Nieudany atak na Florydzie ujawnia luki cyberbezpieczeństwa w systemach wodnych

W ostatnim czasie zaobserwowano wzrost liczby incydentów cyberbezpieczeństwa oraz ataków na obiekty zaopatrujące społeczności w wodę pitną. W tym na obiekty odpowiedzialne za jej uzdatnianie oraz odprowadzanie i oczyszczanie ścieków.  Najpopuarniejszym przykładem jest atak hakerski na system uzdatniania wody na Florydzie z lutego 2021. Atakujący podłączył się pod kontrolery dozowania substancji chemicznych i próbował zwiększyć poziom wodorotlenku sodu. Naszczęście atak został udaremniony przez operatora.

Co mogło się stać gdyby operator był akurat w tamtej chwili na przerwie….? Ewentualne efekty tego ataku pozostawiamy już dla Państwa wyobraźni.

Atak na Florydzie nie pozostał w Polsce bez echa. Właśnie opublikowano rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego – R-CYBER-1/2021, zawierające zestaw zaleceń bezpieczeństwa, których wdrożenie ma znacząco podnieść odporność przemysłowych systemów sterowania w obiektach świadczących usługi wodno-kanalizacyjnych.  

Dla przypomnienia – sektor wodno-kanalizacyjny jest jednym z elementów infrastruktury krytycznej państw i obejmuje zarówno obiekty zarządzane przez administrację rządową, jak i przez jednostki samorządu terytorialnego. 

Poniżej przedstawiamy streszczenie rekomendacji wraz z krótkim komentarzem autorskim:

1. Zmniejszyć do minimum ekspozycję sieci przemysłowej, zarówno lokalnej, jak i punktów styku, poprzez identyfikację i ograniczenie do koniecznych, połączeń ‘z’ i ‘do’ sieci.

Łatwiej powiedzieć niż zrobić – vendorzy systemów OT, serwisanci czy po prostu administratorzy wymagają zdalnego dostępu. W dzisiejszych czasach jest to wręcz nieuniknione.
Oczywiście jeżeli możemy odseparować sieć, najlepiej galwanicznie – bez strat operacyjnych – to do dzieła! W innym wypadku jedyne co możemy zrobić to przeprowadzić wspomnianą identyfikację. Czyli:

– zinwentaryzować i skategoryzować dostępy
– nałożyć polityki bezpieczeństwa na poszczególne grupy
– wdrożyć je, monitorować i upewnić się, że są przestrzegane

Wspomniane polityki uderzą w ekosystem wielu firm – dlatego efektów należy spodziewać się w długim terminie.

2. Oddzielić systemy OT od systemów IT zorientowanych na klienta oraz monitorować i kontrolować interakcje pomiędzy tymi obszarami. Rekomendowne jest unikanie podłączeń urządzeń przemysłowych do sieci publicznych, w szczególności Internetu.

Niestety cały obszar business intelligence – SCADA czy DCS – „zahacza” o IT – podczas korzystania z aplikacji biznesowych, baz danych czy protokołów komunikacyjnych. Dzisiaj połączenie IT i OT jest koniecznością, tak samo jak podłączenie do internetu. Jedynym wyjściem jest zabezpieczenie styku IT/OT i OT/Internet – lepiej dziś oszczędzić niż mierzyć się z krytycznym incydentem w przyszłości.

3. W przypadku gdy zdalny dostęp jest niezbędny (np. do monitorowania i zarządzania rozległą infrastrukturą) powinien on być zawsze realizowany za pomocą VPN6 z wykorzystaniem konfiguracji umożliwiającej zastosowanie uwierzytelnienia wieloskładnikowego (MFA).

Haczykiem w tym punkcie jest kwestia technologii, które stosują firmy trzecie serwisujące nasze rozwiązanie. Rozwiązaniem swego rodzaju rewolucyjnym, a według nas niezbędnym, będzie wprowadzenie posiadania odpowiednych mechanizmów bezpieczeństwa zdalnych połączeń do kryteriów wyboru dostawców rozwiązań OT.

4. Należy dokonać przeglądu zdalnego dostępu i ograniczyć go do niezbędnego minimum. W szczególności należy zwrócić uwagę na modemy komórkowe i metody zdalnego dostępu podwykonawców.

I to jak najszybciej.

5. Należy zmienić domyślne dane uwierzytelniające stosując dobre praktyki silnych haseł (o ile urządzenie takie hasła wspiera), na wszystkich urządzeniach, w szczególności urządzeniach posiadających interfejs webowy oraz należy wyłączyć niewykorzystywane konta.

I to nie tylko w sieciach OT, ale gdzie tylko to jest możliwe.

6. Tam gdzie to możliwe, należy ograniczyć dostęp do VPN dla określonych adresów IP lub ich zakresów.

7. W przypadku, gdy niezbędny jest zdalny przesył danych telemetrycznych za pomocą sieci komórkowej należy korzystać z dedykowanych prywatnych APN.

8. Należy aktualizować oprogramowanie wykorzystywanych systemów i urządzeń, w szczególności podczas planowych postojów. Przed aktualizacją należy przeprowadzić analizę potencjalnego wpływu aktualizacji na utrzymanie ciągłości działania (w szczególności aktualizacja może wprowadzać elementy, które spowodują utratę zgodności np. z oprogramowaniem niskopoziomowym) – dlatego też przed dokonaniem aktualizacji należy przetestować ją w środowisku testowym, przed zastosowaniem w środowisku produkcyjnym.

Punkt dotyczący aktualizacji systemów OT zasługuje na oddzielny artykuł. Pokrótce:

1. Mówimy o usłudze kluczowej dla funkcjonowania społeczeństwa . Wyłączenie jej na okres aktualizacji (jeżeli wogóle jest możliwe), wymaga kilkutygodniowych (lub miesięcznych) przygotowań
2. Aktualizacje bywają częste.
3. Nie każdy ma środowisko testowe.
4. Nikt w OT nie puści na “produkcję” nieprzetestowanego oprogramowania

9. Należy stosować segmentację sieci. Minimalnie na styku sieci przemysłowej, a preferencyjnie, zależnie od rozmiaru i złożoności zakładu, również wewnątrz.

10. Należy prowadzić okresową analizę widoczności urządzeń poprzez zewnętrzne skanowanie zakresu adresacji należącej do obiektu, czy wykorzystanie narzędzi typu Shodan.

Zoomeye.org również jest dobrym narzędziem.

11. Należy zgłosić osoby do kontaktu do zespołów reagowania na incydenty – CSIRT poziomu krajowego , w celu ustanowienia szybkiej ścieżki reakcji w przypadku incydentu:

• CSIRT NASK: Zaleca się także wskazanie osoby dodatkowej.
  
• CSIRT GOV: Zaleca się także wskazanie osoby dodatkowej.

12. Każde zdarzenie mające znamiona cyberataku oraz incydent bezpieczeństwa należy niezwłocznie zgłosić do właściwego zespołu CSIRT poziomu krajowego:

• Operatorzy infrastruktury krytycznej do CSIRT GOV
  
• Pozostałe podmioty publiczne m.in. obiekty znajdujące się pod nadzorem jednostek samorządów terytorialnych, lecz nie znajdujące się w wykazie infrastruktury krytycznej państwa do CSIRT NASK:

Ze względu na Ustawę o Krajowym Systemie Cyberbezpieczeństwa z lipca 2018 zdecydowanie zalecamy zastosowanie się do powyższych zaleceń, choćby dla własnego spokoju ducha.

Jako przestrogę podajemy jakie zaniedbania doprowadziły do potencjalnie groźnego dla życia cyberataku na Florydzie:

Co konkretnie zawiodło:

• Słabe zasady zarządzania hasłami. Wszystkie komputery posiadały to samo hasło umożliwiające zdalny dostęp
  
• Wszystkie komputery służące do zarządzania usługą były podłączone do Internetu
  
• Brak firewalla
  
  

Jak temu zaradzić?

Zacznijmy od przypomnienia jak w OT przedstawia się kolejność atrybutów – CIA (Confidentiality, Integrity, Availability):

• Availability – Dostępność: problem nr 1 dla wszystkich operatorów i potencjalnie krytyczny problem dotyczący zdrowia i bezpieczeństwa.
  
• Integrity – Integralność: jak chronić system docelowy przed nieautoryzowanymi zmianami.
  
• Confidentiality – Poufność: jak chronić szczegóły systemu przed nieautoryzowanym dostępem i niewłaściwym użyciem.

Podstawą bezpieczeństwa OT są trzy rozwiązania, na których można budować ekosystem. Nazwijmy je – „triadą OT”:

Industrial Firewall/IPS to fizyczne urządzenie, wdrażane w trybie transparent-bridge (celem bezproblemowej integracji i niezakłóconego działania systemów OT), które znajduje się przed krytycznymi punktami końcowymi nadzoru mediów, chroniąc sterowniki PLC, VFD i inne podłączone do sieci urządzenia. Uczy się i wymusza normalne działania w środowisku zakładu oraz aktywnie eliminuje zagrożenia dla OT w czasie rzeczywistym.

 Firewall powinien chronić sieć ICS przed:

• nieautoryzowanymi zmianami konfiguracji,
  
• resetami urządzeń, odczytami urządzeń
  
• aktualizacjami logiki i wiadomościami wartości.

Ze względu na niezwykłą wrażliwość przepływów danych, reguły konstruowane są w oparciu o wyuczone wzorce ruchu napotykane w chronionym środowisku i biorą pod uwagę liczbę unikalnych możliwości dla różnych protokołów, systemów i środowisk. Aby produkty działające w środowisku OT były naprawdę użyteczne, muszą rozumieć operacyjne zakresy wartości, np. ten próg lub naruszenia poza zakresem są wykrywane i odpowiednio obsługiwane w oparciu o potrzeby każdej osoby ze środowiska klienta.

Zwykle jest to ostatnia linia obrony w celu ochrony aktywów zakładu przed nieuprawnionym lub niezamierzonym (niewłaściwym) użyciem.

Industrial Access – OT nie oparło się ewolucji cyfrowej, obecnie zdalny dostęp jest konieczny i często wpisywany w umowy SLA producentów rozwiązań z zakresu komunikacji sieciowej OT. Rozwiązania zdalnego dostępu do OT, są bardziej precyzyjne niż jakakolwiek sieć VPN dzięki możliwości kontrolowania dostępu na bazie polityk skonfigurowanych według:

• Protokołu
  
• Aktywności
  
• Rodzaju użytkownika

Zasady powinny być stale egzekwowane podczas sesji dostępu by zapewnić opcję dla pracowników zdalnych lub dostawców zewnętrznych w celu uzyskania dostępu do punktów końcowych w sieci OT

Data Diode (jednokierunkowa dioda danych) tworzy szczelny tunel (airgap), który kontroluje, ogranicza i włącza komunikację z wrażliwych, zastrzeżonych części sieci OT. Zapewnia izolowany,  jednokierunkowy transfer danych w taki sposób, że żadne informacje sieciowe nie są ujawniane. Dioda tworzy pełną izolację między protokołami, dwoma jednostkami sieciowymi, a tym samym przesyła dane bez ich ujawniania do niezaufanej sieci i zapewnia ochronę przed nieautoryzowaną komunikacją. 

Kluczowe korzyści z wdrożenia to:

Dopuszczenie i zabezpieczenie transferu danych tylko w jedną stronę dzięki izolacji optycznej.

• Kontrola różnych protokołów i typów danych – zarówno OT jak i IT.
  
• Możliwość wielopoziomowej walidacji Twoich przepływów OT: struktury oryginalnego pliku, sygnatur AV, danych wrażliwych DLP i analizy heurystycznej.
  
• Konsolidacja zdarzeń bezpieczeństwa standardowego syslogu operacyjnego, audytu binarnego i rejestrowania transferu danych