Ochrona informacji i obiektów w sieciach
teleinformatycznych połączonych z systemami
przemysłowymi – przegląd zagadnień
1Krzysztof LIDERMAN
Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT ul. Gen. S. Kaliskiego 2, 00-908 Warszawa
STRESZCZENIE: Artykuł zawiera przegląd problemów związanych z ochroną informacji przesyłanej i przetwarzanej w sieciach teleinformatycznych (biurowych) połączonych z systemami przemysłowymi. Podstawowym materiałem referencyjnym jest NIST Special Publication 800-82 (SECOND PUBLIC DRAFT): Guide to Industrial Control Systems (ICS) Security.
SŁOWA KLUCZOWE: bezpieczeństwo, sieci przemysłowe, infrastruktura krytyczna.
1. Wstęp
Współczesne, zaawansowane technologicznie społeczeństwa swój byt w duŜym stopniu uzaleŜniają od informacji i to głównie informacji przetwarzanej, przechowywanej i przesyłanej w systemach teleinformatycznych. Z tego powodu istotne staje się zagadnienie właściwej ochrony takiej informacji – chronimy informację, poniewaŜ:
1. Jest ona towarem o znaczeniu strategicznym (dla kraju, firmy, konkretnego człowieka).
Od zarania dziejów ci, którzy dysponowali właściwą informacją we właściwym czasie, wygrywali wojny oraz osiągali sukcesy rynkowe. Dlatego podobnie jak współcześnie rudy uranu czy nowe technologie, informacja jest towarem, który moŜna kupić, dzięki któremu moŜna osiągnąć określone
1
Praca naukowa finansowana ze środków na naukę w latach 2008-2011 jako projekt badawczy nr O N514 051135.
korzyści i który trzeba chronić, mając na względzie własne interesy. 2. Jest podstawowym elementem procesów biznesowych.
Podstawą działania prawie wszystkich współczesnych firm i organizacji jest poprawny obieg informacji. Przerwanie go lub sfałszowanie informacji powoduje straty, dla firmy kończące się często bankructwem.
3. SłuŜy do sterowania procesami w zautomatyzowanych procesach wytwórczych i usługowych o kluczowym znaczeniu dla gospodarki i społeczeństwa.
4. Tak nakazują przepisy obowiązującego prawa lub wynika to z zawartych umów.
Ze względów przedstawionych w punktach 1 i 2 oraz ze względu na ochronę dóbr osobistych obywateli we wszystkich cywilizowanych krajach funkcjonują przepisy prawne mające na celu ochronę informacji przed nieuprawnionym dostępem, zapewnienie właściwego jej przetwarzania, przechowywania i przesyłania oraz określające zasady zbierania określonych kategorii informacji.
Przemysłowe systemy sterowania (ang. Industrial Control System – ICS) rozwijały się w minionych latach w zasadzie oddzielnie od teleinformatycznych, biurowych sieci komputerowych. To oddzielenie, brak połączeń pomiędzy róŜnymi ICS, stosowanie specjalizowanego sprzętu i protokołów, wydzielonych kanałów komunikacyjnych oraz zwykle dobra ochrona fizyczna centrów sterowania powodowało, Ŝe problemy nękające biurowe sieci informatyczne związane z działaniami róŜnego rodzaju intruzów, moŜliwościami propagacji niekorzystnych efektów pomiędzy róŜnymi, połączonymi sieciami, podatność na taki typu Denial of Services itp. nie dotyczyły praktycznie sieci przemysłowych.
W ostatnich latach obserwuje się włączanie do przemysłowych systemów sterowania rozwiązań stosowanych dotąd w „klasycznych” sieciach biurowych: wykorzystanie Internetu (protokołu IP) jako medium komunikacyjnego oraz komercyjnych systemów operacyjnych i sprzętu komputerowego. Dodatkowo, wydzielone dotąd ICS łączy się z sieciami biurowymi. Dwa podstawowe powody takiego postępowania to:
– kierownictwo firmy chce nie tylko mieć wpływ na sterowanie procesami produkcyjnymi, ale chce mieć takŜe dostęp do jak największej ilości informacji o tych procesach w dowolnym miejscu i o kaŜdym czasie; – te informacje powinny być bezpośrednio dostępne dla systemów typu MES
(ang. Manufacturing Execution Systems) czy ERP (ang. Enterprise Resorce Planning).
Wymienione fakty składają się na nowy jakościowo obraz współczesnych sieci przemysłowych – pojawiły się w nich nowe problemy
z zapewnianiem bezpieczeństwa. śe są to zagadnienia istotne dla Ŝywotnych interesów nie tylko poszczególnych firm czy organizacji, ale takŜe państwa, świadczą, krótko zaprezentowane w rozdziale 5, opublikowane we wrześniu 2007 roku rekomendacje NIST (National Institute of Standards and Technology) [26] oraz przyjęcie przez NERC (North American Electric Reliability Corporation) 17 stycznia 2008 roku ośmiu standardów z zakresu „cybersecurity” i ochrony infrastruktury krytycznej (por. takŜe [32] i [33]).
Niniejszy artykuł ma na celu zaprezentowanie, ze względu na ograniczoną objętość bardzo pobieŜnie, problemów z zakresu bezpieczeństwa informacji wykorzystywanej w ICS. Zasygnalizowano w nim takŜe pewne prace, które w tym zakresie są podjęte w Instytucie Teleinformatyki i Automatyki Wydziału Cybernetyki WAT [3], [11].
2. Uwagi o zagroŜeniach i bezpieczeństwie systemów nadzorczo-sterujących infrastruktury przemysłowej
Eksploatowane we współczesnych organizacjach i, ujmując problem szerzej, infrastrukturze państwowej systemy:
– transportu, – komunikacji, – magazynowe, – produkcji,
muszą być nadzorowane oraz w części przypadków, dotyczy to głównie systemów produkcji, sterowane. Zadania te są realizowane za pomocą tzw. przemysłowych systemów sterowania, na które składają się opisane dalej sieci SCADA (ang. Supervisory Control And Data Acquisition), DCS (ang. Distributed Control Systems) oraz ich elementy składowe w postaci sterowników programowalnych PLC (ang. Programmable Logic Controllers).
W ramach systemów transportu, komunikacji, magazynowania i produkcji moŜna wyróŜnić dwa podstawowe elementy:
– konstrukcyjne:
• budowlane (np. nawierzchnie autostrad lub lotnisk, mosty, torowiska itp.); • mechaniczne (np. rury do transportu paliw płynnych, kable w instalacjach
wysokiego napięcia, słupy trakcji wysokiego napięcia, łącza teletransmisyjne itp.);
– nadzorczo-sterujące.
tzn. moŜna mówić o bezpieczeństwie związanym z eksploatacją elementów konstrukcyjnych oraz o bezpieczeństwie związanym z eksploatacją elementów (systemów) nadzorczo-sterujących2. W sumie oba rodzaje „bezpieczeństwa” będą składały się na bezpieczeństwo takiej infrastruktury (dalej nazywaną przemysłową) – chronić trzeba zarówno elementy konstrukcyjne infrastruktury jak i elementy jej nadzorowania i sterowania.
Pojęciem ściśle związanym z ochroną jest zagroŜenie. Na potrzeby niniejszego artykułu, zagroŜenie moŜna zdefiniować następująco:
Definicja_1
ZagroŜeniem dla procesu przetwarzania, przesyłania i magazynowania informacji, w sieciach teleinformatycznych i przemysłowych, są potencjalne: − działania człowieka (lub zaniechanie przez niego takich działań)
powodujące utratę tajności, integralności lub dostępności informacji, − działania sił wyŜszych powodujące utratę tajności, integralności lub
dostępności informacji,
− awarie elementów sprzętowych systemów teleinformatycznych i/lub przemysłowych zaangaŜowanych w taki proces,
− wady eksploatowanego w nich oprogramowania. Te działania/zaniechania, awarie i wady mogą dotyczyć: − zasobu teleinformatycznego/sieci przemysłowej, − organizacji ww. procesu.
ZagroŜenie moŜe po wykorzystaniu podatności (o ile taka istnieje) spowodować straty proporcjonalne do wagi wspieranego przez ten proces (przetwarzania, przesyłania, magazynowania informacji) procesu krytycznego.
• • • • W definicji 1 wykorzystano pojęcie procesu przetwarzania informacji i procesu krytycznego wspieranego przez ten proces. Rozpoznanie krytycznych procesów biznesowych i wspierających je procesów przetwarzania informacji, wymaga wykonania następujących czynności3:
2
Warto zwrócić uwagę, Ŝe zagadnienia te są silnie związane z tzw. infrastrukturą krytyczną państwa i problemami jej ochrony (por. np. [7], [8], [22], [31], [32] i rozdz. 3).
3
1) zidentyfikowania kluczowych procesów biznesowych. Dla róŜnych typów organizacji (finansowe, naukowe, handlowe, produkcyjne) róŜne będą procesy kluczowe. „Kluczowe” oznacza, Ŝe procesy tak oznaczone mają zasadnicze znaczenie dla podstawowej działalności biznesowej firmy, a ich zakłócenie jest (lub moŜe być) przyczyną znacznych strat ponoszonych nie tylko bezpośrednio przez firmę, ale równieŜ przez usługobiorców oraz, w szczególnych przypadkach, przez środowisko, w którym te procesy przebiegają;
2) określenia, dla zidentyfikowanych procesów kluczowych, dopuszczalnych czasów przestoju (czasy te są wykorzystywane takŜe przy opracowywaniu planów odtwarzania działania);
3) określenia, dla zidentyfikowanych procesów kluczowych, ich wraŜliwości na zakłócenia we wspierających je procesach przetwarzania informacji;
4) znalezienia, wśród procesów z punktu 1), procesów krytycznych. „Krytyczność” procesu określa:
− czas jego dopuszczalnego przestoju – im mniejszy, tym proces bardziej „krytyczny”4;
− wraŜliwość na utratę tajności, integralności lub dostępności informacji wykorzystywanej w procesie kluczowym;
5) zidentyfikowania wspierających procesy krytyczne procesy przetwarzania informacji w systemach teleinformatycznych.
Środki ochronne (zabezpieczenia), istotne z punktu widzenia niniejszego artykułu, są stosowane do systemów teleinformatycznych wspierających kluczowe (lub krytyczne) procesy biznesowe. Zadaniem środków ochronnych jest zapewnienie tajności, integralności i dostępności przetwarzanej w chronionych systemach teleinformatycznych i przemysłowych informacji, poniewaŜ ma ona wpływ na przebieg procesów biznesowych. ZagroŜenia dla informacji mogą wykorzystać podatności związane z zasobami wykorzystywanymi zarówno w procesach przetwarzania informacji jak i w procesach ochronnych. Poglądowo zaleŜności te przedstawia rys.1. Jak z niego wynika, przedstawione tam „Metody i środki ochronne: techniczne, organizacyjne, programowe” to są te elementy, którymi moŜna manipulować w procesie budowania systemu bezpieczeństwa, tzn. w zakresie których są podejmowane decyzje projektowe.
4
Przykładem procesu kluczowego dla przedsiębiorstwa produkcyjnego jest proces dostaw części do produkcji. Staje się on procesem krytycznym ze względu na czas, jeŜeli jest on organizowany według metody „just-in-time”, co oznacza, Ŝe nie ma magazynowania części do produkcji. Koszty produkcji się obniŜają (nie trzeba utrzymywać magazynów), ale jednocześnie wzrasta wraŜliwość procesu produkcyjnego na zakłócenia w procesie dostaw.
ZagroŜenia dotyczące wymienionych na początku tego rozdziału systemów jako całości, obejmują:
1) akty sabotaŜu lub terroru polegające na uszkadzaniu torów kolejowych, wysadzaniu zbiorników paliw, fizycznym niszczeniu rurociągów itd.; 2) wszystkie zagroŜenia w postaci działań sił wyŜszych, aktów terroryzmu lub
sabotaŜu skierowane przeciwko systemom sterowania i nadzoru oraz bazom danych związanych z eksploatacją infrastruktury określonego typu;
3) awarie elementów konstrukcyjnych budowlanych lub mechanicznych (np. rozszczelnienie rur spowodowane zmęczeniem materiału);
Rys. 1. ZaleŜności przyczynowo-skutkowe w procesie identyfikacji procesów, zagroŜeń, podatności i zabezpieczeń
PROCESY PRZETWARZANIA INFORMACJI PROCESY OCHRONNE Zasoby i procedury Zabezpieczenia: techniczne, organizacyjne, programowe mają są wspierane przez są wspierane przez wykorzystują mają Podatności wykorzystują Stosowane na podatności zgodnie
z „dobrymi praktykami” w celu uniemoŜliwienia realizacji zagroŜeń
ŚcieŜki penetracji ZagroŜenia tworzą są wykorzystywane przez K L U C Z O W E P R O C E S Y B IZ N E S O W E wpływająna zakłócone procesy przetwarzania informacji stanowią zagroŜenie dla
4) awarie elementów sprzętowych przemysłowych sieci sterowania, stanowiących elementy infrastruktury określonego typu oraz awarie tych sieci spowodowane wadami eksploatowanego w nich oprogramowania. W szczególności, do zagroŜeń z punktu 2) naleŜy:
– umieszczanie oprogramowania złośliwego;
– fizyczne niszczenie elementów wykonawczych, czujników i łączy;
– zakłócanie działania czujników i elementów wykonawczych (np. za pomocą impulsów elektromagnetycznych);
– nieuprawnione manipulacje danymi w sieciach przemysłowych.
MoŜna sformułować następującą definicję odnoszącą się do tej części infrastruktury, jaką stanowią systemy nadzorczo-sterujące, będące przedmiotem rozwaŜań w niniejszym artykule:
Definicja_2
Termin bezpieczeństwo systemów nadzorczo-sterujących infrastruktury przemysłowej oznacza stopień uzasadnionego (np. analizą ryzyka i przyjętymi metodami postępowania z ryzykiem) zaufania, Ŝe nie zostaną poniesione potencjalne straty wynikające z:
– działania sił wyŜszych,
– aktów sabotaŜu i aktów terroryzmu skierowanych przeciwko przemysłowym systemom nadzorczo-sterującym i przetwarzanej w nich informacji,
– błędów operatorów systemów nadzorczo-sterujących lub błędów w procedurach,
– awarii elementów sprzętowych przemysłowych systemów nadzorczo-sterujących lub wad eksploatowanego w nich oprogramowania.
Wymienionymi stratami mogą być śmierć lub zranienia ludzi i katastrofy ekologiczne. Straty mogą teŜ powstać w wyniku zakłócenia kluczowych procesów gospodarczych państwa lub firm korzystających z usług świadczonych przez elementy infrastruktury przemysłowej.
• • • •
3. Systemy nadzorczo-sterujące infrastruktury przemysłowej jako element infrastruktury krytycznej
W ustawie o zarządzaniu kryzysowym [31] ustalono następującą interpretację pojęć:
(…) Art. 3. Ilekroć w ustawie jest mowa o: (…)
2) infrastrukturze krytycznej – naleŜy przez to rozumieć systemy oraz wchodzące
w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz słuŜące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a takŜe instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy:
a) zaopatrzenia w energię i paliwa, b) łączności i sieci teleinformatycznych, c) finansowe,
d) zaopatrzenia w Ŝywność i wodę, e) ochrony zdrowia,
f) transportowe i komunikacyjne, g) ratownicze,
h) zapewniające ciągłość działania administracji publicznej,
i) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych;
3) ochronie infrastruktury krytycznej – naleŜy przez to rozumieć zespół przedsięwzięć organizacyjnych realizowanych w celu zapewnienia funkcjonowania lub szybkiego odtworzenia infrastruktury krytycznej na wypadek zagroŜeń, w tym awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie;
Pojęcie infrastruktury krytycznej jest ujęte takŜe w decyzji Rady UE [33] ustanawiającej na lata 2007-2013, jako część ogólnego programu w sprawie bezpieczeństwa i ochrony wolności, szczegółowy program „Zapobieganie, gotowość i zarządzanie skutkami terroryzmu i innymi rodzajami ryzyka dla bezpieczeństwa”. W decyzji tej, w artykule 2 podana jest definicja:
(…)
c) „infrastruktura krytyczna” obejmuje w szczególności te zasoby rzeczowe, usługi, urządzenia informatyczne, sieci i aktywa infrastrukturalne, których zakłócenie lub zniszczenie miałoby znaczący wpływ na najwaŜniejsze funkcje społeczne, w tym łańcuch dostaw, zdrowie, bezpieczeństwo, ochronę, pomyślność gospodarczą lub społeczną obywateli lub funkcjonowanie Wspólnoty lub naleŜących do niej państw członkowskich.
W kontekście rozwaŜanych w rozdz. 2 zagroŜeń warto zauwaŜyć, Ŝe w decyzji Rady UE [33] za priorytetowe uznaje się zagroŜenie terroryzmem (cytaty):
(1) Zapobieganie, gotowość i zarządzanie skutkami terroryzmu i innym rodzajom ryzyka dla bezpieczeństwa stanowią zasadnicze aspekty ochrony ludzi i infrastruktury krytycznej w ramach przestrzeni wolności, bezpieczeństwa i sprawiedliwości.
(2) Zmieniony plan działania UE na rzecz zwalczania terroryzmu przyjęty przez Radę Europejską podczas posiedzenia w dniach 17-18 czerwca 2004 r. określił jako zagadnienia priorytetowe, między innymi, zapobieganie atakom terrorystycznym i zarządzanie ich skutkami oraz ochronę infrastruktury krytycznej.
(3) Dnia 2 grudnia 2004 r. Rada przyjęła zmieniony Program Solidarności Unii Europejskiej na temat skutków zagroŜeń i ataków terrorystycznych, podkreślając znaczenie oceny ryzyka i zagroŜenia, ochrony infrastruktury krytycznej, mechanizmów wykrywania i identyfikacji zagroŜeń terrorystycznych, oraz politycznej i operacyjnej gotowości i zdolności w zakresie zarządzania skutkami.
(4) Na posiedzeniu w grudniu 2005 r. Rada zdecydowała, Ŝe Europejski program ochrony infrastruktury krytycznej (EPOIK) będzie się opierał na podejściu obejmującym wszystkie zagroŜenia, przy czym za priorytet uznaje się przeciwdziałanie zagroŜeniom wynikającym z terroryzmu. Nowa strategia w dziedzinie walki z terroryzmem, która zawiera cztery wątki: zapobieganie, ochronę, ściganie i reagowanie, równieŜ została przyjęta na posiedzeniu Rady Europejskiej w grudniu 2005 r.
Warto zatem, w klasyfikacji zagroŜeń (por. def.1) w grupie „działania ludzi”, wyróŜnić podklasę zagroŜeń – ataków na systemy teleinformatyczne i przemysłowe oraz wykorzystywaną w nich informację.
Definicja_3
Atakiem na system teleinformatyczny/przemysłowy i informację w nim przetwarzaną nazywa się nieuprawnione, celowe działania ludzi mające na celu naruszenie tajności, integralności lub dostępności informacji. Szczególnym przypadkiem ataków są akty sabotaŜu i terroryzmu.
• • • • W przypadku badań stanu bezpieczeństwa infrastruktury krytycznej i, szerzej, systemów nadzorczo-sterujących infrastruktury przemysłowej, naleŜy zatem rozwaŜyć zawsze cztery podstawowe klasy zagroŜeń:
– akty sabotaŜu i terroryzmu,
– błędy operatorów tych systemów lub błędy w procedurach,
– awarie elementów sprzętowych systemów nadzorczo-sterujących i wady eksploatowanego w nich oprogramowania.
4. Przegląd typów sieci przemysłowych
Termin SCADA ([26], [30]) oznacza rozproszony na rozległym geograficznie terenie system elementów wykonawczych i monitorujących komunikujących się z centrami dyspozycyjnymi przez rozległe sieci łączności (rys.2). Przykładami takich sieci (por. rys.4) są systemy nadzoru i sterowania ruchu kolejowego, systemy nadzoru i sterowania przesyłem mocy w sieciach energetycznych itp.
Podstawowe elementy i operacje związane z sieciami typu SCADA i ogólnie, sieciami przemysłowymi słuŜącymi do sterowania procesami, pokazane są na rys.3.
Rys. 3. Schemat podstawowych operacji i elementów przemysłowych sieci sterowania (za [26])
Termin rozproszony system sterowania (ang. Distributed Control System – DCS) zwykle odnosi się do systemu komputerowego, który pełni rolę nadrzędną w stosunku do sterowników PLC (ang. Programmable Logic Controllers) i innych urządzeń. Zwykle to sterowniki PLC połączone są bezpośrednio z urządzeniami wykonawczymi (zawory, pompy, itp.) i pomiarowymi (czujniki temperatury, poziomu itp.) i zbierają aktualne dane z obiektu oraz wykonują automatyczne algorytmy sterowania i regulacji. Za pośrednictwem sterowników PLC dane trafiają do systemu komputerowego i tam są archiwizowane oraz przetwarzane na formę bardziej przyjazną dla uŜytkownika. Operatorzy systemu zadają ogólne parametry procesu lub prowadzą proces w trybie ręcznym.
W [26] zawarto omówienie podstawowych róŜnic pomiędzy „klasycznymi” systemami teleinformatycznymi a systemami przemysłowymi. Syntetyczne ujęcie tych róŜnic jest przedstawione w tabeli 1.
Rys. 4. Przykład implementacji rozproszonego przemysłowego systemu sterowania (za [26])
Tab.1. Specyfikacja róŜnic pomiędzy sieciami informatycznymi a systemami przemysłowymi
Kategoria Sieć informatyczna System przemysłowy
Wymagania wydajnościowe
Nie działa w czasie rzeczywistym. Wymagana wysoka przepustowość. DuŜe opóźnienia i zniekształcenia odpowiedzi systemu są akceptowalne.
Działa w czasie rzeczywistym, odpowiedź systemu jest silnie zaleŜna od czasu.
Niewielka przepustowość jest akceptowalna.
Opóźnienia i/lub zniekształcenia (fluktuacje) odpowiedzi systemu nie są akceptowalne.
Kategoria Sieć informatyczna System przemysłowy
Wymagania na dostępność
Operacja przeładowania systemu jest akceptowalna.
Braki w dostępności często są tolerowane w zaleŜności od konkretnych wymagań operacyjnych na system.
Operacja przeładowania systemu moŜe być nie do zaakceptowania ze względu na wymaganą dostępność systemu. Wymagania na dostępność powodują konieczność stosowania redundancji. Wyłączenia muszą być planowane i umieszczane w harmonogramie z odpowiednim wyprzedzeniem. Wysoka dostępność wymaga dokładnego testowania przed wdroŜeniem systemu.
Wymagania na zarządzanie ryzykiem
Tajność i integralność danych jest najwaŜniejsza.
Odporność na błędy jest mniej waŜna – chwilowy przestój jest akceptowalny.
Głównym skutkiem ryzyka (risk impact) jest opóźnienie operacji biznesowych.
NajwaŜniejsze jest bezpieczeństwo ludzi, wymagające właściwej ochrony procesów.
Odporność na błędy jest bardzo waŜna – nawet chwilowy przestój moŜe być nieakceptowany.
Głównym skutkiem ryzyka (risk impact) jest niezgodność z przepisami, szkody w środowisku, utrata Ŝycia, wyposaŜenia lub produkcji.
Cechy architektury
Podstawowy cel projektu architektury to ochrona zasobów IT i przechowywanej w nich (lub przesyłanej pomiędzy nimi) informacji.
Silna ochrona centralnego serwera.
Podstawowy cel projektu architektury to ochrona urządzeń brzegowych (polowych, np. elementów wykonawczych, czujników i/lub sterowników).
Ochrona serwera centralnego drugoplanowa.
Silna ochrona fizyczna dostępu do elementów ICS.
Oddziaływanie na środowisko
Typowe systemy IT nie wchodzą w interakcje z otaczającym je środowiskiem.
Typowe systemy ICS oddziałują poprzez elementy wykonawcze na otaczające je środowisko i za pomocą czujników zbierają informacje z tego środowiska.
Wszystkie funkcje „bezpieczeństwa” zintegrowane z ICS muszą być przetestowane (zwykle off-line, na porównywalnych systemach) w celu zapewnienia, Ŝe nie zostaną zakłócone normalne operacje ICS.
Kategoria Sieć informatyczna System przemysłowy
Krytyczne czasowo interakcje
Czas odpowiedzi na działania uŜytkownika (np. Ŝądanie dostępu) najczęściej nie jest krytyczny.
Czas odpowiedzi na sygnały z otoczenia zwykle jest krytyczny. Działania uŜytkownika (komunikacja człowiek-maszyna) podlegają priorytetyzacji - nie powinny wpływać ujemnie na realizację podstawowych funkcji ICS.
Operacje w systemie
System jest projektowany do uŜytku z typowymi systemami operacyjnymi. Aktualizacje są wgrywane bezpośrednio z zastosowaniem zautomatyzowanych narzędzi wdroŜeniowych.
UŜywane są róŜne, najczęściej firmowe systemy operacyjne bez wbudowanych właściwości bezpieczeństwa.
Zmiany w oprogramowaniu muszą być przetestowane i wdraŜane stopniowo w celu uniknięcia naruszenia
integralności systemu.
Eksploatacja ICS wymaga specyficznej wiedzy, róŜnej od wiedzy typowego administratora IT.
Ograniczenia na zasoby
„Klasyczne” systemy informatyczne mają zwykle nadmiar resursów, co pozwala zastosować dodatkowe aplikacje, np. związane z bezpieczeństwem.
ICS są projektowane w celu obsługi konkretnych procesów przemysłowych i mogą nie posiadać wystarczającej ilości pamięci i mocy obliczeniowej do obsługi dodatkowych zadań z dziedziny bezpieczeństwa.
Komunikacja
Standardowe protokoły komunikacyjne. Głównie sieci kablowe z dołączonymi czasami sieciami bezprzewodowymi.
Liczne firmowe i standardowe protokoły komunikacyjne. Wykorzystywane są specjalizowane środki łączności przewodowe i bezprzewodowe (radiowe i satelitarne).
Zarządzanie zmianami
Zmiany w oprogramowaniu są wykonywane w odpowiednim czasie z zachowaniem zasad i procedur polityki bezpieczeństwa. Procedury są często zautomatyzowane.
Zmiany w oprogramowaniu muszą być wykonywane bardzo ostroŜnie, zwykle przez personel producenta
oprogramowania, poniewaŜ mogą być wtedy wymagane zmiany takŜe w algorytmach sterowania, sprzęcie lub pozostałym oprogramowaniu. Wyłączenia ICS muszą być zaplanowane.
Wsparcie i usługi MoŜe być realizowane przez róŜnych dostawców. Wsparcie najczęściej wyłącznie przez pojedynczego dostawcę. Czas Ŝycia elementów
systemu 3-5 lat. 15-20 lat. Dostęp do elementów systemu Komponenty są zwykle zlokalizowane na niewielkim obszarze i jest do nich łatwy dostęp.
Komponenty są izolowane, rozproszone na duŜym obszarze i trudno jest się do nich dostać.
5. Łączenie sieci teleinformatycznych z systemami przemysłowymi – nowa jakość w dziedzinie bezpieczeństwa
Przedstawione w tabeli 1 róŜnice pomiędzy systemami (tele)informatycznymi a systemami przemysłowymi powodują, Ŝe znane z eksploatacji sieci teleinformatycznych zagroŜenia i zabezpieczenia przed nimi nie mogą być bezpośrednio, bez dogłębnej analizy moŜliwych skutków, zastosowane w systemach przemysłowych. Poza tym część zagroŜeń jest specyficzna dla konkretnego typu sieci, co sprawia, Ŝe zabezpieczenia przed nimi (lub sposób zastosowania zabezpieczenia) teŜ nie mają odpowiednika w sieci drugiego typu [1], [5], [7], [12]. To powoduje, Ŝe w przypadku połączenia takich systemów/sieci pojawiają się nowe wyzwania zarówno dla specjalistów zajmujących się sieciami teleinformatycznymi (głównie z firmowych komórek bezpieczeństwa), jak i inŜynierów systemowych, na których zwykle spoczywa utrzymanie w ruchu sieci przemysłowych, w tym ich zabezpieczenie pod kątem szeroko rozumianego bezpieczeństwa [3], [26].
Warto tutaj nadmienić, Ŝe sam termin „bezpieczeństwo” [9], [10] moŜe budzić nieporozumienia w przypadku wspólnej pracy obu ww. grup ludzi. Przykładem moŜe tutaj być tzw. maszynowy system bezpieczeństwa, nie mający swojego odpowiednika w tradycyjnych, informatycznych systemach np. biurowych. Podstawowe elementy takiego systemu bezpieczeństwa (funkcjonalnie) to:
– czujniki (bezpieczeństwa) wykrywające wtargnięcia osób do stref potencjalnego zagroŜenia;
– elementy wykonawcze nadzorujące i sterujące zasilaniem niebezpiecznych elementów i urządzeń w strefach zagroŜenia;
– układy określające sposób reakcji systemu bezpieczeństwa (np. sterowniki PLC) w celu zminimalizowania ryzyka powstania zagroŜenia Ŝycia lub zniszczenia urządzeń.
Podstawowe elementy systemu bezpieczeństwa (konstrukcyjnie):
– elementy (zawory nadmiarowe, przepony bezpieczeństwa, elementy ostrzegawcze, dodatkowe kanały komunikacyjne);
– urządzenia zabezpieczające; – sygnalizacja stanu i alarmowa; – procedury postępowania.
Do niedawna przejście z oprzyrządowanych na stałe maszynowych systemów bezpieczeństwa do systemów programowanych i usieciowionych było ograniczone przez wymagania norm zharmonizowanych z tzw. dyrektywą maszynową. Dopiero w wydaniu z roku 2006 normy EN 60204-1:
Bezpieczeństwo maszyn. WyposaŜenie elektryczne maszyn, usunięto zalecenie stosowania oprzyrządowanych na stałe elementów elektromechanicznych do funkcji zatrzymania związanych z bezpieczeństwem. Obecny kierunek rozwoju maszynowych systemów bezpieczeństwa to SIS (Safety-Instrumented System) – specjalnie zaprojektowane rozwiązanie scalające przyrządy i oprogramowanie, działające w bezpośredniej łączności z procesem produkcyjnym.
Grupa robocza ds. bezpieczeństwa systemów sterowania przy NERC i komitecie ochrony infrastruktury strategicznej, opracowała w 2006 roku dokument „Dziesięć najistotniejszych podatności przemysłowych systemów sterowania i sposoby ich łagodzenia” [34]. Wymienione tam podatności to: 1. Nieodpowiednia polityka, strategie, procedury i mentalność uŜytkowników
w zakresie bezpieczeństwa systemów sterowania5.
2. Projekt połączonych sieci (teleinformatycznych i przemysłowych) ze zbyt ogólnym ustaleniem poziomów ochrony.
3. MoŜliwość zdalnego dostępu do sieci sterowania bez odpowiednich procedur ochronnych.
4. Oddzielne mechanizmy audytów i administrowania w sieci sterowania i teleinformatycznej6.
5. Niewłaściwie zabezpieczona komunikacja bezprzewodowa.
6. Brak prostych narzędzi do wykrycia/raportowania nietypowych zachowań i działań w sieciach sterowania.
7. Korzystanie ze współdzielonych (powszechnie dostępnych) kanałów komunikacyjnych do sterowania i zarządzania siecią sterowania.
8. Instalowanie niepotrzebnego, niezwiązanego ze sterowaniem, oprogramowania (np. gier).
9. Niewłaściwie analizowane i nadzorowane oprogramowanie w sieciach sterowania.
10. Nieautoryzowane komendy i zmiany w sieci sterowania.
W ostatnich latach są prowadzone prace mające na celu zidentyfikowanie i klasyfikację podatności w ICS i moŜliwości ich minimalizowania. Wynikiem takich prac jest np. dokument [23]. Proponowane tam 21 działań to:
5
Pracownicy IT mają zwykle świadomość zagroŜeń dla przetwarzanej informacji, ale nie przenosi się ona na pracowników obsługujących bezpośrednio urządzenia systemowe na poziomie produkcyjnym.
6
ICS są wyposaŜone w funkcje generowania alarmów, ale dotyczą one zdarzeń pojawiających się w procesie produkcyjnym (np. brak produktu na taśmie produkcyjnej) a nie zdarzeń związanych np. z brakiem integralności informacji sterującej.
1. Zidentyfikowanie wszystkich połączeń do sieci SCADA. 2. Zamknięcie niepotrzebnych połączeń do sieci SCADA.
3. Ocena i wzmocnienie odporności na zagroŜenia pozostałych połączeń do sieci SCADA.
4. „Utwardzenie” sieci SCADA przez usunięcie lub zabronienie niepotrzebnych usług.
5. Ograniczenie zaufania do ochrony systemu na bazie protokołów firmowych. 6. Wykorzystanie funkcji bezpieczeństwa dostarczanych wraz z urządzeniami
oraz przez dostawców systemu.
7. Wprowadzenie silnej kontroli nad wszystkimi środkami uŜywanymi jako dodatkowe wejścia do systemu (tzw. backdoor).
8. Zainstalowanie systemów wykrywania intruzów (zewnętrznych i wewnętrznych) i ustanowienie monitorowania incydentów w trybie ciągłym.
9. Wykonywanie audytów technicznych sieci i urządzeń SCADA (oraz innych dołączonych sieci) pod kątem bezpieczeństwa.
10. Przeprowadzenie oceny bezpieczeństwa fizycznego oraz oceny zabezpieczeń wszystkich zdalnych punktów podłączonych do sieci SCADA. 11. Powołanie zespołu „Red Team” dla sieci SCADA, mającego za zadanie
zidentyfikowanie i ocenę moŜliwych scenariuszy ataków.
Następujące przedsięwzięcia dotyczą działań zarządczych, mających na celu ustanowienia efektywnego programu „cyberbezpieczeństwa”:
12. Jasne zdefiniowanie w zakresie bezpieczeństwa ról, odpowiedzialności i uprawnień dla menedŜerów, administratorów systemowych i uŜytkowników.
13. Udokumentowanie architektury systemu i zidentyfikowanie systemów pełniących kluczowe funkcje lub przetwarzających/zawierających wraŜliwe informacje, które wymagają dodatkowego poziomu ochrony.
14. Ustanowienie rygorystycznego, ciągłego procesu zarządzania ryzykiem. 15. Ustanowienie strategii ochrony sieci z wykorzystaniem zasady „ochrony
w głąb”.
16. Jasne zdefiniowanie wymagań w zakresie „cyberbezpieczeństwa”. 17. Ustanowienie efektywnego procesu zarządzania konfiguracją
18. Wprowadzenie rutynowego procesu samooceny (w zakresie ryzyka/bezpieczeństwa).
19. Opracowanie i wdroŜenie planu odtwarzania systemu i wykonywania kopii bezpieczeństwa systemu.
20. Określenie przez wyŜsze kierownictwo oczekiwań, co do zasad bezpieczeństwa i rozliczanie ich przestrzegania.
21. Ustanowienie polityki (bezpieczeństwa) i przeprowadzanie treningów w celu zminimalizowania prawdopodobieństwa, Ŝe personel przypadkowo ujawni wraŜliwe informacje odnoszące się do projektu systemu SCADA, realizowanych w nim operacji lub przyjętych zasad bezpieczeństwa.
Zainteresowany czytelnik w podanym materiale źródłowym znajdzie rozwinięcie kaŜdego z ww. punktów.
6. Zalecenia NIST
Konsekwencje wynikające z łączenia przemysłowych sieci sterowania z biurowymi sieciami teleinformatycznymi oraz wykorzystanie Internetu jako medium do przesyłania informacji w ramach sieci SCADA, zostały dostrzeŜone takŜe przez organizacje takie jak NIST. Efektem jest opublikowanie we wrześniu 2007 roku rekomendacji NIST Special Publication 800-82 (SECOND PUBLIC DRAFT): Guide to Industrial Control Systems (ICS) Security [26].
Najistotniejszym rozdziałem w tej publikacji jest rozdział 6, w którym zawarto zalecenia jak zastosować do ICS organizacyjne, operacyjne i techniczne przedsięwzięcia z zakresu bezpieczeństwa, opisane w NIST Special Publication 800-53: Recommended Security Controls for Federal Information Systems [27].
W [27] jest wyspecyfikowanych 17 obszarów działań (nazywanych klasami). W kaŜdej klasie są podane zabezpieczenia niezbędne, zdaniem autorów rekomendacji, do osiągnięcia określonego poziomu ochrony (niski, średni, wysoki). W [24] dodatkowo klasy pogrupowano w grupy zabezpieczeń, związanych z przedsięwzięciami: organizacyjnymi (management controls), operacyjnymi (operational controls) i technicznymi (technical controls). Zbiorcze zestawienie 168 zabezpieczeń przedstawia się następująco7:
Management controls (29) 1. Risk Assessment (RA - 5) 2. Planning (PL - 6)
3. System and Services Acquisition (SA - 11)
4. Certification, Accreditation, and Security Assessments (CA - 7) Operational controls (80)
7
Symbol w nawiasie jest identyfikatorem klasy, liczba oznacza ilość zabezpieczeń wyspecyfikowanych w [27] dla konkretnej klasy.
5. Personnel Security (PS - 8)
6. Physical and Environmental Protection (PE - 19) 7. Contingency Planning (CP - 10)
8. Configuration Management (CM - 7) 9. Maintenance (MA - 6)
10. System and Information Integrity (SI - 12) 11. Media Protection (MP - 6)
12. Incident Response (IR - 7) 13. Awareness and Training (AT - 5) Technical controls (59)
14. Identification and Authentication (IA - 7) 15. Access Control (AC - 20)
16. Audit and Accountability (AU - 11)
17. System and Communications Protection (SC - 21)
6. Podsumowanie
Z przedstawionych rozwaŜań wynika, Ŝe zagadnienia ochrony informacji w łączonych sieciach teleinformatycznych i przemysłowych są i będą w najbliŜszym czasie intensywnie badane i normowane we wszystkich zaawansowanych technologicznie państwach. W ten nurt wpisują się takŜe prace zainicjowane w ostatnim czasie w Instytucie Teleinformatyki i Automatyki WAT m.in. w ramach grantu KBN: „Techniki diagnostyki systemowej w ocenie i poprawianiu stanu bezpieczeństwa sieci teleinformatycznych i mikroprocesorowych” oraz pracy, której wyniki opisano w [3]. Cząstkowymi celami tych przedsięwzięć są:
– Identyfikacja i analiza podstawowych róŜnic pomiędzy sieciami i systemami teleinformatycznymi a sieciami i systemami przemysłowymi (sieciami mikroprocesorowymi i sieciami SCADA) z perspektywy wymagań na bezpieczeństwo.
– Identyfikacja i analiza podstawowych róŜnic pomiędzy znanymi sposobami oceny stanu bezpieczeństwa systemów oraz sieci teleinformatycznych [8], [9], [13], [14] i sieci oraz systemów przemysłowych (mikroprocesorowych i SCADA), w tym identyfikacja wymagań prawnych, standardów i unormowań w tym zakresie [2], [12], [17], [18], [19], [24].
– Rozwinięcie podstaw teoretycznych metod diagnostyki systemowej sieci teleinformatycznych oraz sieci mikroprocesorowych, ich praktyczna
weryfikacja oraz zaproponowanie jednolitej (dla obu typów sieci) metody oceny stanu bezpieczeństwa.
Zakłada się, Ŝe realizacja ww. prac pozwoli na zwiększenie efektywności wykorzystania metod diagnostyki systemowej oraz ich integrację z technikami diagnozowania oraz oceny stanu bezpieczeństwa.
Zakłada się teŜ, jako jedno z dalszych zadań, włączenie uzyskanych wyników do metod oceny stanu bezpieczeństwa sieci teleinformatycznych połączonych z systemami przemysłowymi, w szczególności do zadań pozyskiwania tzw. dowodów audytowych w ramach audytów bezpieczeństwa.
Inne istotne zadanie badawcze, które planowane są do realizacji równolegle z pracami prowadzonymi w ramach ww. projektu badawczego, to: – opracowanie metodyki identyfikacji zagroŜeń występujących dla aplikacji
przemysłowej (pochodzących od maszyn, urządzeń i osób pracujących z tą aplikacją),
– opracowanie metodyki ich ograniczenia (rozwaŜa się zastosowanie zaleceń Common Criteria [15], [16], [23]),
– opracowanie strategii działania systemu bezpieczeństwa i zapisanie w postaci algorytmu funkcjonowania takiego systemu.
Literatura:
[1] BRAMS M.,WEISS J., Bellingham, Washington, Control System Cyber Security CaseStudy, The MITRE Corporation. 2007.
http://www.csrc.nist.gov/groups/SMA/fisma/ics/documents/papers/Bellingham-Case-Study-briefing.pdf.
[2] CANN O., Staying on Track, In: Business standards. Pp.16-19. February 2007. [3] CHUDZIKIEWICZ J.,SULEJ W., Diagnozowanie elementów sieci przemysłowych,
Biuletyn IAiR Nr 25, WAT, 2008.
[4] DUGGAN D., Penetration Testing of Industrial Control Systems, Report SAND2005-2846P, Sandia National Laboratories, 2005,
http://www.sandia.gov/scada/documents/sand_2005_2846p.pdf.
[5] FALCO J., et al., IT Security for Industrial Control Systems, NIST IR 6859, 2003,
http://www.isd.mel.nist.gov/documents/falco/ITSecurityProcess.pdf.
[6] HUSSONG W.A.JR., Ach, więc jesteś nowym BCP managerem?, Disaster Recovery Journal. http://www.drj.com
[7] KEENEY M., et al., Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, United States Secret Service and Carnegie Mellon Software Institute, 2005, http://www.cert.org/archive/pdf/insidercross051105.pdf
[8] KOŚLA R., Ochrona infrastruktury krytycznej w Polsce – aktualny stan prac, Referat wygłoszony na konferencji SECURE 2002, Warszawa.
[9] LIDERMAN K., Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa, 2008.
[10] LIDERMAN K. (red), Bezpieczeństwo teleinformatyczne, Problemy formalne i techniczne, WAT, Warszawa, 2006.
[11] LIDERMAN K., Zieliński Z., Ochrona informacji w połączonych sieciach przemysłowych i teleinformatycznych, Referat na konferencji SCR, 2008.
[12] RINALDI, et al., Identifying, Understanding, and Analyzing Critical Infrastructure Interdependencies, IEEE Control Systems Magazine, 2001,
http://www.ce.cmu.edu/~hsm/im2004/readings/CII-Rinaldi.pdf.
[13] śURAKOWSKI Z., Systemy komputerowe w zastosowaniach związanych z bezpieczeństwem, Str.20-28. W: Informatyka, nr 3, 1995.
[14] IEC 61508: Functional Safety: Safety-Related Systems.
[15] PN-ISO/IEC-17799:2005 Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji.
[16] PN-ISO/IEC 27001:2007: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania.
[17] PN-ISO/IEC 15408-1:2002: Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych - Część 1: Wprowadzenie i model ogólny.
[18] PN-ISO/IEC 15408-3:2002: Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych - Część 3: Wymagania uzasadnienia zaufania do zabezpieczeń.
[19] PN-IEC 62198:2005: Zarządzanie ryzykiem przedsięwzięcia - Wytyczne stosowania.
[20] BS 25999-1: 2006: Business continuity management. Code of practice. [21] BS 25999-2: 2007: Specification for business continuity management.
[22] GAO-04-354, Critical Infrastructure Protection: Challenges and Efforts to Secure Control Systems, U.S. GAO, 2004, http://www.gao.gov/new.items/d04354.pdf. [23] 21 Steps to Improve Cyber Security of SCADA Networks, Office of Energy
Assurance, U.S. Department of Energy,
http://www.oe.netl.doe.gov/docs/prepare/21stepsbooklet.pdf.
[24] NISCC Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks, National Infrastructure Security Coordination Centre, London, 2005, http://www.cpni.gov.uk/docs/re-20050223-00157.pdf.
[25] System Protection Profile – Industrial Control Systems (SPP-ICS), NIST Internal Report, http://www.isd.mel.nist.gov/projects/processcontrol/SPP-ICSv1.0.pdf.
[26] NIST Special Publication 800-82 (SECOND PUBLIC DRAFT), Guide to Industrial Control Systems (ICS) Security, September 2007.
[27] NIST Special Publication 800-53, Recommended Security Controls for Federal Information Systems, March 2006.
[28] Raport firmy Symantec, Opis luk w zabezpieczeniach systemu SCADA, Symantec Enterprise Security, 2004.
[29] Raport firmy Symantec, Zagadnienia bezpieczeństwa informacji w branŜy energetycznej, Symantec Enterprise Security, 2004.
[30] SCADA and Control Systems Procurement Project
http://www.cscic.state.ny.us/msisac/scada.
[31] USTAWA z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym(Dz. U. z dn. 21.05.07).
[32] KOMISJA WSPÓLNOT EUROPEJSKICH Bruksela, dnia 12.12.2006 KOM(2006) 786 wersja ostateczna, komunikat komisji w sprawie europejskiego programu ochrony infrastruktury krytycznej.
[33] DECYZJA RADY UNII EUROPEJSKIEJ (Dz.U.UE.L.07.58.1 z dnia 12 lutego 2007 r). ustanawiająca na lata 2007-2013, jako część ogólnego programu w sprawie bezpieczeństwa i ochrony wolności, szczegółowy program „Zapobieganie, gotowość i zarządzanie skutkami terroryzmu i innymi rodzajami ryzyka dla bezpieczeństwa”.
[34] Top 10 vulnerabilities of control systems and their associated mitigations – 2007, NERC, 2006, www.nerc.com .
Information and object safety in connected industrial and
office network – problem review
ABSTRACT: The paper discusses questions of information and object safety in connected industrial and office network. The main reference document is NIST Special Publication 800-82 (SECOND PUBLIC DRAFT): Guide to Industrial Control Systems (ICS) Security.
KEYWORDS: safety, information security, Industrial Control System (ICS), Supervisory Control and Data Acquisition (SCADA), critical infrastructure.
