Mit „air gap”: Dlaczego Twoja sieć produkcyjna już dawno jest podłączona do internetu i co z tym zrobić?

W świecie cyberbezpieczeństwa przemysłowego przez dekady panowało jedno, potężne zaklęcie ochronne: „air gap”, czyli szczelina powietrzna. Idea była prosta i elegancka – sieć sterująca procesami produkcyjnymi (OT) jest całkowicie, fizycznie odizolowana od sieci korporacyjnej (IT) i, co za tym idzie, od internetu. Skoro nie ma żadnych kabli łączących te dwa światy, żadne zagrożenie z zewnątrz nie może przeniknąć do środka. To przekonanie dawało menedżerom i inżynierom poczucie komfortu i pozwalało traktować bezpieczeństwo OT jako problem w dużej mierze rozwiązany.

Niestety, ten komfort okazał się iluzją. W dzisiejszej rzeczywistości, napędzanej przez potrzebę optymalizacji, analizy danych i zdalnego dostępu, „air gap” jest już tylko mitem. Postępująca konwergencja IT/OT, rozwój Przemysłowego Internetu Rzeczy (IIoT) oraz, co równie ważne, codzienne praktyki operacyjne, stworzyły niezliczone, często niewidoczne mosty łączące odizolowane niegdyś wyspy OT z globalnym oceanem internetu. Utrzymywanie wiary w mityczną izolację jest nie tylko błędem – jest strategicznym zaniedbaniem, które otwiera drzwi do katastrofalnych w skutkach cyberataków.

Czym jest mityczny „air gap” i dlaczego dawał poczucie bezpieczeństwa?

Koncepcja „air gap” wywodzi się z czasów, gdy systemy sterowania przemysłowego były prostymi, zamkniętymi ekosystemami. Definiuje ona sytuację, w której sieć komputerowa lub urządzenie jest fizycznie odizolowane od innych, niezabezpieczonych sieci, takich jak sieć firmowa czy publiczny internet. Fizyczna izolacja oznacza brak jakichkolwiek połączeń – ani przewodowych (kabli Ethernet), ani bezprzewodowych (Wi-Fi, Bluetooth). Jedynym sposobem na przeniesienie danych do takiej sieci było użycie nośnika fizycznego, jak dyskietka czy płyta CD.

Poczucie bezpieczeństwa, jakie dawał „air gap”, było w pełni uzasadnione w tamtej erze. Jeśli sieć nie miała żadnego połączenia ze światem zewnętrznym, była odporna na ataki zdalne. Haker siedzący tysiące kilometrów dalej nie miał żadnej technicznej możliwości, aby dostać się do sterowników PLC czy systemu SCADA. Zagrożenie mogło przyjść jedynie od wewnątrz – w postaci złośliwego oprogramowania przyniesionego na nośniku fizycznym przez pracownika lub serwisanta.

Ta prostota i oczywistość sprawiły, że „air gap” stał się złotym standardem i niemal dogmatem w bezpieczeństwie OT. Inżynierowie mogli skupić się na niezawodności i bezpieczeństwie fizycznym procesu, zakładając, że cyfrowa forteca jest chroniona przez najpotężniejszą z zapór – czyli jej brak. To właśnie to przekonanie o absolutnej izolacji pozwoliło przez lata ignorować potrzebę wdrażania bardziej złożonych mechanizmów cyberbezpieczeństwa wewnątrz samej sieci przemysłowej.

Dlaczego konwergencja IT/OT stała się biznesową koniecznością?

Świat przemysłu nie stoi w miejscu. Presja na zwiększanie wydajności, redukcję kosztów i szybsze reagowanie na zmiany rynkowe zmusiła firmy do poszukiwania nowych sposobów optymalizacji. Szybko okazało się, że najcenniejszym, a jednocześnie niewykorzystanym zasobem są dane generowane przez maszyny i procesy produkcyjne. Aby je wykorzystać, trzeba było je wydobyć z izolowanych sieci OT i udostępnić systemom analitycznym w świecie IT.

Tak narodziła się konwergencja IT/OT – proces stopniowego łączenia i integracji tych dwóch, dotychczas oddzielnych, światów technologicznych. Biznesowe uzasadnienie tego procesu jest nie do podważenia. Integracja pozwala na monitorowanie wydajności produkcji w czasie rzeczywistym, przewidywanie awarii maszyn (predictive maintenance), optymalizację zużycia energii czy automatyzację łańcucha dostaw poprzez bezpośrednią komunikację systemów ERP (w IT) z systemami MES (w OT).

Ta transformacja, znana jako Przemysł 4.0, z biznesowego punktu widzenia jest absolutnie konieczna do utrzymania konkurencyjności. Firmy, które pozostałyby przy w pełni izolowanych systemach, skazałyby się na stagnację i przegraną w wyścigu o efektywność. Konieczność biznesowa stała się więc głównym motorem, który zaczął systematycznie i celowo burzyć mur „air gap”, tworząc nowe, cyfrowe mosty w imię postępu i zysku.

Jakie korzyści biznesowe napędzają łączenie sieci przemysłowych ze światem IT?

Decyzja o połączeniu sieci OT z IT nigdy nie jest podejmowana lekkomyślnie; jest to świadomy wybór strategiczny, motywowany konkretnymi, mierzalnymi korzyściami. Jedną z najważniejszych jest optymalizacja procesów produkcyjnych. Dzięki przesyłaniu danych z czujników do zaawansowanych platform analitycznych, firmy mogą identyfikować wąskie gardła, analizować przyczyny przestojów i wprowadzać usprawnienia, które bezpośrednio przekładają się na zwiększenie wolumenu produkcji i redukcję kosztów.

Kolejną ogromną korzyścią jest konserwacja predykcyjna (predictive maintenance). Zamiast wymieniać części maszyn według sztywnego harmonogramu, algorytmy sztucznej inteligencji analizują dane o wibracjach, temperaturze czy zużyciu energii, przewidując nadchodzącą awarię z dużym wyprzedzeniem. Pozwala to na zaplanowanie serwisu w dogodnym momencie, unikając kosztownych, nieplanowanych przestojów i maksymalizując żywotność drogich komponentów.

Trzecim kluczowym motorem jest zdalne monitorowanie i zarządzanie. Globalne korporacje mogą centralnie nadzorować wydajność swoich fabryk rozsianych po całym świecie. Producenci maszyn mogą oferować swoim klientom usługi zdalnej diagnostyki i serwisu, co znacząco skraca czas reakcji na problemy i obniża koszty podróży. Wszystkie te korzyści – od optymalizacji, przez predykcję, po zdalne zarządzanie – wymagają jednego: stałego i niezawodnego przepływu danych między światem fizycznym (OT) a światem analitycznym (IT).

Jakie są najbardziej typowe, celowe połączenia między sieciami IT i OT?

Burzenie „air gap” najczęściej zaczyna się od tworzenia celowych, autoryzowanych połączeń, które mają służyć realizacji konkretnych celów biznesowych. Jednym z najbardziej klasycznych przykładów jest połączenie systemu planowania zasobów przedsiębiorstwa (ERP) z systemem realizacji produkcji (MES). To połączenie pozwala na automatyczne przesyłanie zleceń produkcyjnych z systemu biznesowego bezpośrednio na halę produkcyjną oraz na otrzymywanie zwrotnej informacji o postępach i zużyciu surowców.

Innym powszechnym połączeniem jest serwer typu „historian”, czyli baza danych historycznych. Jest to system, który zbiera ogromne ilości danych procesowych (np. odczyty temperatur, ciśnień, przepływów) z systemów SCADA i udostępnia je do analizy inżynierom i analitykom w sieci korporacyjnej. Aby to było możliwe, serwer historian musi być połączony z obiema sieciami, stając się de facto mostem między nimi.

Coraz częściej spotykane są również połączenia związane ze zdalnym dostępem dla zewnętrznych firm serwisowych i integratorów systemów. Producenci maszyn wymagają stałego dostępu do swoich urządzeń w celu monitorowania ich stanu i świadczenia usług wsparcia technicznego. Te połączenia są zazwyczaj realizowane przez sieci VPN, ale jeśli są niewłaściwie skonfigurowane, mogą stanowić otwartą bramę do całej sieci przemysłowej.

Czym są „ukryte mosty”, które nieświadomie burzą izolację sieci OT?

Oprócz połączeń celowych, istnieje cała kategoria „ukrytych mostów” – niezamierzonych i często nieudokumentowanych połączeń, które całkowicie podważają koncepcję izolacji. Bardzo często zdarza się, że stacja inżynierska, używana do programowania sterowników PLC, jest wyposażona w dwie karty sieciowe. Jedna jest podłączona do izolowanej sieci OT, a druga – dla wygody inżyniera – do sieci biurowej IT, aby miał dostęp do internetu i poczty. Taki komputer staje się niezabezpieczonym routerem, przez który zagrożenia z IT mogą bez przeszkód przedostać się do OT.

Innym przykładem są modemy komórkowe (LTE) podłączane bezpośrednio do urządzeń w sieci OT. Zostały one zainstalowane przez firmę zewnętrzną w celu zapewnienia zdalnego serwisu i nikt w organizacji nie ma świadomości ich istnienia. Taki modem tworzy bezpośrednie połączenie z internetem, całkowicie omijając wszelkie firmowe zapory sieciowe i systemy bezpieczeństwa.

Problem ten dotyczy również systemów pomocniczych, które często są pomijane w analizach bezpieczeństwa. Systemy kontroli dostępu, monitoringu wizyjnego (CCTV) czy nawet sterowniki klimatyzacji, choć nie są bezpośrednio częścią procesu produkcyjnego, są często podłączone zarówno do sieci OT, jak i IT. Kompromitacja jednego z tych pozornie nieistotnych systemów może posłużyć atakującemu jako punkt przerzutowy do ataku na kluczową infrastrukturę sterowania.

Typowe sposoby na niezamierzone złamanie „Air Gap”

Jak laptop serwisanta i pendrive z aktualizacją mogą stworzyć cyfrową autostradę dla atakujących?

Nawet jeśli sieć jest teoretycznie w pełni odizolowana, „air gap” może zostać złamany za pomocą przenośnych nośników i urządzeń. Najbardziej klasycznym przykładem jest użycie zainfekowanego pendrive’a. Technik serwisu przyjeżdża z nową wersją oprogramowania do sterownika PLC. Nieświadomy, że jego pendrive został wcześniej zainfekowany złośliwym oprogramowaniem, podłącza go do stacji inżynierskiej w sieci OT. W tym momencie „air gap” zostaje pokonany, a malware może rozprzestrzenić się po całej, pozornie bezpiecznej, sieci. To właśnie w ten sposób działał słynny robak Stuxnet.

Podobne zagrożenie stwarza laptop zewnętrznego serwisanta. Taki laptop jest regularnie podłączany do różnych sieci u wielu klientów, a także do publicznego internetu, co czyni go idealnym wektorem do przenoszenia zagrożeń. Gdy serwisant podłącza swój laptop bezpośrednio do sieci OT, aby zdiagnozować problem z maszyną, może nieświadomie wprowadzić do niej złośliwe oprogramowanie.

Problem ten nie dotyczy tylko firm zewnętrznych. Wewnętrzni pracownicy działu utrzymania ruchu, którzy używają tych samych laptopów do pracy w sieci biurowej (przeglądania internetu, odbierania poczty) i do łączenia się z siecią produkcyjną, stwarzają identyczne ryzyko. Każde urządzenie, które przekracza granicę między światem IT a OT, jest potencjalnym koniem trojańskim.

Jak Przemysłowy Internet Rzeczy (IIoT) ostatecznie pogrzebał ideę „air gap”?

Jeśli konwergencja IT/OT była procesem burzenia muru „air gap”, to Przemysłowy Internet Rzeczy (IIoT) jest jego ostatecznym zrównaniem z ziemią. IIoT to koncepcja polegająca na wyposażaniu ogromnej liczby urządzeń przemysłowych – od pojedynczych czujników po całe maszyny – w możliwość bezpośredniej komunikacji z internetem i platformami chmurowymi. Celem jest zbieranie granularnych danych na masową skalę i udostępnianie ich do analizy w dowolnym miejscu na świecie.

Urządzenia IIoT z definicji łamią ideę izolacji. Są one projektowane tak, aby łączyć się bezpośrednio z chmurą, często z pominięciem tradycyjnej, hierarchicznej architektury sieciowej. Nowy, inteligentny czujnik na linii produkcyjnej może wysyłać swoje dane przez sieć komórkową bezpośrednio na serwery producenta w celu analizy. Z perspektywy bezpieczeństwa, oznacza to powstanie setek, a nawet tysięcy nowych, indywidualnych połączeń ze światem zewnętrznym, z których każde musi być osobno zabezpieczone.

Wzrost liczby urządzeń IIoT radykalnie zwiększa powierzchnię ataku. Wiele z tych urządzeń, zwłaszcza tych tańszych, posiada bardzo słabe, wbudowane zabezpieczenia, domyślne hasła, których nie można zmienić, i oprogramowanie pełne podatności. Zarządzanie bezpieczeństwem i aktualizacjami w tak rozproszonym i heterogenicznym środowisku jest gigantycznym wyzwaniem i ostatecznie dowodzi, że koncepcja budowania bezpieczeństwa na fizycznej izolacji jest już całkowicie przestarzała.

Jakie nowe wektory ataków powstają po zaniku fizycznej izolacji?

Zanik „air gap” sprawia, że sieci OT stają się podatne na te same rodzaje ataków, które od lat nękają świat IT, ale o potencjalnie znacznie groźniejszych, fizycznych konsekwencjach. Atakujący mogą teraz zdalnie skanować sieci przemysłowe w poszukiwaniu podatnych na ataki urządzeń i usług wystawionych do internetu, takich jak panele HMI czy serwery SCADA z niezabezpieczonym zdalnym pulpitem.

Jednym z najpoważniejszych zagrożeń jest ransomware. Grupy przestępcze, które uzyskają dostęp do sieci OT, mogą zaszyfrować kluczowe systemy sterowania, takie jak serwery SCADA czy stacje inżynierskie. W takiej sytuacji firma staje przed tragicznym wyborem: zapłacić okup, ryzykując, że i tak nie odzyska danych, czy zmierzyć się z wielotygodniowym przestojem całej fabryki i próbą odbudowy systemów od zera, co może być niezwykle trudne lub wręcz niemożliwe.

Połączenie IT i OT otwiera również drogę do ataków wieloetapowych. Atakujący mogą najpierw skompromitować słabiej chronioną sieć biurową za pomocą klasycznego phishingu, a następnie wykorzystać ją jako przyczółek do powolnego i ostrożnego przemieszczania się w kierunku sieci OT (ruch lateralny). Po uzyskaniu dostępu do sieci przemysłowej, mogą oni przez wiele miesięcy pozostawać w ukryciu, mapując infrastrukturę i przygotowując się do ostatecznego uderzenia, którego celem może być nie tylko kradzież danych, ale sabotaż i spowodowanie fizycznych zniszczeń.

Dlaczego należy przejść od myślenia „ufam, bo izolowane” do „zakładam, że już doszło do naruszenia”?

Skoro mit „air gap” upadł, cała filozofia bezpieczeństwa OT musi ulec zmianie. Poleganie na obronie obwodowej – czyli na jednym, silnym murze granicznym – przestało mieć sens w świecie, gdzie granic już praktycznie nie ma. Nowoczesne podejście musi opierać się na znacznie bardziej pesymistycznym, ale i realistycznym założeniu, znanym jako „assume breach” (założenie naruszenia).

Filozofia „assume breach” oznacza, że projektujemy nasze systemy bezpieczeństwa, zakładając, że atakujący już jest wewnątrz naszej sieci lub wkrótce w niej będzie. Zamiast skupiać całą energię na uniemożliwieniu mu wejścia, koncentrujemy się na tym, aby maksymalnie utrudnić mu działanie, gdy już się w niej znajdzie. Celem jest wczesne wykrycie intruza, ograniczenie szkód, jakie może wyrządzić, i szybkie usunięcie go z naszego środowiska.

Taka zmiana myślenia ma fundamentalne konsekwencje. Prowadzi do odejścia od budowania jednej, kruchej linii obrony na rzecz tworzenia architektury wielowarstwowej, w której kompromitacja jednego elementu nie prowadzi do upadku całego systemu. Wymusza ona wdrożenie mechanizmów, które do tej pory w świecie OT były rzadkością: ciągłego monitoringu, segmentacji sieci i ścisłej kontroli tego, co dzieje się wewnątrz sieci, a nie tylko na jej granicach.

Jak inwentaryzacja i mapowanie połączeń stają się fundamentem nowej strategii?

Pierwszym krokiem w budowie nowej strategii bezpieczeństwa, opartej na założeniu naruszenia, jest odpowiedź na fundamentalne pytanie: „co tak naprawdę mam w swojej sieci?”. Nie można chronić czegoś, o czym się nie wie. Dlatego absolutnym fundamentem staje się stworzenie i utrzymywanie dokładnej, aktualnej inwentaryzacji wszystkich zasobów podłączonych do sieci OT.

Proces ten musi obejmować nie tylko listę urządzeń, takich jak sterowniki PLC, stacje HMI czy przełączniki sieciowe, ale również szczegółowe informacje na ich temat: producenta, model, wersję oprogramowania układowego, zainstalowane oprogramowanie i znane podatności. Równie ważne jest dokładne zmapowanie wszystkich połączeń – zarówno tych wewnątrz sieci OT, jak i tych wychodzących do sieci IT czy internetu.

Dopiero posiadając taką mapę, możemy zacząć podejmować świadome decyzje dotyczące ryzyka. Możemy zidentyfikować krytyczne zasoby, które wymagają szczególnej ochrony, zlokalizować nieautoryzowane „ukryte mosty”, które należy usunąć, oraz zrozumieć, jakie są potencjalne ścieżki ataku w naszej infrastrukturze. Bez tego fundamentu, wszelkie dalsze działania w zakresie bezpieczeństwa będą jedynie zgadywaniem.

Czym zastąpić „air gap”, czyli rola segmentacji i monitoringu w nowoczesnej sieci OT?

Jeśli „air gap” już nie działa, to co powinno go zastąpić? Odpowiedzią jest kombinacja dwóch kluczowych koncepcji: segmentacji i monitoringu. Segmentacja sieci polega na podziale dużej, płaskiej sieci na mniejsze, odizolowane od siebie strefy za pomocą zapór sieciowych (firewalli). Dzięki temu, nawet jeśli atakujący skompromituje jedno urządzenie, jego zdolność do poruszania się po sieci i atakowania innych systemów jest znacznie ograniczona. Zapora sieciowa zablokuje mu drogę.

Prawidłowo wdrożona segmentacja tworzy wewnątrz sieci szereg „wirtualnych air gapów”. Można na przykład stworzyć osobną strefę dla każdej krytycznej linii produkcyjnej, a komunikację między tymi strefami ograniczyć tylko do absolutnie niezbędnego minimum. To podejście, zgodne z modelem Purdue, jest jednym z najskuteczniejszych sposobów na powstrzymywanie rozprzestrzeniania się ataków, takich jak ransomware.

Sama segmentacja to jednak za mało. Musi jej towarzyszyć ciągły monitoring ruchu sieciowego. Specjalistyczne systemy do monitorowania sieci OT potrafią pasywnie analizować komunikację między urządzeniami i wykrywać anomalie, które mogą wskazywać na atak. Mogą one zaalarmować o próbie wykorzystania znanej podatności, nieautoryzowanej próbie programowania sterownika PLC czy pojawieniu się w sieci nowego, nieznanego urządzenia. Monitoring pozwala widzieć, co dzieje się wewnątrz sieci i reagować na zagrożenia w czasie rzeczywistym.

Jak kontrolować niezbędne połączenia, aby minimalizować ryzyko?

Nowoczesny przemysł nie może funkcjonować bez połączeń między IT a OT. Wyzwaniem nie jest więc ich całkowita eliminacja, ale ich ścisła kontrola. Każde połączenie między strefami o różnym poziomie zaufania, a zwłaszcza między siecią IT a OT, musi przechodzić przez strefę zdemilitaryzowaną (DMZ), która działa jak kontrolowana śluza.

W strefie DMZ umieszcza się serwery pośredniczące, które uniemożliwiają bezpośrednią komunikację między komputerem w sieci biurowej a sterownikiem na hali produkcyjnej. Wszelka wymiana danych jest ściśle filtrowana przez zapory sieciowe, które przepuszczają tylko autoryzowany ruch na konkretnych portach i protokołach. Cały ruch przechodzący przez DMZ powinien być szczegółowo logowany i monitorowany.

Szczególną uwagę należy zwrócić na zdalny dostęp. Zamiast pozwalać serwisantom na łączenie się bezpośrednio z maszynami przez VPN, należy wdrożyć rozwiązania typu „jump host” lub systemy zarządzania dostępem uprzywilejowanym (PAM). Użytkownik najpierw loguje się do bezpiecznego serwera pośredniczącego, a dopiero z niego uzyskuje kontrolowany i monitorowany dostęp do konkretnego urządzenia w sieci OT. Każda sesja zdalna powinna wymagać uwierzytelniania wieloskładnikowego (MFA) i być nagrywana w celu późniejszej analizy.

Czy „air gap” jest martwy i jak powinna wyglądać nowa filozofia bezpieczeństwa OT?

Tak, koncepcja „air gap” jako jedynego i wystarczającego środka ochrony sieci przemysłowej jest definitywnie martwa. Utrzymywanie wiary w jej skuteczność w dobie Przemysłu 4.0 jest nie tylko naiwne, ale i skrajnie niebezpieczne. Nowa filozofia bezpieczeństwa OT musi zaakceptować fakt, że połączenia istnieją i będą istnieć, a zagrożenia mogą pojawić się w każdym punkcie naszej infrastruktury.

Nowa filozofia musi być oparta na zasadach głębokiej obrony (defense-in-depth) i zerowego zaufania (zero trust). Obrona w głąb oznacza budowanie wielu, nakładających się na siebie warstw zabezpieczeń, tak aby awaria jednej z nich nie prowadziła do katastrofy. Zerowe zaufanie oznacza porzucenie idei bezpiecznego „wnętrza” sieci i weryfikowanie każdej próby komunikacji, niezależnie od jej pochodzenia.

W praktyce oznacza to, że fundamentem bezpieczeństwa staje się widoczność (wiem, co mam w sieci), segmentacja (ograniczam potencjalny zasięg ataku) i monitoring (wykrywam, gdy dzieje się coś złego). Zamiast budować jeden, wysoki mur wokół całej fabryki, budujemy wiele mniejszych, wewnętrznych murów i w każdym pomieszczeniu instalujemy kamery i czujniki ruchu. To jest właśnie nowoczesne, realistyczne i skuteczne podejście do ochrony krytycznej infrastruktury przemysłowej w XXI wieku.