Még mindig nagy titokzatosság övezi az ipari rendszerek védelmét – már ha valaki veszi a fáradságot, hogy egyáltalán foglalkozzon vele. Pedig a felszínt egy kicsit megkapargatva könnyen kiderülhet, hogy valahol ezek is informatikai rendszerek, így az azoknál alkalmazott védelmi mechanizmusok is működhetnek.
Vízművek, elektromos hálózat, szennyvíztisztító, gázszolgáltatás, távfűtés, erőművek – elsőre ezek jutnak eszünkbe, amikor védendő ipari rendszerekről, azaz kritikus infrastruktúráról beszélünk. De a digitális transzformáció, az 5G, vagy a csapból is folyó IoT kapcsán végre rá kellene ébrednünk: minden termelőcégnek (legyen az „egyszerű” gyár, a kritikus infrastruktúra része vagy akár precíziós mezőgazdasággal foglalkozó üzem) ugyanúgy fel kell(ene) készülnie operatív rendszereik (OT, operation technology) védelmére, mint ahogyan az IT-rendszereit védi. (Mert ugye védi?) Ez utóbbival sokat foglalkozunk, a szakemberek többsége felkészült, és valamilyen védelmi szinttel ellátják informatikájukat.
Informatika, de nem úgy
Ezzel szemben az OT és az ipari vezérlőrendszerek (ICS, Industrial Control Systems) gyártói és alkalmazói inkább félrenéznek, ha biztonsági kérdésekről van szó. Egyrészt a gyártók és a forgalmazók nem szívesen terhelik a kuncsaftot olyan sötét gondolatokkal, mint sérülékenységek, a frissítések kezelése vagy a többi, az IT esetében már teljesen megszokott koncepció.
Másrészt az OT-rendszerek üzemeltetői is szívesen elfedik azokat az evidenciákat, hogy bizony az IT-től teljesen eltérő rövidítéseik, az eltérő zsargon tulajdonképpen ugyanazokat a rendszerkomponenseket takarják, mint amelyeket az IT napi szinten üzemeltet.
Az óriási különbség az, hogy amíg az IT-rendszerek egy termelő cégnél még csak most válnak a központi (nyereség)termelő tevékenységgé, ha úgy tetszik, a core business részévé, addig a termelés szerves részét képező OT-rendszerek elsődleges feladata évtizedek óta az üzem fenntartása. Emiatt más üzembiztonsági kritériumoknak kell megfelelnie egy tabletta- vagy akár autókilincs-gyártó vagy éppen egy fröccsöntő gépsort irányító fekete doboznak/berendezésnek, mint az irodisták által nyomkodott PC-knek vagy az Excel-huszárként (is) funkcionáló menedzserek szervereinek.
Ezért az OT-berendezések a mai fogalmainkhoz képest gyenge számítási teljesítményű, IT-s szemmel nézve régi, de robusztus, semmi sallangot nem tartalmazó – figyelem! – informatikai komponensekből állnak.
A korszerű végpontvédelem, a sokszor mantrázott biztonsági frissítések mind-mind olyan dolgok, amelyeket vagy fizikailag vagy logikailag lehetetlen implementálni, miután a gyártó fekete dobozként adja el és tartja karban ezeket a gépeket.
– 1982: a transz-szibériai gázvezeték ellen elkövetett szabotázst tartja a szakma az első OT/ICS-rendszer elleni támadásnak; itt egy, a konkrét rendszerre írt malware okozott robbanást.
– 2010: az iráni atomprogramot majdnem teljesen megsemmisítő Stuxnet talán a leghíresebb OT/ICS/SCADA-támadás. Itt az uráncentrifugák vezérlőiből iktatták ki az optimális fordulatszámot szabályozó kódot, melynek következtében a berendezések túlforogták magukat.
– 2014: az évek óta tartó ukrán–orosz konfliktusban nem telik el olyan hónap, hogy ne lenne hír valamilyen ukrán ipari célpont elleni támadásról. Tavaly nyáron az ország víz- és csatornarendszerét ellátó klórüzemet támadták (az ukrán fél szerint sikertelenül).
A nem létező biztonság
Természetesen a szakemberhiány is hozzáteszi a magáét. A gyártók drágán mérik a kiszálló karbantartói mérnökórákat, az üzemeltetők is sokkal kevesebben vannak, mint amennyire szükség lenne. Így adja magát, hogy az OT-rendszereket is modern módszerekkel kezdik el üzemben tartani.
Rég nem igaz az a mítosz, hogy azért nincs biztonsági kitettsége az ipari rendszereknek, mert fizikailag szeparált hálózatokban működnek. Még ha így is lenne, a karbantartók távoli hozzáférése, az OT-rendszerek belső összeköttetései, hálózati megoldásai pont olyan biztonsági kérdéseket vetnek fel, mint az IT-rendszerek esetében. Az OT-rendszerekben is vannak adatbázisok (lásd Historian), amelyekben a rosszfiúk turkálhatnak, a rendszerkomponensek pedig – még ha nem is szívesen nézünk szembe ezzel – szabványos (és ezért támadható) protokollokon keresztül kommunikálnak.
Csak egy példa arra, milyen félreértéseket okozhat az ipari rendszereknél alkalmazott zsargon. A HMI-nek (humán menedzsment interfész) alkotóelem általában egy teljesen sztenderd PC-n futó, teljesen sztenderd módszerekkel és nyelven leprogramozott alkalmazás – ami ráadásul szabványos hálózatokon és protokollokon (mint a Telnet) beszélget az ipari vezérlő dobozokkal. Ebből adódnak az olyan helyzetek, mint amikor egy ipari rendszereket forgalmazó világcég itthon üzembe helyezett vezérlője a dobozból kibontva Confickerrel van fertőzve. De hát miért is ne lett volna, egy ipari célokra egyébként kiválóan alkalmas Win2k verzió futott rajta – ami persze időről időre végigfertőzte a többi vezérlőt.
Ami működhet
Úgyhogy mi, SCADA-hoz kevéssé értő, de IT-biztonságon nevelkedett lányok és fiúk csak azt tudjuk javasolni az OT-rendszerek üzemeltetőinek, hogy ideje elkezdeni barátkozni egy jó újgenerációs tűzfallal, érdemes elgondolkodni a teljes OT/ICS-rendszer hálózati és/vagy végponti viselkedéselemzés-alapú megfigyelésén, hogy időben ki tudjuk szúrni, ha a megszokott karbantartói hozzáférés accountja furcsa dolgokat művel. Rendszerbe lehet állítani olyan kapukat is, amelyek bizonyos adatoknak csak egyirányú mozgását teszik lehetővé (cross domain security).
Esetleg érdemes lehet egy teljes, emelt szintű hozzáférések kezelésre szolgáló rendszerrel ötvözni a meglévő jelszókezelési gyakorlatukat. Ha még nincs rá szabályozás, akkor ideje meghozni az első döntést egy jelszóhigiéniás rendszer bevezetéséről, legalább az adminisztrátorok, üzemeltetők, karbantartók részére. De az sem számítana túlzásnak, ha az adatbázisokat dedikált biztonsági berendezéssel védenék, mint ahogy a webes technológiákat használó komponensek védelmére szintén dedikált alkalmazás tűzfalakat használnának.
Annyiban még könnyebb dolguk is lenne, hogy az IT-ben mindig kényes egyensúlyt kell tartani a biztonság és a felhasználói kényelem között. Az OT-rendszerek általában sokkal kritikusabbak üzleti szempontból, így a kényelem itt nem játszik akkora szerepet: a PLC-k nem panaszkodnak.
Az IT BUsiness 2019. március 10-i cikkének szerkesztett változata.