Joe Weiss, známý odborník na průmyslové systémy, který vypovídal před Kongresem USA o kybernetické bezpečnosti, ve svém nedávném blogovém příspěvku kritizoval IT průmysl za přesvědčení, že lze poskytovat zabezpečení průmyslových řídicích systémů prostřednictvím mírných úprav produktů již existujících pro jinou oblast. Weiss uvádí, že tento přístup dokazuje absolutní nepochopení technologie, kterou se tito dodavatelé pokoušejí chránit.
„Předtím, než by skutečně začali dodávat technologii, která má být nasazena do vrstvy řízení, by měli získat rozsáhlé znalosti této oblasti,“ tvrdí Weiss, zakladatel poradenské společnosti Applied Control Systems a bývalý technický manažer organizace Electric Power Research Institute. Zmiňovanou sférou Weiss chápe například skutečný řídicí systém v rámci rozvodny, elektrárny, rafinerie nebo rozvodného potrubí.
Dodavatelé se příliš často snaží uplatnit zabezpečení navržené pro ochranu dat v tradiční síti informačních technologií, která se jen velmi málo podobá síti zařízení ICS. Například v prvním jmenovaném prostředí stačí počítač infikovaný malwarem jednoduše odpojit od sítě. Stejný přístup v prostředí s průmyslovými řídicími systémy by například vedl ke katastrofě v elektrárně, ve výrobním závodě, ale i na ropovodech či plynovodech. „Pokud to uděláte ve výrobním závodě, způsobíte výbuch a zabijete lidi,“ varuje Walt Boyes, šéfredaktor časopisu Control a webu ControlGlobal.com, které se specializují na obor automatizace.
Proprietární operační systémy
V prostředí průmyslového řízení jsou data důležitá jen z hlediska toho, co říkají zařízení, aby dělalo, jako je například otevírání a zavírání ventilů, zvýšení nebo snížení tlaku kapalin proudících potrubím nebo zvýšení či snížení výrobních teplot ve výrobním závodě. „Jednou z důležitých věcí, o které se staráme, je autentizace mezi zařízeními,“ upozorňuje Weiss. „Nestaráme se, zda data vidíte, ale zatraceně dobře se staráme, zda ve skutečnosti přicházejí z místa, odkud se předpokládá, že přicházejí.“
Dodavatelé zabezpečení mají tendenci zaměřovat se na Windows, což je dominantní operační systém v rámci prostředí IT. V prostředí ICS však technologie často zahrnují proprietární integrované operační systémy, modemy komunikující rychlostí 1 200 baudů a aplikace, kde je použití procesoru 286 považováno za moderní, vysvětluje Weiss. Na tak omezené prostředky nejsou dodavatelé zabezpečení IT zvyklí. Například výpočetní výkon potřebný pro typickou aktualizaci signatur antivirového softwaru by způsobil odstavení některých zařízení ICS na dobu šest až osm minut.
Dokonce i nejnevinnější úlohy v prostředí IT by mohly znamenat v prostředí ICS katastrofu. Například příkaz ping na všechna zařízení v případě běžných IT za účelem zjištění, zda hardware běží, by mohl snadno způsobit vypnutí řadiče v systému ICS. „Jsou to dva zcela odlišné způsoby myšlení,“ popisuje Weiss. „Způsob myšlení odborníků v oblasti IT je zabezpečení v zájmu zabezpečení. Nechápou fyzické důsledky v průmyslových řídicích systémech, ke kterým nemůže v oblasti stolních počítačů dojít.“
Dodavatelé IT se na trh zabezpečení systémů ICS vrhli po federálních rozpočtových škrtech, které nabyly účinnosti 1. března, uvedl Boyes. Tyto škrty nazývané jako „izolované“ ukázaly na příležitost, protože se netýkají výdajů na zabezpečení kritické infrastruktury. „To, čeho jsme dnes svědky, je snaha získat nové území lidmi, kteří se již dlouho zabývají ochranou IT a pokoušejí se přejít do oblasti kybernetického zabezpečení kritické infrastruktury,“ prohlašuje.
Téma pro Obamu
Zabezpečení kritické národní infrastruktury je jednou z priorit prezidenta Baracka Obamy, který vydal vládní nařízení přikazující vládním agenturám sdílet informace o kybernetických útocích se soukromým sektorem. Kongres se taé zabývá zabezpečením prostřednictvím připravovaných zákonů. Spolupráce mezi dodavateli ICS a dodavateli IT je potřebná k rozvoji správné bezpečnostní technologie. V některých případech lze již existující technologie upravit pro použití v oboru ICS. „Svět IT udělal o mnoho více práce v oblasti sítí, než jsme učinili my, ale nezohledňuje naše typy aplikací a omezení,“ upozorňuje Weiss.
Bezpečnostní standardy pro průmyslovou automatizaci a řídicí systémy dnes existují. Příkladem je standard ISA99 zavedený Mezinárodní společností pro automatizaci (International Society of Automation). Matthew Luallen, prezident společnosti Cybati, poskytující vzdělávání v oblasti kybernetického zabezpečení řídicích systémů, doporučuje, aby dodavatelé důkladně otestovali své technologie v prostředí ICS a aby se kupující ujistili, že zařízení v rámci této zkušební konfigurace odpovídají tomu, co sami používají. „Pokud budete jako zákazníci dobře informovaní, budete schopni vidět rozdíly mezi dodavateli, poradci a tím, kdo skutečně má potřebné schopnosti a kdo ne,“ radí Luallen.
PŘEDPLATNÉ
ČLÁNKY DO MAILU