ICS Under Control: Θωρακίζοντας τις Κρίσιμες Υποδομές

Πώς η σωστή αρχιτεκτονική, ο συνεχής έλεγχος μειώνουν το ρίσκο στα βιομηχανικά δίκτυα

Δρ. Θεόδωρος Ντούσκας,

Managing Director, ICT PROTECT

 www.ictprotect.com

Tα Συστήματα Βιομηχανικού Ελέγχου (Industrial Control Systems – ICS) είναι ζωτικής σημασίας για τη βιομηχανία και τις κρίσιμες υποδομές παγκοσμίως, εξυπηρετώντας τις πιο ουσιώδεις και απαραίτητες λειτουργίες. Χρησιμοποιούνται για να εξασφαλίσουν τις πιο βασικές και απαραίτητες λειτουργίες: από την παραγωγή ενέργειας και την ύδρευση, μέχρι τις μεταφορές και τη βιομηχανική παραγωγή. Τα ICS έχουν ορισμένες μοναδικές λειτουργικότητες, όπως η ανάγκη για απόκριση σε πραγματικό χρόνο, η εξαιρετικά υψηλή διαθεσιμότητα, προβλεψιμότητα και αξιοπιστία.

Η ραγδαία εξέλιξη της τεχνολογίας καθώς και η υιοθέτηση νέων τεχνολογιών μεταμορφώνει το παγκόσμιο περιβάλλον, προσφέροντας ευκαιρίες για αυτοματοποίηση πολύπλοκων διαδικασιών σε βιομηχανικό επίπεδο, όμως ταυτόχρονα τα συστήματα αυτά βρίσκονται αντιμέτωπα με νέες απειλές και κατ’ επέκταση νέους κινδύνους. Το αντίκτυπο από ένα περιστατικό ασφαλείας ενδέχεται να είναι καταστροφικό με επιπτώσεις και σε διεθνές οικονομικό επίπεδο εξαιτίας της κρισιμότητας των οντοτήτων που χρησιμοποιούν τέτοιου είδους συστήματα (π.χ. εργοστάσιο παραγωγής ενέργειας, διυλιστήριο, κλπ.). Χαρακτηριστικά παραδείγματα περιστατικών κυβερνοασφάλειας, όπως το Stuxnet (2010), το TRITON malware (2017) ή η επίθεση στον Colonial Pipeline (2021), ανέδειξαν το τεράστιο διακύβευμα της ασφάλειας ICS. Σε όλα τα παραπάνω, οι επιπτώσεις δεν περιορίστηκαν σε έναν οργανισμό, αλλά επηρέασαν ευρύτερα την οικονομία, την κοινωνία και την εθνική ασφάλεια.

Πρακτικές διαχείρισης κινδύνων

Είναι επιτακτική ανάγκη η υιοθέτηση μεθοδολογιών και εργαλείων Διαχείρισης Κινδύνου οι οποίες θα μπορούν να ενσωματώσουν, να αξιολογούν και διαρκώς να παρακολουθούν απειλές και αδυναμίες προεχόμενες από το νέο αυτό τεχνολογικό περιβάλλον καθώς και τον περιοδικό έλεγχο της αρχιτεκτονικής.

Καταγραφή ICS Assets: Το πρώτο βήμα για την ασφάλεια των ICS είναι η πλήρης και συστηματική καταγραφή όλων των περιουσιακών στοιχείων, η οποία περιλαμβάνει το επίπεδο αρχιτεκτονικής, τον τύπο μηχανήματος, την τοποθεσία, τον ιδιοκτήτη, τον σειριακό αριθμό, την έκδοση λογισμικού, το πρωτόκολλο, το επίπεδο ενημέρωσης (patching level) κ.λπ. Η απογραφή δεν είναι στατική, πρέπει να επικαιροποιείται περιοδικά (π.χ. ανά τρίμηνο) και να συνδέεται με εργαλεία διαχείρισης (CMDB, GRC πλατφόρμες).

Network Controls: Τα συστήματα ICS πρέπει να βρίσκονται σε ένα ανεξάρτητο, απομονωμένο τμήμα δικτύου, ξεχωριστό από τα επιχειρησιακά συστήματα, τα περιβάλλοντα ανάπτυξης ή δοκιμών. Ο διαχωρισμός αυτός οφείλει να πραγματοποιείται τόσο οριζόντια όσο και κάθετα, προκειμένου να διασφαλίζεται ο πλήρης περιορισμός της κίνησης και η προστασία των κρίσιμων λειτουργιών.

Η κυκλοφορία δεν πρέπει να επιτρέπεται απευθείας από το δίκτυο ελέγχου στο εταιρικό δίκτυο, κάθε επικοινωνία πρέπει να τερματίζει στη ζώνη DMZ (Demilitarized Zone). Επιπλέον, οποιοδήποτε πρωτόκολλο επιτρέπεται μεταξύ του δικτύου ελέγχου και της DMZ δεν θα πρέπει να επιτρέπεται μεταξύ της DMZ και του εταιρικού δικτύου (και αντιστρόφως).

Όλη η εξερχόμενη κίνηση από το δίκτυο ελέγχου προς το εταιρικό δίκτυο πρέπει να είναι περιορισμένη ως προς την πηγή και τον προορισμό, ανάλογα με την υπηρεσία και τη θύρα. Τα εξερχόμενα πακέτα από το ICS Network ή τη DMZ πρέπει να επιτρέπονται μόνο εφόσον διαθέτουν έγκυρη διεύθυνση IP source, η οποία έχει εκχωρηθεί σε συσκευές αυτών των δικτύων.

Παρακολούθηση και Καταγραφή (Logging & Monitoring): Η συνεχής παρακολούθηση ασφάλειας δικτύου είναι ανεκτίμητη, καθώς επιτρέπει τον καθορισμό της «κανονικής» λειτουργικής συμπεριφοράς ενός ICS περιβάλλοντος και μπορεί να αποκαλύψει ενδείξεις παραβίασης ακόμη και όταν οι τεχνολογίες που βασίζονται σε υπογραφές (signature-based) αποτυγχάνουν να εντοπίσουν απειλές. Επιπλέον, είναι απαραίτητη η εφαρμογή ισχυρής παρακολούθησης συστημάτων, καταγραφής γεγονότων και μηχανισμών ελέγχου (auditing), ώστε να είναι εφικτή η αποτελεσματική αντιμετώπιση προβλημάτων και η διενέργεια εγκληματολογικής ανάλυσης (forensics) σε περίπτωση περιστατικού ασφαλείας.

IDS/ IPS: Είναι απαραίτητη η ύπαρξη Συστημάτων Ανίχνευσης και Πρόληψης Εισβολών (IDS/IPS) για τη συνεχή παρακολούθηση των γεγονότων που λαμβάνουν χώρα σε ένα δίκτυο ή σύστημα ICS και την έγκαιρη αναγνώριση πιθανών κακόβουλων ενεργειών ή μη εξουσιοδοτημένης πρόσβασης. Οι πιο συχνά χρησιμοποιούμενοι τύποι IDS είναι:

• Network-Based IDS (NIDS): ελέγχει τη δικτυακή κυκλοφορία για ύποπτα μοτίβα.
• Host-Based IDS (HIDS) για την παρακολούθηση ενός ή περισσότερων χαρακτηριστικών συστήματος (αρχεία καταγραφής, αλλαγές διαμόρφωσης, πρόσβαση σε ευαίσθητα δεδομένα).

Access Controls: H απομακρυσμένη πρόσβαση πρέπει να γίνεται μόνο μέσω Virtual Private Network (VPN) και, όπου απαιτείται, μέσω Jump Host, και μόνο από εξουσιοδοτημένα άτομα.  Η πρόσβαση σε όλα τα Συστήματα Βιομηχανικού Ελέγχου πρέπει να ελέγχεται, ώστε να περιορίζεται μόνο σε εξουσιοδοτημένους χρήστες, με ασφαλείς διαδικασίες αυτόματης αποσύνδεσης και λήξης συνεδρίας. Επιπλέον, οι προεπιλεγμένοι κωδικοί πρέπει να αλλάζονται άμεσα, να ενεργοποιείται η πολυπαραγοντική ταυτοποίηση (MFA) και να εφαρμόζεται πολιτική πολυπλοκότητας κωδικών πρόσβασης σε όλα τα κρίσιμα ICS συστήματα.

Purdue Model

Το Purdue Model αποτελεί την πιο διαδεδομένη και αναγνωρισμένη αρχιτεκτονική για ICS. Προτάθηκε από διεθνείς οργανισμούς (NIST, ENISA, SANS) και προσφέρει ένα σαφές πλαίσιο για τον διαχωρισμό των επιπέδων λειτουργίας. Βοηθά στην ασφάλεια της βιομηχανικής επικοινωνίας, διαχωρίζοντας τα επίπεδα και ορίζοντας τον τρόπο λειτουργίας και αλληλεπίδρασης μεταξύ του εξοπλισμού στο πεδίο και των αντίστοιχων διεργασιών. Τα τυπικά επίπεδα του Purdue είναι:

• Επίπεδο 5 –  Enterprise (Enterprise Zone): Περιλαμβάνει την εταιρική IT υποδομή, όπως απομακρυσμένη πρόσβαση μέσω VPN και εταιρικές υπηρεσίες πρόσβασης στο Διαδίκτυο. Η άμεση επικοινωνία μεταξύ συστημάτων της επιχειρησιακής ζώνης και του ICS περιβάλλοντος συνήθως αποθαρρύνεται λόγω του υψηλού ρίσκου. Η πρόσβαση διαχειρίζεται μέσω της DMZ.
• Επίπεδο 4 – Site Business Planning & Logistics (Enterprise Zone): Περιλαμβάνει IT συστήματα για reporting, διαχείριση αποθεμάτων, διαχείριση λειτουργιών και συντήρησης, υπηρεσίες e-mail, τηλεφωνία και εκτυπώσεις.
• Επίπεδο 3.5 – DMZ: Περιλαμβάνει συστήματα ασφαλείας, όπως firewalls και proxies, που διαχωρίζουν τον IT κόσμο από τον ICS κόσμο. Εδώ εντάσσονται:
  • Remote Access Server
  • Patch Management & Update Server
  • IDS
• Επίπεδο 3 – Site Manufacturing Operations and Control (Manufacturing Zone): Συστήματα που διαχειρίζονται τις λειτουργίες του εργοστασίου για την παραγωγή:
  • Data historian
  • Engineering workstations
  • Network File servers
  • IT services όπως DNS, DHCP, Active Directory, NTP
  • Remote access services
• Επίπεδο 2 – Area Supervisory Control (Cell/Area Zone): Περιλαμβάνει εξοπλισμό εποπτικού ελέγχου για συγκεκριμένη παραγωγική περιοχή, όπως:
  • HMIs
  • Συστήματα συναγερμών/ειδοποιήσεων
  • Σταθμούς εργασίας
• Επίπεδο 1 – Basic Control (Cell/Area Zone): Περιλαμβάνει εξοπλισμό ελέγχου διεργασιών, όπως PLC και RTU, που λαμβάνουν δεδομένα από αισθητήρες, τα επεξεργάζονται και ελέγχουν τα τελικά στοιχεία.
• Επίπεδο 0 – Process (Cell/Area Zone): Περιλαμβάνει αισθητήρες, actuators και όργανα, τα οποία ελέγχουν άμεσα τις βιομηχανικές διεργασίες.

ICT PROTECT Architecture Review methodology

Στην ICT PROTECT εφαρμόζουμε μια ολοκληρωμένη μεθοδολογία Ανασκόπησης και Ελέγχου Αρχιτεκτονικής ICS, ώστε να διασφαλίζεται ότι κάθε υποδομή πληροί τις απαιτήσεις ασφάλειας και κανονιστικής συμμόρφωσης.

Κύριοι στόχοι:

• Επαλήθευση συμμόρφωσης με πρότυπα (π.χ. NERC CIP, NIST, IEC 62443).
• Ενημέρωση και τεκμηρίωση διαγραμμάτων, ροών δικτύου και firewall rules
• Εφαρμογή μέτρων μετριασμού έναντι κυβερνοαπειλών.

Η διαδικασία περιλαμβάνει technical audits και workshops με τα τεχνικές και επιχειρησιακές ομάδες, ώστε να καταγραφούν οι πραγματικές ροές και να συνδεθούν με επιχειρησιακούς στόχους. Βασικά σημεία ελέγχου:

• Network Design: Διασφάλιση τεκμηρίωσης ροών, διαμόρφωσης και διαγραμμάτων.
• Network Segregation: Επιβεβαιώνεται ότι η κυκλοφορία μεταξύ υποδικτύων φιλτράρεται, γίνεται χρήση VLANs, υφίσταται διαχωρισμός δικτύων βάσει  Purdue, έχουν εντοπιστεί όλες οι δημόσια προσβάσιμες συσκευές στη DMZ και έχουν ανασκοπηθεί οι κανόνες των συστημάτων Firewall, IDS/IPS.
• Remote User Access: Αναγνώριση μεθόδων/λογαριασμών και περιοδικός έλεγχος.
• Network Logging: Τήρηση αρχείων καταγραφής βάσει απαιτήσεων.
• Network Resilience: Αναγνώριση single points of failure, ύπαρξη εφεδρικού εξοπλισμού, DRP, αντίγραφα ασφαλείας.

Συμπεράσματα

Η ασφάλεια των Συστημάτων Βιομηχανικού Ελέγχου (ICS) δεν αποτελεί στατική διαδικασία, αλλά μια διαρκή και δυναμική προσπάθεια προσαρμογής απέναντι σε ένα συνεχώς μεταβαλλόμενο τοπίο απειλών. Η αποτελεσματική προστασία επιτυγχάνεται μέσα από τον συνδυασμό αναγνώρισης και αξιολόγησης κινδύνων, εφαρμογής αρχιτεκτονικών προτύπων όπως το Purdue Model, και συνεχών ελέγχων και ανασκοπήσεων (auditing & review) που διασφαλίζουν τη συμμόρφωση και την ανθεκτικότητα των υποδομών.

Το μέλλον της ασφάλειας ICS βρίσκεται στην πλήρη σύγκλιση IT και OT, στην ενσωμάτωση τεχνολογιών τεχνητής νοημοσύνης (AI) για ανίχνευση ανωμαλιών και έγκαιρη απόκριση, καθώς και στην καλλιέργεια κουλτούρας κυβερνοασφάλειας σε όλα τα επίπεδα προσωπικού.

Σε έναν κόσμο όπου οι απειλές εξελίσσονται ταχύτερα από ποτέ, η πρόληψη, η ανθεκτικότητα και η προσαρμοστικότητα δεν είναι πλέον επιλογές, αλλά απαραίτητες προϋποθέσεις για τη βιωσιμότητα και τη συνέχεια των κρίσιμων βιομηχανικών λειτουργιών.

Αναφορές 

• ENISA – Communication network dependencies for ICS/SCADA Systems, 2016
• NIST – Special Publication 800-82 Revision 2, Guide to Industrial Control Systems Security, 2015
• SANS – Secure Architecture for Industrial Control Systems, 2020
• NERC – https://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx