Όταν μιλάμε για Ασφάλεια Πληροφοριών, Information Security, Cyber Security, ή όπως θέλει ο καθένας να το ονομάσει, το μυαλό μας πάει αυτόματα στην προστασία δεδομένων, προσωπικών ή εταιρικών, στην προστασία από κακόβουλους χρήστες που στόχος τους είναι να υποκλέψουν δεδομένα, να εξαπατήσουν με όφελος χρηματικά ποσά, ή να προκαλέσουν βλάβη στη φήμη της επιχείρησης.
Όλα αυτά αφορούν την καθημερινότητα όλων μας, δεδομένου του ότι ο ψηφιακός κόσμος καταλαμβάνει όλο και μεγαλύτερο ποσοστό της ζωής μας.
Των Γιάννη Γράψα, Senior Solutions Architect, Uni Systems
και Βασίλη Μίχα, Security Solutions Architect, Uni Systems
Τι συμβαίνει όμως σε έναν άλλο κόσμο, όπου οι πληροφορίες που διακινούνται ελέγχουν βιομηχανικές εγκαταστάσεις, υπάρχουν αισθητήρες που ελέγχουν τη παραγωγή ενέργειας ή στρατιωτικές εγκαταστάσεις και ένα πιθανό συμβάν μπορεί να επιφέρει ζημιές πολλών εκατομμύριων, να κινδυνέψει η ασφάλεια ενός κράτους ή ακόμα και να χαθούν ανθρώπινες ζωές; Αυτός είναι ο κόσμος του Operational Technology (ΟΤ), όπου ουσιαστικά Hardware και Software παρακολουθεί και ελέγχει συσκευές και διαδικασίες σε βιομηχανικές υποδομές και υπηρεσίες κοινής ωφέλειας. Μερικά παραδείγματα ΟΤ υποδομών είναι οι υποδομές παραγωγής και παροχής ενέργειας, νοσοκομεία, βιομηχανίες, συστήματα άμυνας, ναυτιλία και μέσα μαζικής μεταφοράς.
Τα περισσότερα συστήματα ελέγχου της βιομηχανίας βασίζονται σε τεχνολογίες SCADA (Supervisory Control and data acquisition), PLC (programmable logic controllers) και DCS (distributed control systems), τα οποία ως επί των πλείστων και μέχρι πρόσφατα επικοινωνούσαν μέσω κλειστών και απομονωμένων δικτύων που δεν ακουμπούσαν τις ΙΤ υποδομές. Η εξέλιξη της τεχνολογίας και η ενσωμάτωση του Διαδικτύου των Πραγμάτων (IoT) έχουν προκαλέσει σημαντικές αλλαγές στον κόσμο του βιομηχανικού αυτοματισμού και της διαχείρισης των συστημάτων OT, οι οποίες έχουν θέσει νέες προκλήσεις για την ασφάλεια αυτών των συστημάτων. Το ερώτημα λοιπόν είναι, τι γίνεται σήμερα με την ασφάλεια αυτών των συστημάτων δεδομένης της ραγδαίας διάδοσης του IoT, την ανάγκη απομακρυσμένης παρακολούθησης και διαχείρισης, και του ψηφιακού μετασχηματισμού;
Στο ευρύτερο πλαίσιο του ψηφιακού μετασχηματισμού, η σύγκλιση μεταξύ OT και IT γίνεται όλο και πιο επιτακτική με στόχο τη βελτίωση της απόδοσης, του ελέγχου των συσκευών και της προσθήκης Artificial Intelligence σε περιβάλλοντα κρίσιμων υποδομών.
Αυτό, ωστόσο, σημαίνει περισσότερες προκλήσεις κυβερνοασφάλειας και διαχείρισης της τεχνολογίας, καθώς οι απαιτήσεις για την ασφάλεια OT είναι διαφορετικές από αυτές στην πληροφορική. Οι συσκευές και τα συστήματα OT συχνά λειτουργούν σε περιβάλλοντα με υψηλούς κινδύνους και αυστηρές απαιτήσεις διαθεσιμότητας και ακρίβειας, άρα η ασφάλεια των υποδομών γίνεται πιο σύνθετη.
Πραγματικά περιστατικά
Τα περιστατικά επίθεσης σε ΟΤ συστήματα είναι πλέον συχνό φαινόμενο. Στις περισσότερες των περιπτώσεων αποσκοπούν στο να προκαλέσουν ζημιά στη παραγωγική διαδικασία του θύματος, και κατ’ επέκταση οικονομική ζημιά. Μία από τις πλέον διαβόητες OT κυβερνοεπιθέσεις το 2010, το Stuxnet, επιτεύχθηκε με τη χρήση εξελιγμένου, γι’ αυτό το σκοπό, κακόβουλου λογισμικού, με στόχο τις πυρηνικές εγκαταστάσεις του Ιράν. Αντίστοιχα, το 2015 και 2016 η Ουκρανία δέχτηκε κυβερνοεπιθέσεις στο δίκτυο παροχής ηλεκτρικής ενέργειας, διακόπτοντας τη λειτουργία κρίσιμων συστημάτων ΟΤ και επηρεάζοντας χιλιάδες ανθρώπους. Οι επιθέσεις αποδόθηκαν σε Ρώσους hackers, χρηματοδοτούμενους από τις μυστικές υπηρεσίες. Αν ισχύει αυτό, τα περιστατικά αυτά δεν αποτελούν απλές κακόβουλες ενέργειες, αλλά υποθέσεις διεθνούς κατασκοπείας. Και δεν είναι τα μόνα. Υπάρχουν καταγεγραμμένα περιστατικά επιθέσεων σε υποδομές ύδρευσης (Maroochy Water Services Hack & Tofino Attack), περιστατικά βιομηχανικής κατασκοπείας μέσω κακόβουλου λογισμικού σε ΟΤ υποδομές (Havex malware), αλλά και περιστατικά στο χώρο της ναυτιλίας, όπου τα ΟΤ συστήματα πλειοψηφούν, με προσπάθειες αποπροσανατολισμού πλοίων μέσω παρεμβολής του GPS, ώστε να προκαλέσουν οι επιτιθέμενοι οικονομική ζημιά ή να οδηγήσουν το πλοίο σε περιοχή που ελέγχεται από πειρατές, με σκοπό τα λύτρα.
Bασική προτεραιότητα h ανάπτυξη προηγμένων μέτρων κυβερνοασφάλειας
Πως μπορούμε όμως να προστατεύσουμε τις ΟΤ υποδομές; Είναι αρκετή η προσέγγιση της ασφάλειας πληροφοριών όπως γίνεται στην πληροφορική; Είναι βέβαιο ότι σε πολλές περιπτώσεις δεν μπορούμε να παρέχουμε ασφάλεια κατά τη σχεδίαση (Security by Design), καθώς πολλά ΟΤ συστήματα έχουν κατασκευαστεί πολλές δεκαετίες πριν, όταν δεν υπήρχε καν η έννοια του Cyber Security. Στις περιπτώσεις αυτές, η μόνη λύση είναι η λογική απομόνωση των συστημάτων αυτών από το υπόλοιπο δίκτυο, και η εφαρμογή αυστηρών κανόνων στην επικοινωνία τους, με χρήση εξειδικευμένων συσκευών που μπορούν να ελέγξουν τη κίνηση των ΟΤ συστημάτων παλαιάς κατασκευής.
Για τις σύγχρονες ΟΤ υλοποιήσεις, οι γενικές αρχές της Εμπιστευτικότητας, Ακεραιότητας και Διαθεσιμότητας (CIA) εξακολουθούν να αποτελούν τους πυλώνες του ΟΤ Security. Η διεξαγωγή τακτικών Risk Assessments, ο διαχωρισμός των δικτύων, ο έλεγχος πρόσβασης, η διαχείριση των συμβάντων, η εκπαίδευση των χρηστών και όλα όσα εφαρμόζονται στην πληροφορική, προσαρμοσμένα στο βιομηχανικό περιβάλλον και με τη χρήση εξειδικευμένων λύσεων των κατασκευαστών που προσφέρουν τις αντίστοιχες απαντήσεις για ΟΤ υποδομές. Και φυσικά απαραίτητη είναι η συνεργασία μεταξύ των ομάδων και των τεχνολογιών ΙΤ & ΟΤ security, καθώς και με διεθνείς οργανισμούς και κυβερνητικούς φορείς.
Τέλος, η ασφάλεια OT, απαιτεί τη συμβολή ειδικών από τους τομείς της αυτοματοποίησης, της πληροφορικής, της κυβερνοασφάλειας, της μηχανολογίας και της ηλεκτρολογίας και συνεχή ενημέρωση.
H εμπειρία μας στη Uni Systems, έχει δείξει ότι η διαρκής επένδυση σε υφιστάμενες συνεργασίες με μεγάλους κατασκευαστές κυβερνοασφάλειας στον τομέα του ΟΤ, αλλά και σε νέες συνεργασίες με εξειδικευμένες λύσεις, είναι απαραίτητη. Στο ίδιο πλαίσιο, έχουμε αναπτύξει ένα σύνολο υπηρεσιών για ΟΤ υποδομές, συμπεριλαμβανομένων των:
- Συλλογή και ανάλυση απαιτήσεων ασφάλειας
- Σχεδιασμό και Ανάπτυξη συστημάτων ασφαλείας σε ΟΤ περιβάλλοντα
- Ανάλυση κινδύνου και αξιολόγηση ευπάθειας (Risk Assessment)
- Δοκιμές Διείσδυσης σε υποδομές ΟΤ
- Συμβουλευτικές υπηρεσίες ασφάλειας
- Εκπαίδευση και ευαισθητοποίηση προσωπικού
Με το αυξανόμενο τοπίο απειλών, οι οργανισμοί οφείλουν να επενδύουν προληπτικά στην ασφάλεια των ΟΤ υποδομών, ώστε να προστατεύονται από απειλές στον κυβερνοχώρο που θα μπορούσαν να έχουν εκτεταμένες συνέπειες για την κοινωνία στο σύνολό της. Δεν είναι μόνο θέμα προστασίας δεδομένων, αλλά προστασία της οικονομίας, της κοινωνίας και εν δυνάμει της ανθρώπινης ζωής.
