5 mitów o cyberbezpieczeństwie OT | Jak naprawdę chronić fabrykę?

Czy sam firewall wystarczy? 5 mitów na temat bezpieczeństwa OT

Napisz do nas

W dziedzinie tak złożonej i dynamicznej jak cyberbezpieczeństwo technologii operacyjnej (OT), uproszczenia i mity są niezwykle niebezpieczne. Działają jak mgła, która zasłania realny obraz zagrożeń i usypia czujność, prowadząc do podejmowania błędnych decyzji strategicznych. Wiele firm przemysłowych, często nieświadomie, buduje całą swoją strategię obronną na fundamencie takich właśnie mitów, odziedziczonych po erze, w której sieci przemysłowe były prostymi, odizolowanymi wyspami.

Niestety, cyberprzestępcy nie wierzą w mity – wierzą w podatności. Bezlitośnie wykorzystują oni każdy błąd w myśleniu, każdą lukę wynikającą z fałszywego poczucia bezpieczeństwa. Ataki takie jak NotPetya czy incydenty w globalnych koncernach produkcyjnych dobitnie pokazały, że tradycyjne podejście oparte na kilku prostych założeniach po prostu przestało działać w dzisiejszym, połączonym świecie.

Celem tego artykułu jest konfrontacja z najpopularniejszymi i najbardziej szkodliwymi mitami dotyczącymi bezpieczeństwa OT. Chcemy nie tylko je obalić, ale przede wszystkim pokazać, jaka jest rzeczywistość i jakie konkretne działania należy podjąć, aby zastąpić iluzję realną, wielowarstwową ochroną. To wiedza, która może uchronić Twoją firmę przed katastrofalnym w skutkach zderzeniem z rzeczywistością.

Mit #1: „Mamy firewall na brzegu sieci, więc jesteśmy bezpieczni”. Dlaczego to nieprawda?

To jeden z najstarszych i najtrwalszych mitów. Wiele firm inwestuje w potężny, drogi firewall nowej generacji (NGFW) na styku sieci korporacyjnej (IT) i internetu, a czasem również na granicy między IT a OT. Jest to oczywiście krok absolutnie niezbędny, ale postrzeganie go jako ostatecznego i wystarczającego zabezpieczenia jest fundamentalnym błędem. Takie podejście, znane jako model „zamku i fosy”, zakłada, że całe zło pochodzi z zewnątrz, a wszystko co jest w środku, jest zaufane.

Rzeczywistość jest znacznie bardziej skomplikowana. Po pierwsze, zagrożenie może ominąć ten brzegowy firewall na wiele sposobów – na przykład na laptopie zewnętrznego serwisanta lub zainfekowanym nośniku USB. Po drugie, zagrożenie może narodzić się wewnątrz sieci, w wyniku działania niezadowolonego pracownika. Po trzecie, co najważniejsze, gdy atakujący zdoła już sforsować tę pierwszą linię obrony, wewnątrz płaskiej, niezasegmentowanej sieci nie napotyka już żadnego oporu.

Skuteczna obrona musi być wielowarstwowa (defense-in-depth). Oprócz muru na granicy, musimy budować wewnętrzne mury (segmentację), które ograniczają rozprzestrzenianie się ataku. Musimy również monitorować, co dzieje się wewnątrz tych murów. Poleganie wyłącznie na jednym, brzegowym firewallu jest jak posiadanie potężnych drzwi wejściowych do domu, w którym nie ma żadnych ścian działowych ani zamków w drzwiach do poszczególnych pokoi.

Mit #2: „Nasza sieć OT jest odizolowana (air-gapped)”. Dlaczego ten mit jest tak niebezpieczny?

Mit „szczeliny powietrznej” (air gap), czyli całkowitej fizycznej izolacji sieci OT od innych sieci, jest prawdopodobnie najbardziej niebezpiecznym ze wszystkich, ponieważ daje najsilniejsze, a jednocześnie najbardziej złudne poczucie bezpieczeństwa. W teorii, sieć, która nie jest do niczego podłączona, nie może zostać zaatakowana zdalnie. W praktyce, prawdziwe, stuprocentowe air gapy w nowoczesnym przemyśle praktycznie nie istnieją.

Postępująca konwergencja IT/OT, napędzana przez potrzebę analizy danych i zdalnego monitoringu, stworzyła niezliczone, często nieudokumentowane połączenia. Serwery SCADA muszą wymieniać dane z systemami ERP. Inżynierowie potrzebują zdalnego dostępu. Producenci maszyn wymagają połączenia do celów serwisowych. Do tego dochodzą „ukryte mosty” – komputery z dwiema kartami sieciowymi, nieautoryzowane modemy LTE czy źle skonfigurowane firewalle.

Niebezpieczeństwo tego mitu polega na tym, że usypia on czujność. Organizacje, które wierzą, że są chronione przez „air gap”, często zaniedbują wdrażanie jakichkolwiek innych, wewnętrznych mechanizmów bezpieczeństwa. Nie segmentują sieci, nie zarządzają podatnościami, nie monitorują ruchu. W momencie, gdy okazuje się, że ich „szczelina powietrzna” od dawna jest iluzją, atakujący trafia na całkowicie bezbronne środowisko.

Mit #3: „Mamy antywirusa na komputerze HMI, więc sterowniki PLC są chronione”. Jak to wygląda w rzeczywistości?

Wdrażanie oprogramowania antywirusowego lub bardziej zaawansowanych systemów EDR (Endpoint Detection and Response) na stacjach roboczych i serwerach w sieci OT (np. na komputerach z oprogramowaniem HMI/SCADA) jest oczywiście dobrą i potrzebną praktyką. Problem polega na micie, że jest to środek wystarczający do ochrony całej warstwy sterowania.

Antywirus chroni system operacyjny komputera (np. Windows) przed znanym złośliwym oprogramowaniem. Nie ma on jednak żadnego wglądu ani zrozumienia dla tego, co dzieje się na poziomie protokołów przemysłowych. Atakujący, który przejął kontrolę nad stacją HMI, wcale nie musi instalować na niej dodatkowego wirusa. Może on po prostu wykorzystać legalne, zainstalowane na niej oprogramowanie inżynierskie do wysłania do sterownika PLC w pełni legalnej, ale złośliwej komendy, np. „zmień prędkość obrotową silnika na wartość krytyczną”.

Dla antywirusa, takie działanie jest całkowicie przezroczyste i niewidoczne. On widzi tylko, że legalny program wysyła legalny ruch sieciowy. Nie jest w stanie zrozumieć, że ta komenda może za chwilę doprowadzić do fizycznego zniszczenia maszyny. Ochrona sterowników PLC wymaga dedykowanych narzędzi, które rozumieją świat fizyki, a nie tylko świat plików.

Mit #4: „Naszych systemów nie da się aktualizować, więc nic nie możemy zrobić”. Jakie są alternatywy dla łatania?

To mit oparty na rezygnacji, który prowadzi do całkowitej bezczynności. Prawdą jest, że regularne łatanie (patching) systemów OT jest niezwykle trudne lub wręcz niemożliwe z powodu długiego cyklu życia, ryzyka dla stabilności i braku wsparcia producentów. Jednak stwierdzenie, że w związku z tym „nic nie możemy zrobić”, jest nieprawdą.

Jak opisaliśmy w jednym z poprzednich artykułów, w świecie OT, gdzie nie możemy wyeliminować podatności u źródła, musimy stosować kontrole kompensacyjne. Zamiast naprawiać dziurę w samym urządzeniu, budujemy wokół niego bariery ochronne, które uniemożliwiają jej wykorzystanie. To fundamentalna zmiana w myśleniu, od reaktywnego łatania do proaktywnego zarządzania ryzykiem.

Do najważniejszych alternatyw dla łatania należą: segmentacja sieci, która izoluje podatne urządzenie; wirtualne łatanie za pomocą systemów IPS, które blokują próby ataku na poziomie sieci; utwardzanie (hardening) konfiguracji, czyli wyłączanie zbędnych usług; oraz monitoring sieci, który pozwala na wykrywanie prób wykorzystania luki. Bezczynność nie jest opcją.

Mit #5: „Cyberbezpieczeństwo to problem IT”. Dlaczego takie myślenie prowadzi do katastrofy?

To mit kulturowy i organizacyjny, który jest źródłem większości konfliktów i zaniedbań. Wynika on z historycznego podziału, w którym zespół IT był odpowiedzialny za komputery, a zespół OT za maszyny. W dobie konwergencji, ten podział przestał mieć sens, ale w wielu firmach wciąż pokutuje w mentalności pracowników.

Próba zrzucenia całej odpowiedzialności za bezpieczeństwo OT na dział IT jest skazana na porażkę. Zespół IT, nawet przy najlepszych chęciach, nie posiada kluczowej wiedzy na temat procesów produkcyjnych. Nie jest w stanie samodzielnie ocenić, jakie konsekwencje dla bezpieczeństwa fizycznego będzie miała dana decyzja. Może on wdrożyć zabezpieczenie, które z technicznego punktu widzenia jest poprawne, ale w praktyce zakłóci pracę fabryki.

Cyberbezpieczeństwo w OT jest odpowiedzialnością wspólną. Wymaga ono stworzenia interdyscyplinarnych zespołów i partnerskiej współpracy, w której eksperci IT wnoszą swoją wiedzę o zagrożeniach i technologiach obronnych, a inżynierowie OT wnoszą bezcenną wiedzę o procesie, jego priorytetach i ograniczeniach. Każda próba działania w pojedynkę prowadzi do błędów i wzajemnej frustracji.

Jak mit „jesteśmy za mali, by być celem” zderza się z realiami zautomatyzowanych ataków?

Wielu menedżerów mniejszych i średnich firm produkcyjnych żyje w przekonaniu, że nie są oni interesującym celem dla hakerów. „Kim jesteśmy? Tylko małą fabryką na prowincji. Kto chciałby nas atakować, skoro może atakować banki czy wielkie koncerny?”. To niezwykle niebezpieczny błąd w myśleniu.

Większość dzisiejszych ataków, zwłaszcza tych z użyciem ransomware, nie jest precyzyjnie celowana. Ma ona charakter masowy i zautomatyzowany. Cyberprzestępcy wypuszczają w internet boty, które skanują całą sieć w poszukiwaniu jakichkolwiek łatwych do sforsowania celów – niezabezpieczonych serwerów, systemów ze słabymi hasłami czy znanych podatności. Dla bota nie ma znaczenia, czy atakuje globalną korporację, czy małą firmę rodzinną. Atakuje on tego, kogo da się zaatakować najłatwiej.

Co więcej, mniejsze firmy są często postrzegane jako idealny „punkt wejścia” do ataku na ich znacznie większych i lepiej chronionych partnerów biznesowych w ramach ataku na łańcuch dostaw. Twoja firma może nie być ostatecznym celem, ale może stać się nieświadomym przyczółkiem do ataku na Twojego największego klienta. W dzisiejszym świecie, każda firma podłączona do internetu jest celem.

Ile kosztuje wiara w mity, czyli realne konsekwencje popularnych błędów w myśleniu?

Wiara w mity o bezpieczeństwie OT nie jest nieszkodliwą ignorancją. Jest to aktywna forma podejmowania ryzyka, która ma bardzo realne i bolesne konsekwencje finansowe i operacyjne. Każdy z obalonych mitów prowadzi do konkretnych strat.

Wiara w mit „wystarczy firewall” prowadzi do braku segmentacji, co w przypadku ataku ransomware skutkuje paraliżem całej fabryki, a nie tylko jednego jej fragmentu. Wiara w mit „air gap” prowadzi do braku monitoringu, co sprawia, że atakujący może działać w naszej sieci niezauważony przez wiele miesięcy. Wiara w mit „antywirus chroni PLC” prowadzi do ignorowania zagrożeń na poziomie protokołów przemysłowych, co może skończyć się sabotażem i fizycznym uszkodzeniem maszyn.

Ostatecznie, koszt wiary w mity to koszt przestoju, koszt odtwarzania systemów, koszt utraconych kontraktów i zaufania klientów. To miliony złotych, których można było uniknąć, gdyby strategia obronna była oparta na faktach i najlepszych praktykach, a nie na przestarzałych i nieprawdziwych przekonaniach.

Czym różni się dedykowany firewall przemysłowy (OT) od korporacyjnego firewalla nowej generacji (NGFW)?

Wiele firm, próbując zabezpieczyć granicę IT/OT, instaluje tam standardowy, korporacyjny firewall NGFW. Choć jest to lepsze niż nic, nie jest to rozwiązanie optymalne. Dedykowane firewalle przemysłowe posiadają szereg unikalnych cech, które czynią je znacznie bardziej skutecznymi w tym specyficznym środowisku.

Po pierwsze, są one odporne fizycznie – zaprojektowane do pracy w trudnych warunkach przemysłowych (temperatura, wibracje, pył). Po drugie, potrafią działać w trybie transparentnym, co pozwala na ich wdrożenie bez zmiany adresacji IP. Po trzecie, i najważniejsze, posiadają one zdolność głębokiej inspekcji pakietów (DPI) dla protokołów przemysłowych.

Oznacza to, że taki firewall „rozumie” język maszyn. Potrafi on odróżnić legalną komendę odczytu od niebezpiecznej komendy zapisu w protokole Modbus. Pozwala to na tworzenie znacznie bardziej precyzyjnych i bezpiecznych reguł, które blokują zagrożenia, nie zakłócając jednocześnie normalnej komunikacji operacyjnej.

Jak przeprowadzić segmentację sieci OT w praktyce, nie zatrzymując produkcji?

Jak opisaliśmy szczegółowo w jednym z poprzednich artykułów, jest to możliwe dzięki zastosowaniu wspomnianych transparentnych firewalli przemysłowych. Proces ten, przeprowadzony metodycznie, jest w pełni bezpieczny dla ciągłości działania.

Zaczyna się on od pasywnego zmapowania sieci, aby zrozumieć, co w niej działa i jak się komunikuje. Następnie, na podstawie tej mapy, planuje się logiczne segmenty. Kluczowym etapem jest wdrożenie firewalli w trybie monitorowania, w którym uczą się one normalnego ruchu, niczego nie blokując. Dopiero po stworzeniu precyzyjnej „białej listy” dozwolonej komunikacji, przechodzi się do trybu aktywnego blokowania. Taka ewolucyjna metoda eliminuje ryzyko związane z rewolucyjną zmianą architektury.

Jak zweryfikować mit „mamy stary system, więc jest bezpieczny, bo nikt nie pisze na niego wirusów”?

To bardzo niebezpieczne i całkowicie nieprawdziwe przekonanie. W rzeczywistości, stare, niewspierane systemy, jak Windows XP, są jednym z najłatwiejszych celów dla atakujących. Istnieją dla nich tysiące publicznie znanych, dobrze udokumentowanych i niezałatanialnych podatności. W internecie krążą gotowe, zautomatyzowane narzędzia (exploity), które pozwalają na przejęcie kontroli nad takim systemem w ciągu kilku sekund, nawet przez początkującego hakera. Atakujący nie muszą „pisać nowych wirusów” – mogą skorzystać z ogromnego, gotowego arsenału. Najlepszym sposobem na zweryfikowanie tego mitu jest przeprowadzenie kontrolowanego testu penetracyjnego, który w bezpiecznych warunkach pokaże, jak trywialnie proste jest włamanie się do takiego systemu.

Które zapisy normy IEC 62443 najskuteczniej obalają popularne mity o bezpieczeństwie?

Międzynarodowa norma IEC 62443 jest de facto podręcznikiem, który w usystematyzowany sposób obala wszystkie omówione mity. Jej fundamentalna koncepcja stref i kanałów bezpośrednio przeczy mitowi o wystarczalności jednego, brzegowego firewalla, nakazując budowę głębokiej, wewnętrznej segmentacji. Wymóg przeprowadzania analizy ryzyka i definiowania Poziomów Bezpieczeństwa (Security Levels) obala mit „jesteśmy za mali, by być celem”, zmuszając do świadomej oceny zagrożeń. Wreszcie, cała norma jest zbudowana na filozofii wspólnej odpowiedzialności, angażując w proces zarówno właścicieli fabryk, jak i integratorów oraz producentów, co jest zaprzeczeniem mitu „bezpieczeństwo to problem IT”.

Jak w trzech prostych krokach przekonać zarząd do inwestycji w bezpieczeństwo OT?

Przekonanie zarządu wymaga przejścia z języka technicznego na język biznesu i ryzyka.

  1. Pokaż realne ryzyko finansowe: Przeprowadź, nawet w uproszczonej formie, analizę kosztów przestoju. Pokaż, ile firma traci na każdej godzinie niedziałającej linii produkcyjnej. To przemawia do wyobraźni.
  2. Powołaj się na obowiązek prawny: Wykorzystaj dyrektywę NIS2 jako ostateczny argument. Poinformuj zarząd o wymogach prawnych, potencjalnych karach i, co najważniejsze, o ich osobistej odpowiedzialności.
  3. Przedstaw gotowe, priorytetyzowane rozwiązanie: Nie przychodź z listą problemów, ale z gotowym, opartym na audycie planem działania. Pokaż, że masz przemyślaną mapę drogową i wiesz, jak w sposób efektywny kosztowo zredukować zidentyfikowane ryzyko.

Czy istnieją darmowe narzędzia, które pomogą Ci w podstawowym audycie i weryfikacji mitów?

Tak, istnieje szereg darmowych narzędzi, które, używane z ostrożnością, mogą pomóc w wykonaniu pierwszego kroku i podstawowej diagnozie. Narzędzia takie jak Nmap (do skanowania portów), Wireshark (do analizy ruchu sieciowego) czy OpenVAS (do skanowania podatności) mogą dostarczyć cennych informacji. Należy jednak pamiętać, że ich nieumiejętne użycie w sieci OT, zwłaszcza narzędzi do aktywnego skanowania, może być ryzykowne. Dlatego zaleca się, aby korzystały z nich osoby o odpowiedniej wiedzy technicznej. Dla wielu organizacji, bezpieczniejszym i bardziej efektywnym podejściem będzie skorzystanie z profesjonalnego audytu od firmy zewnętrznej.

Jak nFlo, bazując na faktach i doświadczeniu, pomaga obalać mity i budować realne bezpieczeństwo w fabrykach?

W nFlo nasza praca zaczyna się tam, gdzie kończą się mity. Nie wierzymy w proste, uniwersalne rozwiązania. Wierzymy w dogłębną, opartą na danych diagnozę i strategię skrojoną na miarę unikalnych potrzeb każdego klienta. Nasz proces audytowy, wykorzystujący bezpieczne, pasywne technologie, jest zaprojektowany tak, aby dostarczyć Państwu obiektywnego, opartego na faktach obrazu realnego stanu bezpieczeństwa, bez żadnych uproszczeń czy domysłów. Pomagamy naszym klientom zrozumieć, że prawdziwa odporność nie wynika z wiary w jeden, magiczny środek (jak „air gap” czy „firewall”), ale z budowy wielowarstwowego, holistycznego programu, który łączy w sobie technologię, procesy i ludzi. Naszą rolą jest bycie Państwa przewodnikiem w tej podróży – dostarczamy wiedzę, narzędzia i doświadczenie, które pozwalają zastąpić niebezpieczne mity solidnym, inżynierskim podejściem do zarządzania ryzykiem.

Masz pytania do artykułu? Skontaktuj się z ekspertem

Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.

?
?
Zapoznałem/łam się i akceptuję  politykę prywatności.

O autorze:
Grzegorz Gnych

Grzegorz to doświadczony profesjonalista z ponad 20-letnim stażem w branży IT i telekomunikacji. Specjalizuje się w zarządzaniu sprzedażą, budowaniu strategicznych relacji z klientami oraz rozwijaniu innowacyjnych strategii sprzedażowych i marketingowych. Jego wszechstronne kompetencje potwierdza szereg certyfikatów branżowych, w tym z zakresu zarządzania usługami IT oraz technologii wiodących producentów.

W swojej pracy Grzegorz kieruje się zasadami przywództwa, ciągłego rozwoju wiedzy i proaktywnego działania. Jego podejście do sprzedaży opiera się na głębokim zrozumieniu potrzeb klientów i dostarczaniu rozwiązań, które realnie zwiększają ich konkurencyjność na rynku. Jest znany z umiejętności budowania długotrwałych relacji biznesowych i pozycjonowania się jako zaufany doradca.

Grzegorz szczególnie interesuje się integracją zaawansowanych technologii w strategiach sprzedażowych. Skupia się na wykorzystaniu sztucznej inteligencji i automatyzacji w procesach sprzedażowych, a także na rozwoju kompleksowych rozwiązań IT wspierających transformację cyfrową klientów.

Aktywnie dzieli się swoją wiedzą i doświadczeniem poprzez mentoring, wystąpienia na konferencjach branżowych i publikacje. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest łączenie głębokiej wiedzy technicznej z umiejętnościami biznesowymi i nieustanne dostosowywanie się do zmieniających się potrzeb rynku.

Pozostałe artykuly autora