Most, hogy sokan otthonról próbálunk helytállni, és elsősorban a digitális térben tartjuk a kapcsolatot egymással és a rendszereinkkel, az ICS Cyber Security témakör egyik pillanatról a másikra aktuálisabbá vált, mint valaha. Kérdések és sokszor kényszerű válaszok tömkelege kavarog mindenki körül a lehetséges megoldások és persze az ezekkel járó fenyegetettség terén. Amíg azonban az irodai hálózatok esetében a távoli hozzáférés már általában evidens, addig az iparban ez máig tabutémának számít: szürke zóna, amelyet vagy mereven elutasítanak, vagy sokszor az illetékesek tudta nélkül, “hátsó kapukon” keresztül, mindenféle kényszer megoldással valósítanak meg, sokszor a rendszer szintű kontroll legteljesebb hiánya mellett. De vajon mi ennek az oka? 

 

“Távoli elérés? Az nincs.” 

 

A hazai ipari hálózatok terén egészen az ezredfordulót követő évtized végéig az informatikai biztonság kérdésköre jobb esetben a teljesen szeparált architektúrában és a hagyományos értelemben vett felhasználóktól történő izolációban merült ki, rosszabb esetben gyakorlatilag egyáltalán nem létezett, sőt nem ritkán az Industrial Control Network és az Office Network egy és ugyanazon absztrakt struktúrában valósult meg. Habár kibontakozni látszik egy lassú konvergencia, számos helyen ez a felzárkózási folyamat a mai napig az előző bekezdésben említett izolációnál alig merül ki többen, és máig ott van a fejekben az a téves megközelítés, hogy

 

“ha magunkra zárjuk a ház ajtaját, akkor baj nem érhet”.

 

Tárgyi cikksorozatunk egyik társszerzőjével, Kocsis Tamással (Blackcell) körülbelül két éve ismerkedtünk meg egy munka kapcsán, melyben “ősi ellenfélként”, mint auditor és auditált próbáltuk egymást meggyőzni arról, mit szabad, mit kell, és (legyünk őszinték) mit lehet a gyakorlatban egy hálózat biztonságos működése érdekében megvalósítani. Miért nem jó az, ami jó volt hosszú évtizedeken keresztül? Mi értelme van a publikus, lakossági / irodai célú hálózatok problémáit ipari környezetben szóba hozni?

 

A válasz egyszerű: új elvárások, új kihívások és új megoldások jönnek, a világ változik. Illetve... 

 

 

 

A világ megváltozott. 

 

Mára az egykori “kockaházak” helyét sorra veszik át azok az “üvegpaloták”, melyek minden eddiginél nagyobb kilátás ígérete mellett új biztonsági kockázatokat emeltek a rendszerbe. Ezek a régi ipari hálózatszervezési paradigmák szerint nem is értelmezhetőek, így ezekben az esetekben a Cyber Security tekintetében korábban is csak fenntartásokkal elfogadható megoldások mára teljességgel elégtelenné váltak.

 

Napjainkban egy telephely ipari hálózatát nem az üzemépület falai, hanem a világ határolja le. 

 

Telephelyek közötti kapcsolatok, vállalati szintű - sokszor kontinenseket áthidaló - kommunikációs csatornákon folyik az információk állandó továbbítása. Sokszor hallani, hogy - az elmúlt évek talán legtöbbet emlegetett buzzwordje - az IoT valójában évtizedek óta létező, az iparban általánosan alkalmazott technológia. Habár a felvetés nem alaptalan, nem szabad szem elől téveszteni egy nagyon lényeges különbséget: Míg korábban a “dolgok” egy-egy zárt, és minden szempontból jól körülhatárolható és relatív kontroll alatt tartható térben léteztek és a mainál nagyságrendekkel kisebb - jellemzően az alkalmazásokhoz szorosan kapcsolódó, redukált, speciális szakismeretet igénylő - funkcionalitással rendelkeztek, addig ma a legegyszerűbb mérőeszköz is egyszerűen, webes frontenden keresztül konfigurálható és akár egy (rossz) kattintással válik elérhetővé az Interneten bárki számára. 

 

Az IIoT az ipari hálózatok globalizációja.

 

Ezt felismerve pedig észre kell venni, hogy a rendszer-szinten azonosított előnyök (és sajnos problémaforrások) természetükben nagyon hasonlítanak ahhoz, amelyeket a globalizált világunk ma tanul/próbál kezelni.

 

 

“Kína messze van.” 

 

A járvány távol-keleti kitörését követően sokáig hangzott el a fenti kijelentés, mellyel - talán önmagunk megnyugtatása végett - a jelentőségét próbáltuk bagatellizálni, még annak ellenére is, hogy matematikailag pontosan definiálható model szerint estek el egymás után az államok. Aztán az első magyarországi beteg hirtelen a mindennapjaink valóságába hozta el a járványt, olyan módon felforgatva az életünket, amely példa nélküli az utóbbi évtizedekben. Jómagam, bár a bigott pesszimisták csillagzata alatt születtem, még két hónappal ezelőtt is ugyanazzal a szkepticizmussal néztem a híradásokat, mint azokat a távoli, fejlődő országokban szinte évente kitörő járványokról szóló azon tudósításokat, amelyek ezek Európába (a “civilizált világba”) történő esetleges behurcolásáról szólnak. Ennek okát elsősorban abban látom, hogy az eltérő életmódunk, az életszínvonal és az elérhető technológiák egyfajta hamis és sokszor túlzott biztonságérzetet, a média által pedig különböző okokból nem egyszer tévesen súlyozott híradások pedig sajnos szükségszerűen egy nagyon veszélyes szkepticizmust, sőt egyfajta káros rezisztenciát eredményeztek. Ma, amikor minden pillanatban gyakorlatilag végtelen számú bejövő adatból próbáljuk a számunkra releváns információt szűrni, priorizálni és használni, ami nem velünk történik, arra már nehezen kapjuk fel a fejünket... Elkanyarodtam volna a témától? Aligha!

 

Érdekes, hogy mennyire hasonló viselkedésminták figyelhetőek meg az ipari szektorban is, amikor a Cyber Security szóba kerül. Hányszor szembesülünk azzal, hogy relatív nagy - több milliárdos forgalmat bonyolító, jól prosperáló - cégek döntéshozói is azzal intézik el az ICS biztonság kérdéskörét, hogy “külön hálózatot használunk”, “linuxos gépeink vannak”, “most vettünk új szervereket”. (Ez utóbbi kijelentés külön is megérne egy cikket.) Mi ennek az oka?

 

A termelőegységek mára végletekig kihegyezett és - a rendelkezésre álló informatikai lehetőségek miatt sok esetben - másodpercre pontos metrikákkal és KPI-okkal monitorozott gyorsvonatok, melyek egyetlen pillanatnyi állását is azonnal, kvantitatív formában (elvárt haszon kiesés, erőforrás kihasználatlanság, stb.)  képesek vagyunk jelezni. Habár ez a tény sok szempontból előnyös, magával hozott azonban egy olyan káros - és téves - szemléletet is, amely a termelés adott, kisebb intervallumon belüli (pl. egy műszak, egy kampány, egy termelési egység) maximalizálását a hosszú távú, biztos, optimális szint tartása elé helyezi. Jelentős különbség van a kettő között, melynek más egyebek mellett sokkal több esetben és aspektusban része a Cyber Security kérdéskör is, mint azt gondolnánk.

 

 

“Admin, Admin” 

 

Ismerős? Megszámolni sem tudnám hány helyen találkoztunk azzal, hogy a berendezés felett üzemelő HMI-re szigetelő szalaggal, vagy sárga post-it cetlivel ragasztották rá az adminisztrátori jogkörrel rendelkező felhasználónevet és jelszót (nem ritkán hasonlóan kifinomult komplexitási kritériumok mellett), mondván, ha éjszaka gond van, legalább egy óra, mire a rendszergazda elérhető, az alatt pedig áll a termelés.

 

A fenti példát mint szélsőséget - de kritikusságát tekintve sajnos egyáltalán nem egyedi esetet azért hoztam fel, hogy érzékeltetni lehessen milyen - sokszor egymást logikusan kizáró - szélsőségekkel lehet találkozni akár egyazon telephelyen belül. 

 

Egy-egy ilyen, vagy ehhez hasonló “felfedezés” után rendszerint megkérdezzük az ügyfelet, milyen anyagi vonzatokkal (kárral) kell számolni az egyes rendszerek részleges vagy teljes kiesése esetén. A válaszként elhangzó összeg (csak a közvetlen elmaradt kihozatalra vonatkozóan - nem tekintve a járulékos, közvetett károkat pl.: kötbér, presztízs, stb.) általában minimum két, de sokszor három nagyságrenddel haladja meg akár egy átfogó, informatikai biztonság szempontjából már jó kezdetnek tekinthető rendszer beállításának költségét. A kockázat “szemmel látható”, elég egy üzemlátogatáson részt vevő önjelölt hacker vagy egy elégedetlen dolgozó és valósággá válik, mégis a legtöbbször átnéznek a problémán. Egészen addig, amíg egyszer tényleg meg nem történik.

 

Hosszan hozhatnék még példákat, vezérlőszekrényekben fellelt “ismeretlen” eredetű GSM gatewayről, HMI-ként üzemelő panel PC-re telepített Peer-to-Peer remote controlt lehetővé tévő alkalmazásokról, vagy akár a netre “kilógatott” PLC-kről is, de azt gondolom hasznosabb, ha az okokat vizsgálva keressük a megoldást.

 

 

Termelni kell

 

A végső indok minden esetben az “itt egy a lényeg, hogy termeljen a rendszer”. Ez a szemlélet vertikális, fentről lefelé halad végig a cégstruktúrán, annak valamennyi részlegén és dolgozóján, legtöbbször anélkül, hogy ténylegesen számba venné, hogy ennek biztonságos eléréséhez (és tartós, megbízható szinten tartásához) valójában milyen feltételek szükségesek, ezeket miként lehet biztosítani. (Sőt néha szándékosan átnézve azokon, hogy az üzemeltetési költséget minél alacsonyabban lehessen tartani.)

Így végül a termelés mérőszámát egyetlen pontban, a pillanatnyi kihozatalban határozzák meg.

 

Ennek szükségszerű következménye, hogy a rendszer valamennyi szereplője ezt a szemléletet a saját tevékenységi körére nézve determinisztikusan értelmezi (hiszen ennek alapján kérik számon), ezzel minden egyéb (akár más tevékenységi kör szerinti) preferenciát háttérbe szorítva. 

 

 

“Nothing else matters”

 

Az eredmény pedig a fent idézett mondat: Egy a lényeg, hogy termeljen a rendszer, bármi áron. Ez a “bármi ár”, amit szerencsés esetben csak a hírekben látunk, viszont - az illúziók eloszlatása végett - nem elsősorban tény, inkább idő kérdése, hogy mi mikor fogjuk magunk is megfizetni.

 

Úgy tűnhet, hogy több különböző téma között csapongtam, ebbe is - abba is belekapva.  Valójában, arra igyekeztem rámutatni (mindezt úgy, hogy ne csak egyetlen témakört érintsünk, mégis beférjünk egy pár ezer szavas cikk keretei közé), hogy milyen szélsőséges, ellentmondásos, sokszor kaotikus állapotok uralkodnak a mai napig ICS területen biztonsági kérdésekben. A régi, mára elavult nézetek, a negyedik ipari forradalom, az egyes szereplők magatartása és gondolkodásmódja, az elvárások és nem utolsó sorban az aktuális események mind-mind szerepet játszanak és így egy-egy kockázati tényezőt jelentenek.

 

A világ változik és a világ megváltozott. Ez a változás egyszerre egy folyamat, mely évek óta zajlik és amelyről egyesek inkább, mások kevésbé vettek tudomást, ugyanakkor a mostani eseményekben egy olyan pontszerű mérföldkő - vagy ha úgy tetszik szakaszhatár - manifesztálódott, amelyet a legtöbben távolinak, elképzelhetetlennek gondoltunk, és ennél fogva több szempontból felkészületlenül ért minket. Meggyőződésem, hogy ezt a változást (is) azok tudják majd a legkönnyebben átvészelni, túlélni, akik birtokolják a felismerés, belátás, az alkalmazkodás és legfőképp a tanulás képességét. Akik képesek kockázati alapon tekinteni a folyamataikat és akik képesek felismerni, hogy az új helyzet új megközelítést kíván.

 

Ma az ügyfeleink között egyértelmű versenyelőnyben vannak azok, akik az ipari rendszereik esetén rövidebb vagy hosszabb ideje már dolgoznak azon, hogyan lehet azokat az Interneten keresztül (mostanra mertem először leírni…) biztonságosan elérhetővé tenni a munkavállalóik számára, hogyan lehet az ICS hálózatukat úgy üzemeltetni, hogy Cyber Security szempontjából a felmerülő kockázatok kezelt, elfogadható szinten tartása mellett az üzemvitel is zavartalan legyen.

 

Azt gondolom, a mostani helyzet - számtalan más egyéb mellett - gyökeresen meg fogja változtatni azt, ahogyan az ipari szereplők a teljes ICS kérdéskört kezelik. Aki képes ezt felismerni és ezzel - fejlődve, tanulva, sikertelen és sikeres lépéseken keresztül, de próbálkozva - lépést tartani, sőt minél előbb reagálni, annak van esélye hosszú távon a túlélésre.

 

IEC 62443

Akkor mégis mit tehetünk?

A folytatásban Kocsis Tamás, vendégbloggerünk foglalja össze, hogy miért fontos a szemléletváltás és az IT és OT szakemberek összefogása. 

ICS kiberbiztonság

Írta: Hóringer Tamás

Közel 15 éve tevékenykedem elsősorban tervezőmérnökként. Pályámat egy kis családi cégnél kezdtem a gyengeáramú épületinstallációs rendszerek, beépített automatikus vagyon- és tűzvédelmi rendszerek világában. Olyan nagybetűs Mérnökök szárnyai alatt volt lehetőségem a mérnöki szakma alapjainak elsajátítására, akiktől mindig lehetett kérdezni, akik mindig rávezettek a helyes megoldásra és akikre máig jószívvel emlékezem. 2011-ben kerültem közelebbi kapcsolatba az ipari automatizálással, azon belül is a gyógyszeripar jól szabályozott területeivel, rövid ideig a minőségbiztosítás oldaláról, majd - úgy érezvén, hogy a mérnöki tudásomat használva "by design" könnyebben juttathatom érvényre az elvárásokat - újra a műszaki divízió tagjaként. Itt ismerkedtem meg mai kollégáimmal, akik - miután néhány közös munka során az őrületbe kergettem őket - immár több, mint 5 éve megtiszteltek azzal, hogy helyet kínáltak maguk között. A Com-Forth Kft. családjában a SCADA rendszerek, az automatizálás és a validáció területén találtam meg a mai helyem, ezek tervezésével, fejlesztésével, kivitelezésével, végrehajtásával foglalkozom.