Czy rozumiemy różnicę pomiędzy IoT a OT ?
Zanim przejdziemy do analizy przypadku, warto przyjrzeć się zasadniczej różnicy pomiędzy IoT (Internet of Things) a OT (Operational Technology).
IoT określa dowolny „przedmiot”, który jest bezpośrednio podłączony do sieci Internet poprzez operatora telekomunikacyjnego.
OT określa systemy dziedzinowe, które odpowiadają za zarządzanie procesami technologicznymi czy systemami klasy AKPiA i innymi systemami odpowiedzialnymi za działanie lub bezpośrednie wspieranie procesów technologicznych.
Komponenty w systemach OT nie są i nie powinny być podłączane bezpośrednio do sieci Internet, powinny być izolowane i ściśle chronione.
Zaczynając od wspomnianych „przedmiotów” podłączonych bezpośrednio do sieci Internet, w codziennym życiu to może być nasza lodówka, kubek do kawy, telewizor, samochód itp. Sektor przemysłowy również sięgnął do IoT w rozproszonych systemach telemetrycznych, gdyż z założenia, urządzenia te nie mają przesyłać dużych ilości danych, tyle że może ich być bardzo dużo w ramach danego układu zarządzanego.
Jeżeli takim pojedynczym układem jest np. nasz dom, tych przedmiotów nie będzie dużo – kilka, może kilkanaście. Uznaje się, że świat wkracza w erę stałego podłączenia czy wręcz stałego zintegrowania z siecią komunikacji i wymiany danych. Stąd, patrząc na globalną ilość takich przedmiotów, nawet przy niewielkich, jednostkowo transmitowanych danych, z punktu widzenia większego obszaru geograficznego, możemy już mówić o dużych obciążeniach transmisyjnych.
Należy pamiętać, że im mniejsza ilość danych jednostkowych, tym większa proporcjonalnie jest ilość danych niezbędnych do przekazania paczki danych z punktu A do punktu B. Urządzenia pośredniczące muszą się dowiedzieć, gdzie mają przekazać daną paczkę danych. Całość tej sytuacji daje nam nie tylko efekt „Big Data”, ale buduje idealne środowisko do nadużyć czy ukrywania wszystkich faz ataku.
IoT w przemyśle wygoda czy zagrożenie ?
Gdyby przemysł stosował rozwiązania IoT jedynie do odczytu w systemach telemetrycznych, nie dotykalibyśmy tego tematu jako jednego z istotnych zagadnień bezpieczeństwa. Niestety coraz częściej poprzez rozwiązania IoT np. w systemach branż wody, gazu, ciepła, energii elektrycznej, przy użyciu standardów 3GPP (np. Narrowband Internet of things — NB-IoT) i innych, nie tylko odczytujemy ale również z powodzeniem sterujemy urządzeniami.
Dodatkowo, należy zauważyć iż wiele z urządzeń stosowanych w strukturach brzegowych, może i pracuje w układzie hybrydowym, tj. przy wykorzystaniu zarówno transmisji w ramach np. 3GPP jak i LTE, co otwiera kolejne potencjalne wektory ataku.
Dodajmy do tego brak implementacji standardów bezpieczeństwa w architekturze sieci brzegowych (strefy DZ) i mamy pięknie przygotowywane środowiska, nie tylko do wprowadzania anomalii, ale otwarte „wrota” do wszelkich nadużyć ze skutecznymi atakami włącznie.
Nie potrzeba tu wybitnej fantazji, aby wyobrazić sobie zespoły namierzające systemy w sieciach IoT i systemy przy wadliwych, pod kątem bezpieczeństwa implementacjach, które już od dawna przygotowują się do zsynchronizowanego ataku, powodującego przede wszystkim destabilizację, celem uzyskania efektu zastraszenia, podstawy do skutecznego szantażu, czy faktycznego wyłączania poszczególnych systemów na poziomie regionu.
Dla przykładu, jeżeli wytworzona energia elektryczna nie zostanie odebrana, nastąpi przeciążenie sieci. Jest to zjawisko bardzo groźne i porównywalne z niedoborem energii w systemie dystrybucji. Jeżeli przygotujemy szeroki atak na systemy IoT, mający na celu odcięcie odbiorców energii poprzez przesterowanie strony odbiorowej, nadmiar energii w systemie będzie powodował odłączenia poszczególnych elektrowni, elektrociepłowni, farm fotowoltaicznych, itd.
Ten czarny scenariusz nadchodzi, wraz z coraz bardziej niefrasobliwym przechodzeniem na technologie, których poprawna pod kątem bezpieczeństwa implementacja, nie jest dobrze znana zespołom wdrożeniowym i w efekcie, poszczególne instalacje nie są zabezpieczone przed tego rodzaju atakiem.
Niestety od ok. 20 lat w Polsce obserwujemy narastający problem braku wiedzy i chęci do poprawnej implementacji architektury sieciowej dla technologii transmisyjnych. Nie dziwi więc fakt, mimo iż IoT pierwszy raz został nazwany przez Kevina Ashtona w roku 1999, pierwsze podłączenie tostera do Internetu przez Johna Romkey’a miało miejsce w roku 1990, a AIM od ok. 35 lat standaryzuje i buduje świadomość w tych dziedzinach, że nadal tylko garstka fachowców jest w stanie bezpiecznie implementować te rozwiązania.
Czy klient końcowy w kontekście IoT może mieć wpływ na przemysł?
Dotykając również klienta końcowego, zauważmy jak my — końcowi użytkownicy, możemy w ramach IoT wpłynąć na przemysł. Spójrzmy np. na prosumentów branży energetycznej, których w Polsce pomimo braku sprzyjających prawnie warunków nadal przybywa.
Wielu, jak nie prawie wszyscy, korzystamy z różnych systemów falowników i inwerterów często azjatyckiej produkcji. Większość z nich wymaga do sterowania założenia konta w tzw. chmurze, czyli tak naprawdę w środowisku producenta danego falownika. Zobaczmy, ile danych oraz samych możliwości sterowania wraz z naszymi poświadczeniami, przekazujemy do obcego Państwa i obcej firmy, z którymi nie zawieramy nawet umów, o papierowej wartości cyberbezpieczeństwa.
Wszystkie te poświadczenia (m.in. login, hasło) mogą być globalnie wykorzystane (pod przykrywką włamania „hackerskiego” i wycieku danych) do szeroko-skalowalnego ataku na dany region, a nie tylko na pojedynczy kraj. Wystarczy synchroniczny atak na pojedyncze instalacje, odłączanie i podłączanie ich od i do sieci w tym samym momencie, w najbardziej energochłonnym czasie oraz najdogodniejszych warunkach pogodowych. Wygenerowane w ten sposób zaburzenie w sieci dystrybucyjnej mogło by być bardzo istotnym zagadnieniem na poziomie całego kraju.
Systemy wykorzystujące rozwiązania IoT, to nie tylko wygoda, elastyczność, skalowalność i adaptacyjność, to dostęp do naszych najważniejszych zasobów, bez których nie możemy normalnie funkcjonować – woda, energia elektryczna, ciepło, chemia. Zachęcamy do zwiększenia uwagi na cyberbezpieczeństwo, ponieważ bez należytego podejścia, narażamy nie tylko siebie, ale cały kraj, na poważne zagrożenie brakiem ciągłości działania.
Rok 2024 – kolejnymi miesiącami budowy idealnego środowiska dla skutecznych ataków?
W roku 2024 znacząco zwiększyła się ilość instalacji inteligentnych liczników, inwerterów i innych urządzeń podłączanych do sieci pracujących zgodnie ze standardami IoT lub pracującymi w układach hybrydowych z GSM i LTE. W skali zagrożeń, podłączenie telemetryczne wprowadzane bezpośrednio do systemów OT, to już inny kaliber.
Budowa nowych inwestycji w sektorze np. elektroenergetycznym pociąga za sobą konieczność podłączenia systemów generacyjnych do sieci dystrybucyjnej, a co za tym idzie, układów telemetrii.
Zdecydowanie zauważamy, że każde takie wdrożenie od strony zespołów wdrożeniowych do dnia dzisiejszego, a mamy 17 listopada 2024 roku (dzień pisania niniejszego artykułu) było projektowane i implementowane bez jakiejkolwiek refleksji na temat bezpieczeństwa, z wprowadzeniem pełnego, niekontrolowanego dostępu z sieci IoT czy struktur telemetrycznych, bezpośrednio do systemów dziedzinowych OT w danej instalacji generacyjnej.
W przypadku, gdy staramy się wykonać taką instalację poprawnie lub staramy się wpłynąć na wykonawców, aby również poprawnie ją wykonywali, pojawia się niesamowity, siłowy opór, bez jakiekolwiek zastanowienia się nad zasadnością wprowadzania właściwej architektury bezpieczeństwa, zgodnej chociażby z generalnymi wytycznymi segmentacji wskazywanymi w IEC 62443.
Zarówno dystrybucja, firmy wdrożeniowe, wykonawcy, inwestorzy, czy nawet zespoły ds. cyberbezpieczeństwa, nie zwracają należytej uwagi na prawidłowość budowania architektury w tych segmentach sieci komunikacyjnej. Walka z wiatrakami chyba wymaga spektakularnego krachu i ujawnienia jego przyczyn, aby skutecznie zwrócić uwagę na zagadnienia bezpieczeństwa, gdyż inaczej nadal będzie to jedynie walka nie tylko z wiatrakami, ale z realnym zagrożeniem, na które sami pracujemy.
To zaledwie kilka aspektów zagrożeń bezpieczeństwa, gdzie kolejne tylko czekają na zaopiekowanie. Nie traćmy więcej czasu na błędy i niedopatrzenia, gdyż ilość zagrożeń i ich skala zbliżają się do punktu krytycznego. Niech każdy zacznie od siebie, bo każda dobrze wykonana, nawet mała instalacja, poprawia poziom bezpieczeństwa i stopniowo buduje bezpieczeństwo kraju i całego regionu.
