształcenie w dziedzinie informatyki oraz zarządzania.
W swojej pracy Łukasz kieruje się zasadami efektywności, innowacyjności i ciągłego doskonalenia. Jego podejście do zarządzania operacyjnego opiera się na strategicznym myśleniu i wykorzystaniu najnowszych technologii do usprawniania działań firmy. Jest znany z umiejętności skutecznego łączenia celów biznesowych z możliwościami technologicznymi.
Łukasz to przede wszystkim praktyk. Swoje doświadczenie budował od podstaw, rozpoczynając karierę jako administrator systemów UNIX/AIX. Ta praktyczna wiedza techniczna stanowi solidny fundament jego obecnej roli, pozwalając mu na głębokie zrozumienie technicznych aspektów projektów IT.
Szczególnie interesuje się obszarem automatyzacji procesów biznesowych, rozwojem technologii chmurowych oraz wdrażaniem zaawansowanych rozwiązań analitycznych. Skupia się na wykorzystaniu tych technologii do zwiększania efektywności operacyjnej i wspierania innowacji w firmie.
Aktywnie angażuje się w rozwój zespołu, promując kulturę ciągłego uczenia się i adaptacji do zmieniających się warunków rynkowych. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest elastyczność, szybkość działania oraz umiejętność przewidywania i odpowiadania na przyszłe potrzeby klientów.