Bezpieczeństwo w energetyce – obserwacje praktyczne

Pojawienie się dyrektywy NIS (dyrektywa Parlamentu Europejskiego i Rady 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) oraz wejście w życie w Polsce powiązanej ustawy o krajowym systemie cyberbezpieczeństwa, skłoniło jednostki uznane za operatorów usług kluczowych, szczególnie z branży ciepłowniczej i energetycznej, do przeglądu stosowanych systemów i procedur bezpieczeństwa.

Wykonane w tym kontekście audyty zgodności z wymogami ustawy, korespondujących norm oraz dobrymi praktykami pozwoliły zdiagnozować szczególnie interesujące, newralgiczne i powtarzające się problemy. Ich zidentyfikowanie i rozwiązanie, w większości przypadków, pozwoliłoby znacznie podnieść bezpieczeństwo tych organizacji w zakresie znacznie wykraczającym poza zagadnienia wyłącznie cybernetyczne.

Możemy je podzielić na trzy obszary:

• bezpieczeństwo fizyczne,
• bezpieczeństwo środowiskowe,
• bezpieczeństwo sieci i okablowania.

Bezpieczeństwo fizyczne

Piętą achillesową większości wizytowanych obiektów należących do firm ciepłowniczych i energetycznych są zagadnienia bezpieczeństwa fizycznego. Dotyczą one nie tylko aspektów dotykających warstwy IT/OT, ale często po prostu dostępu do obszarów produkcyjnych. Przy aktualnym stanie cyfryzacji przeprowadzenie ataku zdalnego okazuje się względnie kosztowne i niedające pewności powodzenia. Natomiast bezpośrednia infiltracja licznych obiektów przemysłowych w polskim ciepłownictwie i energetyce zazwyczaj umożliwia łatwy, niemal nieograniczony dostęp do szaf sterujących procesami produkcji i dystrybucji. Przy minimalnej wiedzy, którą można pozyskać chociażby od byłych pracowników, możliwe jest zakłócenie działania przedsiębiorstwa oraz jego klientów, a w skrajnych przypadkach nawet trwałe unieruchomienie na kilka dni.

Wskazane jest zatem pilne przeprowadzenie inwentaryzacji posiadanych obiektów przemysłowych i wykonanie dla nich procesu analizy ryzyka z uwzględnieniem możliwych ataków bezpośrednich, nawet przypadkowych, wykonywanych przez aktorów oportunistycznych. W przypadku braku możliwości zapewnienia stałej obecności personelu wewnętrznego lub wynajętych pracowników ochrony, wskazane może być zainstalowanie środków teletechnicznego monitoringu istotnych obiektów w postaci systemów sygnalizacji włamania i napadu lub wręcz monitoringu CCTV.

Nawet w obiektach obsadzonych przez personel firmy 24 godz. na dobę, nie można zignorować ich kubatury oraz panującego w nich hałasu. Zwykle wielkość tych budynków pozwala na swobodne poruszanie się po nich, bez ryzyka wykrycia, pominąwszy ryzyko przypadkowego natknięcia się na któregoś z pracowników.

W wielu przypadkach sprawdzane obiekty nie były wyposażone w żadne środki ochrony, poza najprostszymi, mechanicznymi, pozwalając często na ich swobodną penetrację, szczególnie poza godzinami pracy. W innych miejscach zainstalowane środki umiejscowione były nieprawidłowo lub w sposób niedający pełnego pokrycia chronionych obszarów.

Zdarzały się też obiekty umiejscowione w na terenie większych parków przemysłowych, polegające w całości na ochronie zewnętrznej (obwodowej) danej lokalizacji, z minimalnymi lub żadnymi (brak nawet zamków na drzwiach) środkami ochrony obiektów produkcyjnych. Obecność wielu innych podmiotów na obszarze takich parków oraz fakt częstych, zdiagnozowanych luk w ochronie zewnętrznej, powinien wymusić poważne przemyślenie zastosowanych środków bezpieczeństwa.

W tym zakresie bardzo wskazane jest powołanie dedykowanych osób w organizacjach, które skupiłyby odpowiedzialność za budowę i utrzymanie wymaganego standardu bezpieczeństwa – oficerów bezpieczeństwa korporacji. Brak takich dedykowanych stanowisk powoduje, że zagadnieniami w tym obszarze zajmują się wszyscy, a w efekcie – nie zajmuje się nimi nikt.

Bezpieczeństwo środowiskowe

W branży energetycznej obszary produkcyjne często są związane z nieprzyjaznymi warunkami środowiskowymi, związanymi z dużymi skokami temperatury lub stałą, wysoką temperaturą, wysoką wilgotnością lub wpływem ciągłych drgań, w tym akustycznych. W wielu miejscach stwierdziliśmy wykorzystywanie urządzeń przeznaczonych na rynek konsumencki, rozwiązań OTS, które nigdy nie były testowane ani certyfikowane do użycia w szkodliwym środowisku pracy. Większość takich rozwiązań również nie jest odpowiednio chroniona przed atakiem cybernetycznym, często nie pozwala też na przeprowadzenie konfiguracji, która by zapewniła taką ochronę. Urządzenia te nie posiadają też czujników pozwalających na zdalne śledzenie parametrów pracy, co pozwoliłoby podjąć działania naprawcze w razie wystąpienia sytuacji kryzysowej.

W przypadku wszelkich instalowanych urządzeń proces zarządzania zmianą w organizacji powinien obejmować analizę dostosowania wybieranych rozwiązań do środowisk, w których docelowo będą one funkcjonować, oraz to, czy ich budowa oraz konfiguracja są adekwatne do podatności, które wiążą się z pracą w takich warunkach.

Istniejące pracujące urządzenia powinny być zinwentaryzowane i poddane analizie ryzyka z uwzględnieniem odpowiednich dla miejsca pracy podatności środowiskowych.

Osobnym zagadnieniem bywa brak jakiejkolwiek kontroli środowiska w obszarach ewidentnie wymagających takich mechanizmów kontroli. Wielokrotnie można spotkać się z akumulatorowniami pozbawionymi sygnalizacji przeciwpożarowej lub wentylacji usuwającej potencjalnie szkodliwe gazy. Serwerownie nie posiadają wystarczającej liczby agregatów chłodniczych, są pozbawione systemów sygnalizacji p.poż. i gaśniczych, węzły komunikacyjne są zlokalizowane w miejscach niepozwalających na jakąkolwiek wentylację.

Obszary tego typu powinny być relokowane do odpowiednich pomieszczeń, w razie potrzeb wyposażane w sygnalizację powiadamiającą odpowiednią komórkę reagowania na incydenty, a w przypadku braku możliwości odpowiedniego zabezpieczenia, powinny mieć zapewniony zasób redundantny, który przejmie pracę na wypadek awarii podstawowej instalacji.

Bezpieczeństwo sieci i okablowania

W branży energetycznej w Polsce wiele organizacji znajduje się w krytycznym momencie transferu do tzw. Industrie 4.0. Autonomiczne obiekty, często posiadające wyłącznie sterowanie ręczne i wymagające bezpośredniej interwencji człowieka, są usieciawiane i stopniowo coraz szerzej zdalnie monitorowane lub wręcz zarządzane. Nierzadko z użyciem wsparcia firm trzecich. Często odbywa się to jednak w trybie ad hoc, bez stosownego zarządzania zmianą, bez realizacji odpowiednich SLA z podwykonawcami i bez wprowadzania globalnie obowiązujących w organizacji polityk bezpieczeństwa. Gorzej, niektóre zmiany realizowane są z kompletnym pominięciem działów IT, które w takiej sytuacji nie są w stanie nawet wypowiedzieć się na temat potencjalnych ryzyk związanych z implementacją nowych rozwiązań. W wielu organizacjach brakuje też kompetencji, by tę metamorfozę przeprowadzić w sposób bezpieczny. Często nowymi zadaniami obciąża się pracowników z obszaru IT, którzy nie mają dość czasu i zasobów, aby proces ten realizować zgodnie z dobrymi praktykami.

Podłączanie istniejących rozwiązań do Internetu powinno się wiązać z zaplanowaną strategią. Taką strategię powinien stworzyć oficer bezpieczeństwa, wsparty przez architekta sieci oraz potencjalnie programistę-automatyka, którzy będą w stanie zaprojektować bezpieczne środowisko, utwardzić dotychczas wykorzystywane rozwiązania lub zbudują strefy bezpieczeństwa wokół urządzeń, których nie da się od ręki wymienić i odpowiednio zabezpieczyć.

Organizacje powinny mieć wdrożone globalne polityki bezpieczeństwa, w tym minimalne standardy, których realizacja będzie wymuszana umowami NDA i SLA z podwykonawcami. Działy IT powinny świadczyć usługi na rzecz biznesu, w oparciu o spójną politykę oraz przeprowadzoną analizę ryzyka, natomiast biznes musi zapewnić działom IT wsparcie niezbędne do realizacji tych usług na poziomie zgodnym z przyjętym planem postępowania z ryzykiem.

Konieczne też jest pełne wsparcie kierownictwa w ukróceniu wszelkich działań samowolnych, wykraczających poza obowiązującą politykę i procedurę zarządzania zmianą. Nie wolno dopuszczać do sytuacji, w których poza wiedzą IT do istniejącej infrastruktury wprowadzane są modyfikacje, tworzące niebezpieczne mosty pomiędzy Internetem lub siecią administracyjno-biurową, a bezpieczną siecią przemysłową, używaną do zarządzania obiektami produkcyjnymi. Samowolne uruchamianie nawet takich zasobów jak zdalnie sterowane zawory administrowane z poziomu aplikacji instalowanej na telefonie z OS Android powinno być niezwłocznie identyfikowane przez dedykowaną strukturę odpowiedzialną za bezpieczeństwo, traktowane jako rażące naruszenie i incydent bezpieczeństwa, objęte działaniami korygującymi i naprawczym, a także odpowiednią akcją dyscyplinarną.

Podsumowanie

Istniejący stan bezpieczeństwa, w kontekście szerszym niż tylko cybernetyczne, związane z ustawą o krajowym systemie cyberbezpieczeństwa, wskazuje na kumulowane latami zaniedbania. Impuls wywołany ustawą pozwala takie luki i problemy wykryć i powinien skłaniać do ich naprawienia. W wielu przypadkach jedyną przyczyną braku incydentów skutkujących poważnymi zaburzeniami produkcji i dystrybucji jest ignorancja otoczenia i nieświadomość istnienia poważnych niedociągnięć, szczególnie w obszarze bezpieczeństwa fizycznego.