IT myśli w kategoriach danych, OT w kategoriach fizyki: Dlaczego wasze zespoły ds. bezpieczeństwa się nie dogadują?

Współczesny przemysł stoi w obliczu paradoksu. Z jednej strony, digitalizacja i połączenie maszyn w ramach Przemysłu 4.0 otwierają drogę do bezprecedensowej wydajności i analityki. Z drugiej, każde podłączone urządzenie staje się potencjalnym punktem wejścia dla cyberataku. Naturalnym odruchem zarządów jest więc polecenie działom IT, aby rozszerzyły swoje sprawdzone mechanizmy bezpieczeństwa na hale produkcyjne. I tu zaczyna się problem. Projekty te często kończą się niepowodzeniem, napotykając na mur niezrozumienia i oporu ze strony inżynierów technologii operacyjnej (OT).

Ten konflikt nie wynika ze złej woli czy braku kompetencji. Jego źródło leży znacznie głębiej – w fundamentalnych różnicach między światem IT a światem OT. To dwa różne wszechświaty, rządzące się innymi prawami fizyki, mające inne priorytety i posługujące się innymi językami. Próba narzucenia jednego modelu drugiemu bez dogłębnego zrozumienia tych różnic jest jak próba zastosowania zasad ruchu drogowego do sterowania ruchem lotniczym. Może to doprowadzić tylko do katastrofy. Zbudowanie skutecznej strategii cyberbezpieczeństwa dla przemysłu jest możliwe tylko wtedy, gdy najpierw zbudujemy most zrozumienia między tymi dwiema kulturami.

Dlaczego tradycyjne podejście do cyberbezpieczeństwa zawodzi w przemyśle?

Tradycyjne cyberbezpieczeństwo, ukształtowane przez dekady w środowiskach korporacyjnych, zostało zbudowane na jednym fundamentalnym założeniu: jego nadrzędnym celem jest ochrona danych. Wszystkie narzędzia, procedury i polityki w świecie IT są zaprojektowane tak, aby zapewnić poufność, integralność i dostępność informacji. To podejście sprawdza się doskonale w ochronie serwerów, baz danych i systemów biznesowych, gdzie utrata danych jest największym zagrożeniem.

Problem polega na tym, że w środowisku przemysłowym, na hali produkcyjnej czy w elektrowni, dane, choć ważne, nie są wartością nadrzędną. Tutaj królują procesy fizyczne. Najważniejsze jest to, aby robot spawalniczy poruszał się z precyzją co do milimetra, turbina wiatrowa obracała się z odpowiednią prędkością, a zawory w rurociągu otwierały się i zamykały we właściwym czasie. Cyberbezpieczeństwo w tym świecie musi chronić nie bity i bajty, ale ludzi, maszyny i środowisko.

Przeniesienie metodologii IT 1:1 do świata OT kończy się fiaskiem, ponieważ ignoruje ten odmienny kontekst operacyjny. Automatyczne instalowanie poprawek, które w IT jest standardem, w OT może nagle zatrzymać linię produkcyjną. Skanowanie podatności, które w sieci biurowej jest rutyną, w sieci przemysłowej może zakłócić pracę wrażliwych sterowników. Dlatego właśnie tradycyjne podejście nie tylko jest nieefektywne, ale bywa wręcz niebezpieczne dla stabilności i bezpieczeństwa operacji przemysłowych.

Czym dokładnie jest technologia informacyjna, czyli popularne IT?

Technologia informacyjna (IT) to dziedzina, którą większość z nas dobrze zna z codziennego życia i pracy biurowej. Obejmuje ona cały ekosystem technologii służących do zarządzania danymi elektronicznymi. Jej domeną są komputery osobiste, serwery, sieci korporacyjne, systemy poczty elektronicznej, bazy danych i aplikacje biznesowe, takie jak systemy ERP (planowanie zasobów przedsiębiorstwa) czy CRM (zarządzanie relacjami z klientami).

Głównym zadaniem IT jest zapewnienie sprawnego przepływu informacji w organizacji. Systemy te są krwiobiegiem danych, które wspierają podejmowanie decyzji, operacje finansowe, komunikację i logistykę. Świat IT jest z natury dynamiczny. Sprzęt komputerowy jest wymieniany co 3-5 lat, oprogramowanie jest regularnie aktualizowane, a nowe technologie są wdrażane w celu optymalizacji i innowacji.

Z perspektywy bezpieczeństwa, wszechświat IT koncentruje się na ochronie aktywów cyfrowych. Priorytetem jest zapobieganie kradzieży danych, ochronie własności intelektualnej, zapewnieniu prywatności klientów i pracowników oraz utrzymaniu dostępności usług biznesowych. Awaria w IT najczęściej przekłada się na straty finansowe, problemy wizerunkowe lub komplikacje operacyjne w sferze biurowej.

Czym z kolei jest technologia operacyjna, czyli tajemnicze OT?

Technologia operacyjna (OT) to świat maszyn, procesów i fizycznej interakcji ze światem rzeczywistym. Obejmuje ona systemy sprzętowe i programowe przeznaczone do monitorowania i sterowania urządzeniami przemysłowymi. Mówimy tu o takich elementach jak przemysłowe systemy sterowania (ICS), systemy nadzoru i akwizycji danych (SCADA) oraz, na najniższym poziomie, programowalne sterowniki logiczne (PLC), które są mózgami poszczególnych maszyn.

Systemy OT to układ nerwowy i mięśnie każdej operacji przemysłowej. To one zarządzają pracą robotów w fabryce samochodów, kontrolują procesy chemiczne w rafinerii, sterują przepływem wody w oczyszczalni ścieków i regulują pracę turbin w elektrowni. W przeciwieństwie do IT, świat OT jest znacznie bardziej statyczny. Cykl życia urządzeń przemysłowych często przekracza 15, a nawet 20 lat, a ich praca musi być niezwykle stabilna i przewidywalna.

Bezpieczeństwo w OT ma zupełnie inny wymiar. Jego głównym celem nie jest ochrona danych, ale zapewnienie, że procesy fizyczne przebiegają w sposób bezpieczny, niezawodny i niezakłócony. Awaria systemu OT to nie tylko problem finansowy. To bezpośrednie zagrożenie dla życia i zdrowia pracowników, ryzyko katastrofy ekologicznej, uszkodzenia maszyn wartych miliony oraz natychmiastowe zatrzymanie całej produkcji.

Na czym polega fundamentalny konflikt priorytetów między IT a OT?

Konflikt między IT a OT najdobitniej uwidacznia się w hierarchii priorytetów bezpieczeństwa. W świecie IT panuje niepodzielnie triada CIA: Poufność (Confidentiality), Integralność (Integrity) i Dostępność (Availability). Oznacza to, że absolutnym priorytetem jest ochrona danych przed nieautoryzowanym dostępem (poufność). Na drugim miejscu jest zapewnienie, że dane nie zostaną zmienione w sposób niekontrolowany (integralność). Dostępność, choć ważna, jest na trzecim miejscu.

W świecie OT ta hierarchia jest odwrócona i rozszerzona. Tutaj najważniejsze są Bezpieczeństwo (Safety) i Dostępność (Availability). Priorytetem numer jeden jest zapewnienie, że systemy działają w sposób, który jest bezpieczny dla ludzi i środowiska. Równie ważna jest ciągła dostępność procesu produkcyjnego – każda minuta przestoju generuje ogromne straty. Dopiero na dalszym miejscu znajduje się integralność danych (zapewnienie, że komendy wysyłane do sterowników są poprawne), a poufność jest często najmniej istotnym czynnikiem.

Ta fundamentalna różnica w priorytetach jest źródłem nieustannych tarć. Działanie, które dla specjalisty IT jest standardową procedurą – jak zablokowanie portu sieciowego w celu izolacji zagrożenia – dla inżyniera OT może oznaczać odcięcie kluczowej komunikacji i ryzyko niekontrolowanego zachowania maszyny. Specjalista IT widzi ryzyko wycieku danych; inżynier OT widzi ryzyko wypadku lub zatrzymania produkcji. Obaj mają rację, ale patrzą na ten sam problem z zupełnie innych perspektyw.

Konflikt priorytetów: Dwa światy bezpieczeństwa

Dlaczego dla IT najważniejsza jest poufność danych, czyli triada CIA?

Triada CIA (Poufność, Integralność, Dostępność) jest kamieniem węgielnym, na którym zbudowano całą współczesną informatykę i cyberbezpieczeństwo korporacyjne. Jej prymat wynika bezpośrednio z natury zasobów, które chroni IT. W gospodarce opartej na wiedzy, dane stały się najcenniejszym aktywem wielu firm. Stanowią one tajemnice handlowe, własność intelektualną, dane finansowe i informacje o klientach.

Poufność jest na pierwszym miejscu, ponieważ nieautoryzowane ujawnienie tych danych może mieć katastrofalne skutki: utratę przewagi konkurencyjnej, naruszenie przepisów o ochronie danych osobowych (RODO) i związane z tym gigantyczne kary, a także nieodwracalną utratę zaufania klientów. Wyciek bazy danych klientów jest dla firmy z sektora e-commerce scenariuszem apokaliptycznym.

Integralność jest druga w kolejności, ponieważ nieautoryzowana modyfikacja danych może prowadzić do błędnych decyzji biznesowych, oszustw finansowych czy chaosu operacyjnego. Wyobraźmy sobie skutki cichej zmiany numerów kont bankowych w systemie fakturowania. Dostępność, choć kluczowa dla ciągłości biznesu, jest na trzecim miejscu, ponieważ tymczasowa niedostępność systemu jest często postrzegana jako mniejsze zło w porównaniu do trwałej utraty poufności czy integralności danych.

Dlaczego dla OT priorytetem jest bezpieczeństwo fizyczne i ciągłość procesu?

W technologii operacyjnej stawka jest zupełnie inna. Tutaj na szali leży nie tylko informacja, ale przede wszystkim fizyczne bezpieczeństwo i mierzalna w czasie rzeczywistym produkcja. Dlatego priorytetem absolutnym jest Bezpieczeństwo (Safety) – zapewnienie, że procesy przemysłowe nie stworzą zagrożenia dla życia i zdrowia pracowników, nie spowodują katastrofy ekologicznej ani nie doprowadzą do fizycznego zniszczenia infrastruktury.

Każde działanie w sieci OT musi być oceniane przez pryzmat jego wpływu na bezpieczeństwo fizyczne. Cyberatak, który powoduje, że robot przemysłowy wykonuje niekontrolowane ruchy, lub który wyłącza systemy chłodzenia w reaktorze chemicznym, to scenariusze o niewyobrażalnych konsekwencjach. Z tego powodu inżynierowie OT są niezwykle konserwatywni i ostrożni wobec wszelkich zmian w swoich systemach.

Równie ważna jest Dostępność, rozumiana jako nieprzerwana ciągłość procesu produkcyjnego. W nowoczesnej fabryce każda minuta przestoju to wymierne, często ogromne straty finansowe. Linia produkcyjna, która staje z powodu nieudanej aktualizacji oprogramowania, generuje koszty liczone w setkach tysięcy euro na godzinę. Z tego powodu filozofia OT brzmi: „jeśli działa, nie dotykaj”. Dostępność i niezawodność są tu synonimami rentowności.

Jak prosta aktualizacja systemu może być rutyną w IT i katastrofą w OT?

Rozważmy prosty scenariusz: producent systemu operacyjnego publikuje krytyczną poprawkę bezpieczeństwa. Dla administratora IT procedura jest standardowa. Informuje on użytkowników, że w nocy, w wyznaczonym oknie serwisowym, serwery zostaną zrestartowane w celu instalacji aktualizacji. Proces jest zautomatyzowany, a ewentualna kilkunastominutowa niedostępność usługi jest akceptowalnym kosztem w zamian za załatanie groźnej luki. Jest to rutynowe, odpowiedzialne działanie.

Teraz przenieśmy ten sam scenariusz do świata OT. Komputer, który wymaga aktualizacji, to stacja HMI (Human-Machine Interface) nadzorująca pracę kluczowego reaktora w zakładzie chemicznym. Proces w reaktorze musi przebiegać w sposób ciągły przez wiele tygodni. Nie ma tu „okna serwisowego” w środku nocy. Zatrzymanie i ponowne uruchomienie procesu jest operacją niezwykle złożoną, kosztowną i samą w sobie ryzykowną.

Co więcej, instalacja nieprzetestowanej poprawki na tym krytycznym systemie to ogromne ryzyko. Co, jeśli aktualizacja okaże się niekompatybilna z wyspecjalizowanym oprogramowaniem SCADA? Co, jeśli spowoduje problemy ze sterownikami komunikacyjnymi i utratę łączności ze sterownikami PLC? Potencjalne konsekwencje – od utraty kontroli nad procesem po awaryjne zatrzymanie całej instalacji – są niewspółmiernie wysokie w stosunku do ryzyka związanego z niezałataną podatnością. Dlatego w OT aktualizacje wdraża się niezwykle rzadko, podczas planowanych generalnych remontów, i dopiero po wielotygodniowych testach na systemach deweloperskich.

W jak różnych środowiskach pracują systemy IT i OT?

Środowisko fizyczne, w którym działają systemy, to kolejna przepaść dzieląca IT i OT. Systemy IT są projektowane do pracy w idealnych, kontrolowanych warunkach. Sercem IT jest klimatyzowana, wolna od kurzu i zabezpieczona fizycznie serwerownia. Komputery biurowe również funkcjonują w komfortowych, stabilnych temperaturach. Cała infrastruktura jest chroniona przed ekstremalnymi warunkami środowiskowymi.

Systemy OT to zupełne przeciwieństwo. Są one stworzone do pracy w trudnych, a często wręcz wrogich warunkach przemysłowych. Sterowniki, czujniki i panele operatorskie muszą niezawodnie funkcjonować na halach produkcyjnych pełnych pyłu, wibracji i zakłóceń elektromagnetycznych. Muszą wytrzymywać ekstremalne temperatury w hutach, wysoką wilgotność w papierniach czy korozyjną atmosferę w zakładach chemicznych.

Ta różnica w warunkach pracy determinuje konstrukcję i wytrzymałość sprzętu. Urządzenia OT są znacznie bardziej odporne i wyspecjalizowane, ale jednocześnie mniej elastyczne niż ich odpowiedniki w IT. Ich projektanci koncentrują się na niezawodności i długowieczności w trudnych warunkach, często kosztem mocy obliczeniowej czy nowoczesnych, wbudowanych funkcji bezpieczeństwa, które są standardem w IT.

Dlaczego cykl życia systemów IT i OT dzieli technologiczna przepaść?

Cykl życia technologii to jeden z najbardziej fundamentalnych czynników różnicujących oba światy. Świat IT żyje w rytmie ciągłej zmiany i innowacji. Cykl życia sprzętu, takiego jak laptopy czy serwery, wynosi zazwyczaj od 3 do 5 lat. Po tym czasie jest on wymieniany na nowszy, szybszy i bezpieczniejszy model. Podobnie jest z oprogramowaniem – systemy operacyjne i aplikacje są regularnie aktualizowane, a co kilka lat pojawiają się ich nowe, rewolucyjne wersje.

Świat OT funkcjonuje w zupełnie innej skali czasowej. Cykl życia systemów sterowania i maszyn przemysłowych jest projektowany na dziesięciolecia. Inwestycja w linię produkcyjną czy system sterowania elektrownią to decyzja na 15, 20, a czasem nawet 30 lat. Wymiana tych systemów to gigantyczne przedsięwzięcie logistyczne i finansowe, wymagające zatrzymania całej fabryki na wiele tygodni lub miesięcy.

Ta przepaść w cyklach życia ma ogromne konsekwencje dla bezpieczeństwa. Oznacza to, że w sieciach przemysłowych na co dzień pracują urządzenia, które z perspektywy IT są prehistorycznymi zabytkami. Działają one na dawno niewspieranych systemach operacyjnych, takich jak Windows XP czy Windows NT, dla których od lat nie są wydawane żadne poprawki bezpieczeństwa. Zabezpieczenie takiej infrastruktury wymaga zupełnie innego podejścia niż w świecie IT.

Czym są systemy legacy i dlaczego stanowią one tak duże wyzwanie w OT?

Systemy „legacy” (systemy przestarzałe lub odziedziczone) to infrastruktura sprzętowa i programowa, która jest wciąż w użyciu, mimo że jej technologia jest już nieaktualna, a producent nie zapewnia już dla niej wsparcia technicznego. W środowiskach OT są one wszechobecne ze względu na wspomniany wcześniej, bardzo długi cykl życia urządzeń przemysłowych. Wiele kluczowych sterowników, paneli HMI czy serwerów SCADA, zainstalowanych 15 lat temu, wciąż działa niezawodnie i spełnia swoje zadania operacyjne.

Z perspektywy cyberbezpieczeństwa, systemy legacy to tykająca bomba. Po pierwsze, działają one na starych systemach operacyjnych, które są pełne znanych, ale niezałatanialnych podatności. Każdy początkujący haker jest w stanie znaleźć w internecie gotowe narzędzia do atakowania luk w Windows XP. Po drugie, systemy te często nie posiadają podstawowych, wbudowanych mechanizmów bezpieczeństwa, które dziś są standardem, takich jak szyfrowanie komunikacji czy silna kontrola dostępu.

Największym wyzwaniem jest to, że tych systemów często nie można ani wymienić, ani zaktualizować. Wymiana oznaczałaby gigantyczne koszty i przestój. Z kolei próba aktualizacji oprogramowania na starszym sprzęcie najprawdopodobniej zakończyłaby się niepowodzeniem lub destabilizacją całego systemu. Organizacje są więc zmuszone do utrzymywania przy życiu krytycznych, ale jednocześnie ekstremalnie podatnych na ataki systemów.

Jak konwergencja IT/OT zburzyła mit o fizycznej izolacji sieci przemysłowych?

Przez wiele lat podstawą bezpieczeństwa w świecie OT była koncepcja „szczeliny powietrznej” (air gap), czyli całkowitej fizycznej izolacji sieci przemysłowej od sieci korporacyjnej IT i internetu. Panowało przekonanie, że jeśli sieć nie jest do niczego podłączona, jest w stu procentach bezpieczna. Być może kiedyś była to prawda, ale dziś jest to już tylko niebezpieczny mit.

Proces zwany konwergencją IT/OT, napędzany przez potrzebę analizy danych produkcyjnych w czasie rzeczywistym, zdalnego monitoringu i optymalizacji, doprowadził do masowego łączenia obu tych światów. Dane z czujników na linii produkcyjnej są wysyłane do systemów analitycznych w chmurze. Zdalni serwisanci łączą się z maszynami przez internet, aby diagnozować problemy. Systemy planowania produkcji (ERP) w sieci IT muszą komunikować się z systemami realizacji produkcji (MES) w sieci OT.

Te połączenia, często tworzone ad hoc i bez odpowiednich zabezpieczeń, zburzyły mur izolacji. Sieci OT stały się osiągalne z sieci korporacyjnych, a co za tym idzie – również z internetu. To otworzyło zupełnie nowe wektory ataków. Złośliwe oprogramowanie, które zainfekuje komputer w dziale księgowości, może teraz potencjalnie rozprzestrzenić się na systemy sterujące produkcją, co było nie do pomyślenia w erze „air gap”.

Skąd biorą się różnice kulturowe między inżynierami IT a inżynierami OT?

Różnice technologiczne i priorytetowe przez lata ukształtowały dwie odrębne, niemal plemienne kultury organizacyjne. Inżynierowie IT wywodzą się ze świata informatyki, gdzie ceni się innowacyjność, szybkość wdrażania zmian i elastyczność. Są przyzwyczajeni do ciągłej nauki, dynamicznych projektów i regularnych aktualizacji. Ich praca jest w dużej mierze wirtualna, a ryzyko, którym zarządzają, dotyczy danych.

Inżynierowie OT to najczęściej specjaliści z wykształceniem w dziedzinie automatyki, mechaniki czy chemii. Ich świat jest światem fizyki, gdzie królują stabilność, przewidywalność i niezawodność. Cenią oni rozwiązania sprawdzone i działające przez lata. Każda zmiana jest dla nich potencjalnym zagrożeniem dla bezpieczeństwa i ciągłości procesu. Ich praca jest namacalna, a ryzyko, którym zarządzają, dotyczy realnych, fizycznych konsekwencji.

Te różnice kulturowe prowadzą do problemów w komunikacji. Zespół IT, mówiąc o „zarządzaniu podatnościami”, myśli w kategoriach skanowania i łatania. Zespół OT, słysząc te same słowa, myśli o „ryzyku zatrzymania produkcji”. Brak wspólnego języka i wzajemnego zrozumienia dla swoich priorytetów jest jedną z największych barier w budowaniu skutecznego programu cyberbezpieczeństwa dla całego przedsiębiorstwa.

Jak zbudować most między IT a OT, by skutecznie chronić infrastrukturę przemysłową?

Skuteczna ochrona nowoczesnego przedsiębiorstwa przemysłowego nie jest możliwa, jeśli IT i OT pozostaną w swoich silosach. Kluczem do sukcesu jest zbudowanie „mostu” opartego na wzajemnym zrozumieniu, współpracy i wspólnych celach. Jest to przede wszystkim zadanie dla kadry zarządzającej, która musi stworzyć odpowiednie ramy organizacyjne i promować kulturę współpracy.

Pierwszym krokiem jest stworzenie wspólnej struktury zarządczej, na przykład międzyfunkcyjnego komitetu sterującego ds. cyberbezpieczeństwa, w którym zasiądą przedstawiciele obu światów oraz biznesu. Taki komitet musi wypracować wspólną politykę bezpieczeństwa i wspólną strategię zarządzania ryzykiem, która godzi priorytety IT i OT. Konieczne jest również wyznaczenie jednej osoby, na przykład CISO, która będzie miała całościową odpowiedzialność za bezpieczeństwo w obu domenach.

Niezbędne są również działania „miękkie”. Organizowanie wspólnych szkoleń i warsztatów, podczas których zespoły mogą poznać swoje środowiska pracy i wyzwania, jest nieocenione. Dobrą praktyką jest również czasowa wymiana pracowników – wysłanie specjalisty IT na kilka tygodni na halę produkcyjną i zaproszenie inżyniera OT do pracy w zespole SOC. Tylko poprzez edukację, otwartą komunikację i budowanie osobistych relacji można zburzyć istniejące bariery i stworzyć jeden, zjednoczony zespół, którego wspólnym celem jest ochrona całej organizacji.