Industrijska okolja že dolgo niso več priključena samo na energetska omrežja. Prepredena so s protokoli, operacijskimi sistemi in drugo programsko opremo. Vse to je zadnja leta postalo tarča sodobnih nepridipravov, ki z napadi povzročajo obsežno škodo.

 

Bil je februar 2022. V japonskem podjetju Kojima Industries, dobavitelju delov in komponent za Toyoto Motors, je proizvodnja nenadoma zastala. Napadalci so z izsiljevalskim virusom (ransomware) vdrli v industrijske sisteme podjetja in ohromili glavne sisteme za upravljanje proizvodnje.

 

Incident je avtomobilskega proizvajalca prisilil, da je za nekaj več kot 24 ur ustavil obratovanje na 28 proizvodnih linijah v 14 tovarnah na Japonskem. Posledice napada – ki je prizadel tudi družbi Hino in Daihatsu Motors – so bile velikanske. Iz Toyote so tedaj sporočili, da so morali začasno zmanjšati proizvodnjo za pet odstotkov, kar pomeni tretjino njihove svetovne proizvodnje.

 

Operativne tehnologije na muhi

Ko govorimo o kibernetski varnosti v industrijskih okoljih, predvsem o varnosti tako imenovanih ICS (Industrial Control Systems), v katerih se uporabljajo operativne tehnologije (OT), precej hitro naletimo na slovensko podjetje Smart Com. Desetletja praks s področja sistemov OT so pred nedavnim javnosti razgrnili na strokovni konferenci, kjer so med drugim predstavili aktualne izzive, trende in ranljivosti, s katerimi se spopadajo energetski sektor, proizvodnja, vodovodni sistemi in celo podatkovni centri.

 

Kot je poudaril Peter Ceferin, direktor tehnike v Smart Comu, pomenijo sistemi ICS temelj sodobnih industrijskih procesov. Medtem ko klasični IT-sistemi skrbijo za upravljanje podatkov, sistemi ICS krmilijo fizične procese, kar pomeni, da lahko napadi nanje vodijo do dejanske škode – govorimo o prekinitvah električne oskrbe, ustavitvi vodovodnih sistemov ali celostnem onesposobljenju proizvodnje.

 

»Tarča hekerskih napadov so postali tudi podatkovni centri, kjer hekerji ne napadajo več le IT-infrastrukture, ampak ciljno napadajo napajalne sisteme, hlajenje in okolijske nadzorne sisteme, ki jih pogosto vodi OT-tehnologija, kot so sistemi SCADA,« je opozoril Ceferin.

 

Zastarela programska oprema – sodobna grožnja

Velik del ranljivosti izhaja iz zastarele programske opreme in protokolov, ki so bili razviti pred desetletji, brez pravega zavedanja o prihodnjih kibernetskih tveganjih. Protokoli, kot so Modbus, DNP3 ali IEC 61850, so pogosto nešifrirani in brez resnih mehanizmov preverjanja istovetnosti.

 

»V industriji še vedno pogosto najdemo operacijska sistema Windows XP in Windows 7, ki že leta ne prejemata več varnostnih popravkov,« je poudaril Ceferin in dodal, da se število znanih ranljivosti v ICS-okoljih povečuje za približno deset odstotkov na leto. Leta 2024 je bilo tako evidentiranih kar 424 novih ranljivosti v primerjavi s 381 leto prej v opremi različnih proizvajalcev OT-sistemov.

 

Napredni napadalci in potreba po vidljivosti

Med grožnjami izstopajo visoko usposobljene skupine, tako imenovane Threat Actor Groups, ki jih pogosto podpirajo države. Leta 2024 je bilo aktivnih devet skupin, specializiranih za sisteme ICS. Njihovi cilji niso več le finančni, ampak želijo povzročati tudi sabotaže in ogrožati javno varnost.

 

Zato je za varnost takih sistemov glavno, da pridobimo vidljivost nad celotnim omrežjem ICS. Brez tega namreč obramba ni mogoča. »Šele globoka analiza paketov (Deep packet inspection) in razumevanje protokolnih spremenljivk poleg vidljivosti nad različnimi napravami in komunikacije med njimi omogoča odkrivanje anomalij in potencialno škodljivih aktivnosti,« je poudaril Ceferin.

 

Posebnosti varnosti OT

V okolju OT varnostna triada zaupnost-integriteta-razpoložljivost velja v nasprotnem vrstnem redu kot v IT: glavna je razpoložljivost, saj morajo proizvodni procesi delovati neprekinjeno. Če ponazorimo: voda, elektrika, plin – vse to mora teči tudi ob morebitnem kibernetskem napadu.

 

Okolja ICS zato zahtevajo poseben pristop: poznati je treba OT-protokole, razumeti procese in znati vzpostaviti ravnotežje med IT- in OT-ukrepi. »Kombinirana znanja s področja omrežnih tehnologij, industrijske avtomatizacije in kibernetske varnosti so redka, a postajajo skrajno nujna,« je bil jasen Peter Ceferin.

 

Ukrepi: od statike do dinamike

Kaj ukreniti? Ukrepe je mogoče razdeliti na dva sklopa: statične, ki jih navadno uvedemo enkrat, kot prve, preventivne poteze. Sem sodijo konfiguracije, različne arhitekture, ki jih uporabimo, pa varnostne politike, kamor denimo sodita omrežna segmentacija in kontrola dostopa. Drugi del ukrepov so dinamični mehanizmi, ti se spreminjajo v času, konkretno pa gre za zaznave anomalij in kibernetskih incidentov pa denimo odzivne procese v tako imenovanih varnostno operativnih centrih.

 

Kaj podjetje s tem pridobi? Že omenjeno vidljivost, s katero bodo zaposleni v varnostnem oddelku lažje prepoznali opozorila na spremenjene cikle protokolnih spremenljivk, vnose škodljivih kod in ranljivosti naprav, povezanih v omrežje. Sogovornik je vse skupaj slikovito povzel s citatom Sun Tzu-ja, kitajskega generala, ki je napisal knjigo Umetnost vojne: »Če poznaš sovražnika, predvsem pa sebe, se ni treba bati rezultatov stoterih bitk.«

 

Znova: glavno je sodelovanje

Ker je strokovnjakov malo, znanja pa zahtevajo interdisciplinarnost, je za učinkovito obrambo pred kibernetskimi grožnjami v industriji nujno sodelovanje med podjetji, akademijo in javnimi institucijami. Predvsem pa je pomembno sodelovanje s podjetji, specializiranimi za informacijsko varnost, ali z drugimi besedami: »Zaupanje v sistem se ne gradi s požarnimi pregradami, ampak z razumevanjem procesov, ljudi in tehnologij, ki jih povezujejo.«

 

Članek je bil objavljen 28. aprila 2025 v na portalu Financ Kibernetska varnost.