Menü

Kiemelt témánk

Feliratkozás


52_csinos_tamas.jpg
Csinos Tamás, Clico HungaryForrás: ITB

Még mindig nagy titokzatosság övezi az ipari rendszerek védelmét – már ha valaki veszi a fáradságot, hogy egyáltalán foglalkozzon vele. Pedig a felszínt egy kicsit megkapargatva kiderülhet, hogy valahol ezek is informatikai rendszerek, így az azoknál alkalmazott védelmi mechanizmusok is működhetnek. Csinos Tamás, a Clico Hungary ügyvezetőjének írása.

Vízművek, elektromos hálózat, szennyvíztisztító, gázszolgáltatás, távfűtés, erőművek – elsőre ezek jutnak eszünkbe, amikor védendő ipari rendszerekről, azaz kritikus infrastruktúráról beszélünk. De a digitális transzformáció, a közelgő 5G, vagy a csapból is folyó IoT kapcsán végre rá kellene ébrednünk: minden termelőcégnek (legyen az „egyszerű” gyár, a kritikus infrastruktúra része vagy akár precíziós mezőgazdasággal foglalkozó üzem) ugyanúgy fel kell(ene) készülnie operatív rendszereinek (OT, operation technology) védelmére, mint ahogyan az IT-rendszereit védi. (Mert ugye védi?) Ez utóbbival sokat foglalkozunk, a szakemberek többsége felkészült, és valamilyen védelmi szinttel ellátják informatikájukat.

 

Informatika, de nem úgy

Ezzel szemben az OT és az ipari vezérlőrendszerek (ICS, Industrial Control Systems) gyártói és alkalmazói inkább félrenéznek, ha biztonsági kérdésekről van szó. Egyrészt a gyártók és a forgalmazók nem szívesen terhelik a kuncsaftot olyan sötét gondolatokkal, mint sérülékenységek, a frissítések kezelése vagy a többi, az IT esetében már teljesen megszokott koncepció.

Másrészt az OT-rendszerek üzemeltetői is szívesen elfedik azokat az evidenciákat, hogy bizony az IT-től teljesen eltérő rövidítéseik, az eltérő zsargon tulajdonképpen ugyanazokat a rendszerkomponenseket takarják, mint amelyeket az IT napi szinten üzemeltet.

Az óriási különbség az, hogy amíg az IT-rendszerek egy termelő cégnél még csak most válnak a központi (nyereség)termelő tevékenység, ha úgy tetszik, a core business részévé, addig a termelés szerves részét képező OT-rendszerek elsődleges feladata évtizedek óta az üzem fenntartása. Emiatt más üzembiztonsági kritériumoknak kell megfelelnie egy tabletta- vagy akár autókilincs-gyártó vagy éppen egy fröccsöntő gépsort irányító fekete doboznak/berendezésnek, mint az irodisták által nyomkodott PC-knek vagy az Excel-huszárként (is) funkcionáló menedzserek szervereinek.

Ezért az OT-berendezések a mai fogalmainkhoz képest gyenge számítási teljesítményű, IT-s szemmel nézve régi, de robosztus, semmi sallangot nem tartalmazó – figyelem! – informatikai komponensekből állnak.

A korszerű végpontvédelem, a sokszor mantrázott biztonsági frissítések mind-mind olyan dolgok, amelyeket vagy fizikailag vagy logikailag lehetetlen implementálni, miután a gyártó fekete dobozként adja el és tartja karban ezeket a gépeket.

Nem ma kezdődött

– 1982: a transz-szibériai gázvezeték ellen elkövetett szabotázst tartja a szakma az első OT/ICS-rendszer elleni támadásnak; itt egy, a konkrét rendszerre írt malware okozott robbanást.

– 2010: az iráni atomprogramot majdnem teljesen megsemmisítő Stuxnet talán a leghíresebb OT/ICS/SCADA-támadás. Itt az uráncentrifugák vezérlőiből iktatták ki az optimális fordulatszámot szabályozó kódot, melynek következtében a berendezések túlforogták magukat.

– 2014: az évek óta tartó ukrán–orosz konfliktusban nem telik el olyan hónap, hogy ne lenne hír valamilyen ukrán ipari célpont elleni támadásról. Tavaly nyáron az ország víz- és csatornarendszerét ellátó klórüzemet támadták (az ukrán fél szerint sikertelenül).

 

A nem létező biztonság

De a szakemberhiány is hozzáteszi a magáét. A gyártók drágán mérik a kiszálló karbantartói mérnökórákat, az üzemeltetők is sokkal kevesebben vannak, mint amennyire szükség lenne. Így adja magát, hogy az OT-rendszereket is modern módszerekkel kezdik el üzemben tartani.

Rég nem igaz az a mítosz, hogy azért nincs biztonsági kitettsége az ipari rendszereknek, mert fizikailag szeparált hálózatokban működnek. Még ha így is lenne, a karbantartók távoli hozzáférése, az OT-rendszerek belső összeköttetései, hálózati megoldásai pont olyan biztonsági kérdéseket vetnek fel, mint az IT-rendszerek esetében. Az OT-rendszerekben is vannak adatbázisok (lásd Historian), amelyekben a rosszfiúk turkálhatnak, a rendszerkomponensek pedig – még ha nem is szívesen nézünk szembe ezzel – szabványos (és ezért támadható) protokollokon keresztül kommunikálnak.

Csak egy példa arra, milyen félreértéseket okozhat az ipari rendszereknél alkalmazott zsargon. A HMI-nek (humán menedzsment interfész) alkotóelem általában egy teljesen sztenderd PC-n futó, teljesen sztenderd módszerekkel és nyelven leprogramozott alkalmazás – ami ráadásul szabványos hálózatokon és protokollokon (mint a Telnet) beszélget az ipari vezérlő dobozokkal. Ebből adódnak az olyan helyzetek, mint amikor egy ipari rendszereket forgalmazó világcég itthon üzembe helyezett vezérlője a dobozból kibontva Confickerrel van fertőzve. De hát miért is ne lett volna, egy ipari célokra egyébként kiválóan alkalmas Win2k verzió futott rajta – ami persze időről időre végigfertőzte a többi vezérlőt.

 

Ami működhet

Úgyhogy mi, SCADA-hoz kevéssé értő, de IT-biztonságon nevelkedett lányok és fiúk csak azt tudjuk javasolni az OT-rendszerek üzemeltetőinek, hogy ideje elkezdeni barátkozni egy jó újgenerációs tűzfallal, érdemes elgondolkodni a teljes OT/ICS-rendszer hálózati és/vagy végponti viselkedéselemzés-alapú megfigyelésén, hogy időben ki tudjuk szúrni, ha a megszokott karbantartói hozzáférés accountja furcsa dolgokat művel. Rendszerbe lehet állítani olyan kapukat is, amelyek bizonyos adatoknak csak egyirányú mozgását teszik lehetővé (cross domain security).

Esetleg érdemes lehet egy teljes, emelt szintű hozzáférések kezelésre szolgáló rendszerrel ötvözni a meglévő jelszókezelési gyakorlatukat. Ha még nincs rá szabályozás, akkor ideje meghozni az első döntést egy jelszóhigiéniás rendszer bevezetéséről, legalább az adminisztrátorok, üzemeltetők, karbantartók részére. De az sem számítana túlzásnak, ha az adatbázisokat dedikált biztonsági berendezéssel védenék, mint ahogy a webes technológiákat használó komponensek védelmére szintén dedikált alkalmazás tűzfalakat használnának.

Annyiban még könnyebb dolguk is lenne, hogy az IT-ben mindig kényes egyensúlyt kell tartani a biztonság és a felhasználói kényelem között. Az OT-rendszerek általában sokkal kritikusabbak üzleti szempontból, így a kényelem itt nem játszik akkora szerepet: a PLC-k nem panaszkodnak.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 2051 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Grace Gerald

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4901 cég szerepel adatbázisunkban.
Az utolsó regisztrált:Inviitech

A legkeresettebb cégek: