Aby bylo možné vyvinout bezpečnostní strategie, je třeba znát rozdíl mezi průmyslovým a tradičním prostředím ICT. Technologie ochrany počítačových sítí vypracované V posledních dvaceti letech jsou samozřejmostí, ale systémy SCADA mají svoje specifika.

Pozadí systémů SCADA

Zda se jedná o elektřinu, ropu, plyn, vodu nebo odpady, kritické infrastruktury jsou ve vysoké míře závislé na elektrických, mechanických, hydraulických a jiných systémech. Ty jsou řízeny a kontrolovány speciálními počítačovými systémy – kontrolery a senzory. Kontrolery a senzory jsou zapojeny do řídicích systémů, které se nazývají SCADA (Supervisory Control and Data Acquisition) a průmyslové řídicí systémy (Industrial Control System, ICS). Systémy SCADA a ICS umožňují efektivní sběr a analýzu dat a napomáhají automatizovanému řízení výkonných komponent, například čerpadel, ventilů, relé apod. Sítě SCADA a ICS se budovaly a budují pro maximální spolehlivost a lze je v rámci kritické infrastruktury používat značně dlouho. Proto především starší systémy často neobsahují mechanismy chránící před neoprávněným přístupem nebo vložením škodlivého kódu.

Běžná prostředí, běžné slabiny. Speciální prostředí, speciální slabiny

Kontrolery SCADA jsou často proprietární a jsou to v podstatě malé počítače. Používají standardní počítačové prvky jako operační systémy, často Windows nebo Unix, softwarové aplikace, účty, hesla a komunikační protokoly. Často se v řídícím prostředí používají i běžné standardní pracovní stanice. Tyto jsou rovněž zdrojem slabin. Dalším problémem v souvislosti se systémy SCADA/ICS je, že pracují v prostředí, které je často fyzicky špatně dostupné, např. ve věžích, ropných plošinách nebo uvnitř průmyslových strojů. Často musí pracovat v podstatě bezvýpadkově. Kromě toho musí odolávat silným vlivům prostředí (teplota, vítr, žíraviny, vibrace) a používají nestandardní napájení a montážní postupy. Někdy se používají proprietární operační systémy, které nejsou nijak speciálně bezpečnostně vybaveny. Jejich software často není možné aktualizovat nebo záplatovat kvůli omezením v přístupu, nemožnosti odstavení nebo kvůli potřebě recertifikace a homologace po aktualizaci. Často se používají proprietární, zastaralé nebo speciální protokoly (např. komunikace po sériových linkách).

Obecně se předpokládá, že sítě SCADA a ICS jsou fyzicky odděleny od ICT sítě podniku. Některé organizace používají oddělené LAN, případně VLAN, jiné používají společnou síťovou infrastrukturu ale provoz SCADA je šifrovaný. Sítě SCADA ovšem často vyžadují určitou úroveň interkonektivity s ostatními sítěmi, zejména za účelem operativního vstupu třetích stran pro podporu systémů ze strany výrobců a dodavatelů služeb a rovněž pro poskytování monitorovacích a jiných výstupních dat směrem ven. Tyto rozdíly v ICT prostředí způsobují problémy: chybějící autentizace, šifrování nebo slabé ukládání hesel můžou vést k neoprávněnému přístupu. Nicméně většina sítí typu SCADA/ISC používá segmentaci a firewally a má tak určitou perimetrovou ochranu.

Možné vstupní body do průmyslových sítí

Útočníci hledají vždy alternativní cesty průniku, například otevřený port, vyvoláním operace zevnitř, která otevře komunikační kanál směrem ven apod. Typické jsou následující praktiky:

• zneužití vzdáleného přístupu, používaného k údržbě,
• prolomení existujícího kanálu mezi systémy SCADA/ICS a ostatními sítěmi organizace,
• navedení interního uživatele ke kliknutí na link URL v mailu na pracovní stanici, která komunikuje jak se sítí SCADA, tak s internetem,
• infikování notebooku nebo úložných médií v čase, kdy se nacházejí mimo sítí SCADA/ICS, a které pak můžou po opětovném připojení k síti SCADA infikovat interní systémy (např. při vyčítání dat nebo aktualizaci softwaru senzorů nebo kontrolérů),
• využití konfiguračních chyb bezpečnostních prvků nebo připojených systémů.

Jakmile hacker pronikne do sítě SCADA, má možnost posílat na systémy škodlivé příkazy. Může zastavit nebo modifikovat jejich činnost tak, aby zasáhl do určitých kritických procesů (např. otvírání/zavírání ventilů, změny otáček apod.). Nový projekt SHINE (SHodan INtelligence Extraction) Boba Radvanovského zjistil, že od dubna 2012 do letošního ledna bylo do internetu připojeno víc než milion zařízení typu SCADA. Polovina z toho byla od výrobců Allied-Telesys, Niagara, DIGI International, Intoto, Siemens, Lantronix, Moxa, EnergyICT a VXWorks. Nejpoužívanějšími systémy byly EnergyICT, Siemens a Moxa.

Jak chránit systémy kritické infrastruktury

U běžných síťových systémů vysoké důležitosti se obvykle používá testovacího prostředí, které je do maximální míry podobné prostředí provoznímu. Takovým způsobem je možné nasimulovat vyhledávání a identifikaci slabých míst a implementaci vhodných protiopatření.

Jak již bylo popsáno, systémy SCADA jsou v tomto ohledu odlišné. K tomu, aby bylo možné je chránit stejně efektivně, bylo by zapotřebí simulovat nejenom prostředí síťové, aplikační a bezpečnostní infrastruktury, ale i konkrétní hardware SCADA až po úroveň servomechanizmů a senzorů, ovládajících konkrétní výkonné a telemetrické prvky. Typickým představitelem takových prvků jsou HMI (Human-Machine Interface) systémy Simatic WinCC v kombinaci s řídicími systémy PCS 7 a Teleperm (od firmy Siemens).

Podniky používající zařízení typu SCADA tedy stojí před problémem, jak najít zranitelnosti a otestovat odolnost svých systémů. V moderní době nejenom hrozících, ale již reálně probíhajících kyberútoků je i v zájmu národních vlád zamezit nežádoucím dopadům na chod státu a život obyvatelstva. V srpnu letošního roku byl schválen Zákon o kybernetické bezpečnosti, který mezi jiným ukládá orgánům a povinným osobám zajistit organizační a technická bezpečnostní opatření pro informační a komunikační systémy kritické informační infrastruktury. Typicky se jedná o systémy typu SCADA, ale i bankovní, dopravní, telekomunikační a jiné infrastruktury. To znamená, že provozovatel takových systémů, aby splnil zákon, musí kromě jiného provádět hodnocení zranitelností v oblasti kybernetické bezpečnosti. Takový úkol samozřejmě nelze provádět na běžícím provozním prostředí. Proto se hodnocení zranitelností v testovacím prostředí většinou omezuje na síťovou a aplikační infrastrukturu a u informační infrastruktury SCADA se spoléhá na výrobce, případně na různé teoretické odhady. Rovněž testování procesů řízení bezpečnostních incidentů zůstává v obecné teoretické a „papírové“ rovině, což znemožňuje v reálně vzniklé situaci správně reagovat. Hlavním problémem tak zůstává nemožnost testování na přesné kopii všech systémů, a to zejména kvůli neúnosným nákladům.

Jak to dělají armády

Se stejnými problémy se potýkají státy v souvislosti se svými obrannými systémy. Např. NATO buduje vojenský kybernetický polygon u Tallinnu v Estonsku s nejmodernější kybernetickou laboratoří. V r. 2013 byl tento polygon úspěšně použit s reálným (částečně upraveným) malwarem zejména pro testování odolnosti operačních systémů. Estonská strana se od r. 2012 rovněž věnuje vývoji a testování malwaru, který infikuje armádní SCADA systémy. Tallinské CCDCoE (Cooperative Cyber Defence Centre of Excellence) se svým programem Locked Shields je v podstatě jediným střediskem pro testování kybernetické obrany v reálném čase. Letošní vojenské cvičení NATO Saber Strike 2014 bude rovněž zahrnovat simulaci kybernetické obrany.

Co mohou dělat ostatní

Možnosti testování kybernetické ochrany na skutečném hardwaru je pro nevojenská odvětví velmi náročným cílem. Zatím byla ve spolupráci s nově provozovaným vládním týmem CERT/CSIRT České republiky (Computer Emergency Response Team/Computer Security Incident Response Team) prováděná emulace útoků na ostravském superpočítači Anselm (VŠB-TU) na Kybernetickém polygonu (KYPO) Masarykovy univerzity. Aktivity v tomto směru vyvíjí např. i České centrum excelence pro kybernetickou kriminalitu (C4e). V letošním roce se rozjela rovněž spolupráce s bankami, speciálně s Českou bankovní asociací. Jedná se zejména o sdílení informací o kyberútocích mezi bankami (pomocí vlastních týmů CSIRT) i vládním týmem CSIRT (govcert.cz). Ve všech těchto projektech se zatím jedná zejména o vzdělávání, posílení informovanosti a tvorbu nástrojů pro kybernetickou obranu a forenzní analýzu. Chybí možnost alespoň částečného testování na reálných prvcích kritické infrastruktury, zejména pak systémech typu SCADA.

Nové možnosti

Reálné simulace jsou jedinečnou možností, jak v praxi ověřit technické a organizační zranitelnosti a schopnost reakce na ně. Reálností je míněna jak simulace na skutečném hardwaru kritické infrastruktury, tak možnost přehrávání různých scénářů skutečných útoků od skutečných útočníků.

Takovou simulací se zabývá nově založená izraelská firma CyberGym v městě Hadera. Byla založena konzorciem IEC (Israel Electric Corporation) a firmou CyberControl, založené z bývalých operativců NISA (National Information Security Authority) a služeb speciálního nasazení. Firma nabízí jedinečné centrum, ve kterém je možné hardwarově sestavit a simulovat většinu dnešních komponent SCADA až po prvky PCL. Kromě simulace prostředí SCADA/ISC se tady nejčastěji simulují prostředí finančních institucí a telekomunikačních operátorů.

Toto centrum, nazývané Aréna, zaměstnává reálné kybernetické bojovníky, vytrénované zejména ve složkách armády a tajných služeb. Jeho heslem je: „Očekávejte neočekávané!“ Aréna umožňuje zájemcům nechat si postavit funkční kopii vlastních systémů, provádět na nich skutečné simulace útoků, přičemž se klade důraz na nácvik a ladění obrany. Červený tým (útočný) je tvořen skutečnými hackery, kteří provádí na infrastrukturu útoky v reálném čase. Modrý tým (obranný) je tvořen pracovníky simulovaného prostředí, kteří se snaží infrastrukturu bránit a zároveň se učí, jak útočníci postupují. Bílý (dohledový) tým má úkol řídit, rozhodovat a vyhodnocovat. Důraz je kladen zejména na lidský faktor a invenci. Celý proces simulovaného kybernetického boje je zaznamenáván, vyhodnocován a využíván jako podklad pro vytvoření jak vhodných protiopatření ve stávající infrastruktuře SCADA, tak i pro zvyšování obranné zdatnosti samotných pracovníků infrastruktury.

V bílém týmu se často nacházejí i manažeři simulované infrastruktury. Účast v reálné kybernetické simulaci útoku a obrany pro ně často znamená radikální změnu v pohledu na bezpečnost. Můžou si vyzkoušet rozhodování pod tlakem kybernetického útoku a konfrontaci s pocitem odpovědnosti, který jejím bezpečnostním rolím přísluší. Mnozí si poprvé uvědomí důležitost a zranitelnost jim svěřených infrastruktur.

Budoucnost v ČR

Cybergym hodlá v příštím roce vytvořit kopii své Arény v novém centru v Evropě, možná přímo v ČR. Tím by odpadla nutnost provádění kybernetických bezpečnostních simulací v Izraeli a s tím spojené cestování. CyberGym v březnu letošního roku rovněž zahájil jednání s několika indickými společnostmi, aby bylo možné vytvořit geograficky oddělené týmy a tím zvýšit reálnost kybernetických simulací přes vzdálené sítě a různá časová pásma.

Milan Balážik Autor pracuje jako architekt technických řešení ve společnosti Corpus Solutions.