Przejdź do treści
Baza wiedzy Zaktualizowano: 5 lutego 2026 14 min czytania

Mój sterownik PLC nie może być zaktualizowany. I co teraz? Zarządzanie podatnościami w systemach

Dział IT wysyła Ci pilny alert o krytycznej podatności w Twoim systemie SCADA z rekomendacją

Przemysław Widomski Przemysław Widomski

Wyobraź sobie typowy poranek w zakładzie produkcyjnym. Inżynier Utrzymania Ruchu otrzymuje e-mail z działu bezpieczeństwa IT oznaczony najwyższym priorytetem. Temat: “Krytyczna podatność (CVSS 10.0) w sterownikach PLC serii X – wymagana natychmiastowa aktualizacja”. W treści znajduje się link do biuletynu producenta i alarmujący opis luki, która pozwala na zdalne wykonanie kodu. Dla specjalisty IT sprawa jest prosta: istnieje groźna dziura, jest na nią łata, trzeba ją jak najszybciej zainstalować. Dla inżyniera OT ten e-mail to początek koszmaru.

Sterowniki z serii X kontrolują najbardziej krytyczną linię produkcyjną w całej fabryce. Działają stabilnie od dwunastu lat na tej samej, sprawdzonej wersji oprogramowania. Sama myśl o wgrywaniu nowej, nieprzetestowanej w tym środowisku wersji firmware’u, która wymaga zatrzymania całej linii, jest paraliżująca. Co, jeśli aktualizacja się nie powiedzie? Co, jeśli spowoduje konflikt z oprogramowaniem SCADA? Ryzyko wielodniowego przestoju wydaje się znacznie większe niż hipotetyczne ryzyko cyberataku.

Ten scenariusz doskonale ilustruje, dlaczego tradycyjne, informatyczne podejście do zarządzania podatnościami jest całkowicie nieprzystające do realiów technologii operacyjnej. W świecie OT nie da się po prostu “skanować i łatać”. Konieczna jest fundamentalna zmiana myślenia – od panicznej reakcji na każdą nową lukę, do spokojnego, opartego na ryzyku procesu, w którym instalacja poprawki jest ostatecznością, a nie pierwszym odruchem.

Dlaczego model “skanuj i łataj” z IT jest receptą na katastrofę w sieci OT?

W świecie IT cykliczny proces “skanuj i łataj” (scan and patch) jest złotym standardem higieny cyberbezpieczeństwa. Polega on na regularnym, zautomatyzowanym skanowaniu wszystkich systemów w poszukiwaniu znanych podatności, a następnie masowym wdrażaniu wydanych przez producentów poprawek (łat). Takie podejście jest skuteczne w środowisku korporacyjnym, gdzie dostępność systemów, choć ważna, może być na krótko poświęcona w imię bezpieczeństwa.

Próba przeniesienia tego modelu do świata OT jest jednak receptą na katastrofę. Po pierwsze, jak już wiemy, aktywne skanowanie jest niezwykle ryzykowne dla wrażliwych urządzeń przemysłowych i może prowadzić do ich awarii. Po drugie, nawet jeśli zidentyfikujemy podatność, proces jej łatania jest obarczony ogromnym ryzykiem operacyjnym. W OT stabilność i przewidywalność są świętością. Każda zmiana w konfiguracji lub oprogramowaniu krytycznego systemu sterowania to potencjalne zagrożenie dla ciągłości produkcji.

Model “skanuj i łataj” ignoruje fundamentalną prawdę o OT: ryzyko związane z samą procedurą łatania jest często postrzegane jako większe i bardziej prawdopodobne niż ryzyko związane z wykorzystaniem danej podatności przez atakującego. Dlatego właśnie narzucanie tego modelu siłą prowadzi do konfliktów między zespołami IT i OT oraz do budowania kultury ukrywania problemów, zamiast otwartego zarządzania ryzykiem.

📚 Przeczytaj kompletny przewodnik: Cyberbezpieczeństwo: Kompletny przewodnik po cyberbezpieczeństwie dla zarządów i menedżerów

Jakie są trzy główne powody, dla których nie można po prostu zaktualizować sterownika PLC?

Opór inżynierów OT przed aktualizowaniem swoich systemów nie wynika z ignorancji, lecz z głębokiego zrozumienia specyfiki środowiska, za które odpowiadają. Istnieją co najmniej trzy fundamentalne powody, dla których proste “załataj to” jest w praktyce niemożliwe. Pierwszym jest brak wsparcia producenta. Wiele urządzeń w sieciach OT to systemy przestarzałe (legacy), które działają od 15-20 lat. Ich producenci dawno zakończyli dla nich wsparcie techniczne. Poprawki bezpieczeństwa dla tych urządzeń po prostu nie istnieją i nigdy nie powstaną.

Drugim powodem jest ryzyko związane z kompatybilnością i stabilnością. System sterowania przemysłowego to złożony ekosystem, w którym dziesiątki urządzeń od różnych producentów muszą ze sobą idealnie współpracować. Nowa wersja oprogramowania dla sterownika PLC, nawet jeśli łata lukę w bezpieczeństwie, może wprowadzić subtelne zmiany w komunikacji, które spowodują niekompatybilność z oprogramowaniem SCADA lub innym elementem systemu. Testowanie wszystkich tych zależności jest niezwykle trudne i czasochłonne.

Trzecim, i często najważniejszym, powodem jest wymóg ciągłości działania. Systemy OT muszą pracować w trybie 24/7 przez wiele miesięcy, a nawet lat, bez żadnych przerw. Nie ma tu cotygodniowych “okien serwisowych”. Każde zatrzymanie procesu produkcyjnego to ogromne straty finansowe. Instalacja poprawki niemal zawsze wymaga restartu urządzenia, co oznacza przestój. Przeprowadzenie takiej operacji jest możliwe tylko podczas rzadkich, planowanych z wielomiesięcznym wyprzedzeniem generalnych remontów zakładu.

Jak przejść od myślenia “muszę załatać wszystko” do “muszę zarządzać realnym ryzykiem”?

Skoro ślepe łatanie nie wchodzi w grę, konieczna jest zmiana paradygmatu. Musimy odejść od binarnego myślenia “podatny/załatatany” na rzecz dojrzałego procesu zarządzania ryzykiem. Oznacza to, że każdą zidentyfikowaną podatność należy oceniać nie w izolacji, ale w pełnym kontekście operacyjnym, w którym występuje.

Podejście oparte na ryzyku akceptuje fakt, że istnienie podatności w systemie jest stanem normalnym, a naszym celem nie jest osiągnięcie nierealistycznego ideału stuprocentowego załatania, lecz sprowadzenie ryzyka związanego z tymi podatnościami do akceptowalnego poziomu. Zamiast zadawać pytanie “Czy ten sterownik jest podatny?”, zadajemy serię znacznie ważniejszych pytań.

“Jak krytyczny dla produkcji jest ten sterownik? Jakie byłyby fizyczne konsekwencje, gdyby ta konkretna luka została wykorzystana? Jakie jest prawdopodobieństwo, że atakujący w ogóle dotrze do tego sterownika? Czy istnieją inne mechanizmy kontrolne, które już ograniczają to ryzyko?”. Dopiero odpowiedzi na te pytania pozwalają podjąć świadomą decyzję, czy dana podatność wymaga natychmiastowej reakcji, czy też jej ryzyko jest na tyle niskie, że możemy z nim żyć.

Dlaczego ocena CVSS to za mało i jak ocenić rzeczywisty wpływ podatności na proces fizyczny?

W świecie IT standardem oceny wagi podatności jest skala CVSS (Common Vulnerability Scoring System), która przypisuje każdej luce ocenę od 0 do 10. Wysoka ocena CVSS, zwłaszcza powyżej 9.0, jest w IT automatycznym sygnałem do natychmiastowego działania. Jednak w świecie OT, poleganie wyłącznie na ocenie CVSS jest nie tylko niewystarczające, ale bywa wręcz mylące.

Skala CVSS ocenia techniczną charakterystykę luki w oderwaniu od kontekstu: jak łatwo ją wykorzystać, czy wymaga interakcji użytkownika, jaki ma wpływ na poufność, integralność i dostępność samego systemu. Nie mówi nam ona nic o tym, jaki będzie realny, fizyczny wpływ jej wykorzystania w konkretnym procesie przemysłowym. To właśnie ten fizyczny wpływ jest kluczowy dla oceny ryzyka w OT.

Podatność o “krytycznej” ocenie CVSS 10.0 w sterowniku PLC, który kontroluje oświetlenie na parkingu, stanowi znacznie mniejsze ryzyko dla firmy niż podatność o “średniej” ocenie CVSS 5.0 w sterowniku, który zarządza systemem bezpieczeństwa w reaktorze chemicznym. Dlatego ocena ryzyka w OT musi łączyć techniczną ocenę CVSS z analizą wpływu na proces (Process Impact Analysis). Musimy zrozumieć, co dany system robi, jak jest ważny i co najgorszego może się stać w świecie fizycznym, jeśli zostanie on skompromitowany.

Czym są kontrole kompensacyjne i dlaczego są one głównym narzędziem w walce z podatnościami w OT?

Jeśli nie możemy wyeliminować podatności u źródła (czyli załatać samego urządzenia), musimy zastosować kontrole kompensacyjne (compensating controls). Są to alternatywne środki bezpieczeństwa, które wdrażamy wokół podatnego na ataki systemu w celu zmniejszenia ryzyka wykorzystania luki. Zamiast naprawiać dziurę w samym urządzeniu, budujemy wokół niego wielowarstwową barierę ochronną.

Koncepcja kontroli kompensacyjnych jest absolutnie kluczowa w zarządzaniu bezpieczeństwem OT. Pozwala ona na akceptację faktu istnienia podatności, przy jednoczesnym aktywnym zarządzaniu związanym z nią ryzykiem. Zamiast bezradnie rozkładać ręce i mówić “nic się nie da zrobić, bo producent już tego nie wspiera”, wdrażamy szereg działań, które sprawiają, że dotarcie do tej podatności i jej wykorzystanie staje się dla atakującego niezwykle trudne lub wręcz niemożliwe.

Zestaw możliwych kontroli kompensacyjnych jest bardzo szeroki i powinien być dobierany w zależności od specyfiki danej podatności i chronionego systemu. Najskuteczniejsze strategie opierają się na połączeniu kilku różnych rodzajów kontroli, tworząc głęboką, wielowarstwową obronę.

Jak segmentacja sieci staje się pierwszą linią obrony przed atakiem na podatne urządzenie?

Najważniejszą i najskuteczniejszą kontrolą kompensacyjną jest segmentacja sieci. Jak opisano w poprzednich artykułach, polega ona na umieszczeniu podatnego na ataki urządzenia w małym, odizolowanym segmencie sieci, chronionym przez firewall przemysłowy. Nawet jeśli nasz sterownik PLC jest pełen krytycznych, niezałatanialnych luk, samo umieszczenie go za firewallem drastycznie zmniejsza ryzyko.

Dzięki segmentacji, atakujący, nawet jeśli dostanie się do naszej sieci, nie będzie miał bezpośredniego dostępu do podatnego urządzenia. Będzie musiał najpierw sforsować zaporę sieciową, która chroni dany segment. To daje nam pierwszą, potężną linię obrony.

Co więcej, segmentacja pozwala na wdrożenie kolejnych warstw ochrony. Na firewallu możemy zdefiniować bardzo restrykcyjne reguły, ograniczając komunikację z podatnym urządzeniem tylko do absolutnego minimum. Jeśli wiemy, że sterownik musi komunikować się tylko z jednym serwerem SCADA, możemy zablokować cały pozostały ruch, skutecznie odcinając potencjalnym atakującym wszystkie inne drogi dotarcia do celu.

Na czym polega wirtualne łatanie za pomocą systemów IPS i jak działa w praktyce?

Wirtualne łatanie (virtual patching) to jedna z najbardziej eleganckich i skutecznych kontroli kompensacyjnych. Jest ono realizowane za pomocą Systemu Zapobiegania Włamaniom (Intrusion Prevention System - IPS), który często jest modułem nowoczesnego firewalla przemysłowego (NGFW). System IPS działa jak inteligentny strażnik, który analizuje w czasie rzeczywistym treść komunikacji sieciowej.

Gdy pojawia się nowa, znana podatność, producenci systemów IPS tworzą dla niej specjalną “sygnaturę” – wzorzec ataku, który próbuje tę lukę wykorzystać. Sygnatura ta jest wgrywana do systemu IPS. Od tego momentu, IPS analizuje cały ruch skierowany do chronionego, podatnego urządzenia. Jeśli wykryje pakiet sieciowy, który pasuje do sygnatury znanego ataku, natychmiast go blokuje, zanim dotrze on do celu.

W efekcie, luka w urządzeniu wciąż fizycznie istnieje, ale jest “wirtualnie załatana” na poziomie sieci. Atakujący nie jest w stanie jej wykorzystać, ponieważ jego próba ataku jest przechwytywana i neutralizowana przez IPS. To niezwykle potężne narzędzie, które pozwala na natychmiastową ochronę przed nowo odkrytymi zagrożeniami, dając firmie czas na zaplanowanie ewentualnej, fizycznej aktualizacji w odległej przyszłości.

W jaki sposób zaostrzenie reguł dostępu może uniemożliwić atakującemu dotarcie do luki?

Wiele podatności, zwłaszcza tych w protokołach przemysłowych, może być wykorzystanych tylko za pomocą określonych, rzadko używanych funkcji. Dobrym przykładem są komendy służące do wgrywania nowego oprogramowania (firmware’u) lub zmiany logiki sterownika PLC. W normalnej, codziennej pracy te komendy nie są w ogóle używane. Korzysta z nich jedynie inżynier podczas planowanych prac serwisowych.

Świetną kontrolą kompensacyjną jest więc zaostrzenie reguł na firewallu tak, aby domyślnie blokowały one te niebezpieczne funkcje protokołu. Możemy stworzyć politykę, która zezwala na komunikację ze sterownikiem tylko w trybie “tylko do odczytu”, blokując wszelkie próby zapisu czy zmiany konfiguracji.

Gdy inżynier potrzebuje przeprowadzić prace serwisowe, polityka może być tymczasowo i w sposób kontrolowany zmieniona, aby zezwolić na dostęp z jego konkretnej stacji roboczej. Po zakończeniu prac, reguły są przywracane do trybu “tylko do odczytu”. Taka prosta zmiana w konfiguracji firewalla może całkowicie zneutralizować całą klasę podatności, uniemożliwiając atakującemu wykonanie jakichkolwiek szkodliwych operacji.

Jak monitoring sieci pozwala wykrywać próby wykorzystania znanych podatności w czasie rzeczywistym?

Nawet jeśli nie możemy aktywnie blokować ruchu (np. używając IPS), wciąż możemy go monitorować. Wdrożenie Systemu Wykrywania Włamań (Intrusion Detection System - IDS) lub pasywnego systemu monitoringu sieci OT pozwala na wczesne wykrywanie prób wykorzystania znanych podatności. Podobnie jak IPS, system IDS używa sygnatur do identyfikacji złośliwego ruchu, ale zamiast go blokować, generuje jedynie alert dla zespołu bezpieczeństwa.

Taki alert jest bezcenną informacją. Daje nam znać, że ktoś (lub coś) aktywnie próbuje zaatakować nasze podatne urządzenie. Nawet jeśli atak się nie powiedzie, sam fakt jego podjęcia jest sygnałem, że nasza sieć została prawdopodobnie skompromitowana i że wewnątrz znajduje się atakujący. To pozwala na natychmiastowe uruchomienie procedur reagowania na incydenty i rozpoczęcie poszukiwania intruza, zanim zdąży on znaleźć inną drogę do celu.

Monitoring sieci jest więc formą cyfrowego systemu alarmowego. Nie powstrzymuje on włamywacza, ale natychmiast informuje nas o jego obecności. W świecie, w którym zakładamy, że do naruszenia w końcu dojdzie, wczesne wykrycie jest kluczowym elementem ograniczania szkód.

Jakie działania można podjąć na samym urządzeniu, jeśli aktualizacja nie wchodzi w grę?

Chociaż główny ciężar obrony spoczywa na kontrolach sieciowych, istnieją również pewne działania, które można podjąć na samym podatnym urządzeniu, aby wzmocnić jego ochronę. Proces ten nazywa się utwardzaniem (hardening) i polega na wyłączeniu lub ograniczeniu wszystkich zbędnych funkcji i usług, aby zminimalizować powierzchnię ataku.

Wiele urządzeń przemysłowych posiada włączone domyślnie usługi, które nie są potrzebne do ich normalnej pracy, na przykład serwer webowy do zarządzania, serwer FTP czy protokół Telnet. Każda z tych usług to potencjalny punkt wejścia dla atakującego. Jeśli nie są one absolutnie niezbędne, powinny zostać wyłączone w konfiguracji urządzenia.

Inne działania hardeningowe to zmiana domyślnych haseł na silne i unikalne, ograniczenie dostępu administracyjnego tylko do zaufanych adresów IP czy włączenie, o ile to możliwe, wbudowanych mechanizmów logowania zdarzeń. Chociaż te działania nie usuną samej podatności w oprogramowaniu, mogą znacząco utrudnić atakującemu jej wykorzystanie.

Nowoczesny proces zarządzania podatnościami w OT

KrokDziałanieOpis1. IdentyfikacjaInwentaryzacja zasobów i identyfikacja podatności.Wiem, co mam i jakie luki w zabezpieczeniach posiadają moje systemy.2. Ocena RyzykaOcena techniczna (CVSS) połączona z analizą wpływu na proces fizyczny.Rozumiem, jakie realne, fizyczne konsekwencje miałoby wykorzystanie luki.3. MitygacjaWdrożenie odpowiednich kontroli kompensacyjnych.Buduję bariery ochronne wokół podatnego systemu (segmentacja, IPS, hardening).4. WeryfikacjaTestowanie skuteczności wdrożonych kontroli.Sprawdzam, czy moje zabezpieczenia faktycznie działają i blokują próby ataku.5. PlanowanieUmieszczenie fizycznej aktualizacji w harmonogramie przyszłych prac.Traktuję łatanie jako ostateczność i planuję je z dużym wyprzedzeniem.

Jak podejście oparte na ryzyku i kontrolach kompensacyjnych wpisuje się w wymogi NIS2?

Dyrektywa NIS2 nie nakazuje ślepego łatania wszystkich systemów. Jej kluczowym wymogiem jest wdrożenie “odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem”. Podejście oparte na ocenie ryzyka i wdrażaniu kontroli kompensacyjnych jest idealną odpowiedzią na ten wymóg.

Zamiast bezrefleksyjnie instalować poprawkę, która mogłaby zagrozić produkcji, organizacja przeprowadza udokumentowaną analizę ryzyka. Wykazuje w niej, że rozumie zagrożenie, ale zamiast ryzykownego łatania, wdrożyła szereg alternatywnych, równie (a czasem nawet bardziej) skutecznych środków, takich jak segmentacja czy wirtualne łatanie.

Taki udokumentowany proces świadczy o dojrzałości organizacji. Pokazuje on audytorom i regulatorom, że firma nie ignoruje problemu, ale zarządza nim w sposób świadomy, systematyczny i adekwatny do specyfiki swojego środowiska operacyjnego. To właśnie jest esencją proporcjonalnego zarządzania ryzykiem, o którym mówi dyrektywa.

Jak nFlo pomaga wdrożyć strategię zarządzania podatnościami skrojoną na miarę Twojej fabryki?

W nFlo rozumiemy, że nie ma jednego, uniwersalnego rozwiązania problemu podatności w OT. Każde środowisko produkcyjne jest inne, a skuteczna strategia musi być precyzyjnie skrojona na miarę konkretnych procesów, technologii i apetytu na ryzyko danej organizacji. Dlatego nasza pomoc wykracza daleko poza proste skanowanie i generowanie raportów z listą luk.

Nasi eksperci współpracują z Twoimi zespołami IT i OT, aby najpierw zbudować kompletny obraz Twojej infrastruktury. Wykorzystując bezpieczne, pasywne technologie, tworzymy szczegółową inwentaryzację zasobów i mapę komunikacji. Następnie, wspólnie z Twoimi inżynierami, przeprowadzamy warsztaty analizy ryzyka, podczas których tłumaczymy techniczne podatności na realne scenariusze zagrożeń dla Twoich procesów produkcyjnych.

Na podstawie tej analizy, projektujemy i pomagamy wdrożyć adekwatny zestaw kontroli kompensacyjnych. Niezależnie od tego, czy będzie to przeprojektowanie architektury sieciowej, wdrożenie przemysłowych systemów IPS, czy stworzenie procedur hardeningu – dostarczamy praktyczną wiedzę i wsparcie inżynierskie. Naszym celem jest zbudowanie trwałego, wewnętrznego procesu zarządzania podatnościami w Twojej firmie, który będzie skuteczny, efektywny i akceptowalny dla wszystkich interesariuszy.

Czy podatność musi oznaczać słabość, czyli jak żyć z niepatchowalnymi systemami?

Istnienie podatności w systemie jest faktem, a nie porażką. W złożonych środowiskach przemysłowych, pełnych systemów legacy, osiągnięcie stanu całkowitego braku podatności jest niemożliwą utopią. Kluczem do sukcesu nie jest więc dążenie do nierealistycznego ideału, ale zmiana definicji siły. Siła nie polega na braku podatności, ale na zdolności do zarządzania związanym z nimi ryzykiem.

Podatność staje się realną słabością tylko wtedy, gdy jest łatwo dostępna dla atakującego i gdy jej wykorzystanie prowadzi do katastrofalnych skutków. Dojrzała strategia zarządzania podatnościami, oparta na kontrolach kompensacyjnych, skupia się na przerwaniu tego łańcucha. Nawet jeśli podatność istnieje, sprawiamy, że jest ona niedostępna dzięki segmentacji. Nawet jeśli jest dostępna, sprawiamy, że jej wykorzystanie jest nieskuteczne dzięki wirtualnemu łataniu.

Można i trzeba nauczyć się bezpiecznie żyć z niepatchowalnymi systemami. Wymaga to odejścia od informatycznego dogmatu “wszystko albo nic” i przyjęcia inżynierskiego, pragmatycznego podejścia. Zamiast walczyć z wiatrakami, budujemy inteligentne, wielowarstwowe systemy obronne, które pozwalają nam na utrzymanie ciągłości produkcji w świecie, w którym podatności były, są i zawsze będą obecne.

Powiązane pojęcia

Poznaj kluczowe terminy związane z tym artykułem w naszym słowniku cyberbezpieczeństwa:

Dowiedz się więcej

Zapoznaj się z powiązanymi artykułami w naszej bazie wiedzy:

Sprawdź nasze usługi

Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź:

Tagi:

Cyberbezpieczeństwo Firewall Sieci Podatności Compliance

Udostępnij:

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2