Írta: Bóna Péter
2020. február 10. 15:51:12 CET
Az ipari rendszerek kiberbiztonsága számunkra is új terület, és talán az elsők között kezdtünk el - stratégiai partnereinkkel karöltve - aktívan foglalkozni vele. Ez volt az első olyan egész napos szakmai esemény, amely kifejezetten az ICS Cybersecurity témakörre fókuszált.
Gondolhatnánk elsőre, hogy ez egy technológiai kérdés, amire a választ az adja meg , hogy milyen tűzfalat, végponti védelmet, vagy biztonságos távoli hozzáférést nyújtó (Secure Remote Access) megoldásokra érdemes itt fókuszálni, de aztán gyorsan kiderült, hogy
"Elsősorban a szemléletet kell tudnunk megváltoztatni." / Bódi Antal, KTI /
A konferencia népszerűségéből (151 regisztráció) arra lehet következtetni, hogy maga a téma forró, nagy volt az érdeklődés, és a résztvevők csillogó szemmel hallgatták az előadásokat. A nyitó prezentációm során kitértem arra a téma szempontjából fontos másik aspektusra is, hogy az elmúlt évtizedekben az ipari rendszerek esetében a mindent felülíró legfontosabb szempont az volt, hogy maga a rendszer működjön. Mindegy, hogy hogy néz ki a kezelőfelület vagy hogy milyen a felhasználói élmény, a lényeg, hogy 7/24 probléma mentesen menjen az év 365 napján.
Az elmúlt években aztán megjelent az általunk már éles rendszerekben is alkalmazott High Performance HMI paradigma, amely további elvárásként kifejezetten az ipari rendszerekben alkalmazott kezelőfelületekkel történő hatékony és magas UX melletti interakciót veszi célkeresztbe, és alapjaiban változtatja meg a fejlesztő mérnökök SCADA rendszerekhez történő hozzáállását. Az amúgy is egyre inkább elterjedő web alapú technológiák kitűnő eszköznek bizonyultak ehhez, megjelenik a REST API, a távoli elérés, okostelefonon lehet monitorozni az ipari folyamatokat, lekérdezni a riportokat és nyugtázni a riasztásokat.
Mindeközben észre sem vesszük, hogy az új igényeknek eleget tévő de nem kellően átgondolt megoldások alkalmazásával gyakran ágyúgolyó nagyságú réseket nyitunk a pajzsokon. Sokan ringatják magukat abban a hitben, hogy "mi túl kicsik vagyunk ahhoz, hogy megtámadjanak bennünket", vagy hogy az üzemi rendszereket nem lehet megtámadni, de már Stuxnettől kezdve a tavalyi Norsk Hydro zsarolóvírusán keresztül számtalan magyar gyár esete is elég intő példát nyújt ahhoz, hogy érdemben foglalkozzunk a rendszereink védelmével.
De mielőtt belevágnánk abba, hogy milyen végpontvédelmi megoldásokat válasszunk, álljunk meg egy pillanatra, nézzük meg, hogy hol tartunk, és oktassuk a saját kollégáinkat, ugyanis
"a felhasználók biztonságtudatossága az első védelmi vonal, nem pedig a tűzfal."
/ Kocsis Tamás, Black Cell /
A ipari szektort érintő IT biztonsággal kapcsolatos incidensek legtöbbször közvetve vagy közvetlenül a cég infrastruktúrabeli és/vagy belső működési hiányosságaira vezethetőek vissza. Ha felvértezzük egy alapszintű biztonságtudatossággal a gyárakban dolgozó kollégákat, és ők kellően komolyan veszik az információbiztonsági szabályzatokat, akkor csökkenteni tudjuk egy esetleges támadás sikerének az esélyét.
Míg a már évtizedek óta működő gyárak belső működését csak hosszú évek kitartó munkája árán lehet lépésről lépésre megváltoztatni, addig az új beruházások esetében erre jóval egyszerűbb lehetőség nyílik. Nagyon fontos, hogy ezek az új rendszerek már kifejezetten IT biztonsági szemlélettel legyenek megtervezve,
"...és ne arról beszélgessünk később, hogy milyen lyukak vannak ezekben a rendszerekben. / Gömbös Attila, Trend Micro /
Ennek megfelelően a korszerű ipari rendszerek tervezése során a Security-by-design elv alapvető elvárásnak tekinthető.
Az előadásom után több résztvevő jött oda hozzám kétségbe esve, hogy ők bizony Modbus TCP protokollt használnak, és hálózati kommunikációra még sosem alkalmaztak menedzselt switcheket. Azt tudjuk, hogy a Modbus az egyik legnépszerűbb automatizálási protokoll, ezért a 2020-as években továbbra is meghatározó marad, ugyanakkor 1979-ben még nyilvánvalóan a titkosítás kérdésének prioritása, sőt létjogosultsága egészen más megítélés alá esett. Itt értelemszerűen a kockázatokat érdemes mérlegelni annak fényében, hogy lehet, hogy a rendszert legalább részben újra kell tervezni, ami nem kis befektetés. De ha erre nincs is lehetőség, mindenképpen érdemes odafigyelni arra, hogy kontrolláljuk a Write típusú Modbus parancsokat: ki küldhet, ki nem, milyen címtartományokra lehessen küldeni, vagy csak olvasási engedélyt adjunk. Erre például kiválóan használható a PacketGuard technológia.
Ez a kockázat alapú gondolkodás egyébként általánosságban rávetíthető az egész területre, hiszen 100%-os védelem nem létezik, a kockázatokat lehet minimalizálni.
Ugyanez a helyzet a nem menedzselt switchek esetében is. A legtöbb automatizálási szakember számára az Ethernet hálózat teljesen idegen, csak szükséges velejárója annak, hogy több eszközt, például PLC-t, mérőműszert, távoli I/O-t, frekvenciaváltót stb. egymással való kommunikációját biztosítsák. Ha ez egy elzárt helyen működik, és csak helyi hálózatként szolgál, és nehéz fizikailag erre a helyre bejutni, akkor viszonylag alacsony kockázata van a nem menedzselt switchek használatának. Ugyanakkor a nem menedzselt switchek
"semmiféle szűrő funkcióval nem rendelkeznek, nem tudjuk őket felügyelni, innentől fogva azt sem tudjuk, hogy hány darab és milyen eszköz van a hálózatban, nem tudjuk, hogy velük mi történik, nem tudjuk, hogy ki akar betörni, vagy mi történik egyáltalán." /Fekete Zoltán, MOXA/
Ennek megfelelően egy sziget rendszernél még elfér egy-egy nem menedzselt eszköz, de egy komolyabb rendszer esetében, amelynél több gépet kötünk hálózatba, főleg ha távolról is adatot akarunk gyűjteni ezekről a gépekről, vagy esetleg még vezérelni is akarjuk őket, akkor nagyon nagy kockázatot jelent, ha nem menedzselt eszközöket használunk.
Most pedig kávét elő, és jöjjön a videó!
