Bezpieczny w armii – cyberbezpieczny w przemyśle

Podobną analogią możemy się posłużyć w odniesieniu do przemysłu.  O bezpieczeństwie w przemyśle i zagrożeniach, jakie niosą współczesne technologie rozmawiamy z CyberX, firmą skupioną na zabezpieczaniu Przemysłowego Internetu Rzeczy.

Renata Poreda: Proszę opowiedzieć o CyberX – o genezie firmy, co jest ważne dla organizacji, która działa w tak istotnym obszarze, jakim jest cyberbezpieczeństwo.

Ron Yosefi*, przedstawiciel CyberX: Firma CyberX powstała około 4,5 roku temu. Jej założycielami  są dwaj weterani izraelskich sił obrony,byli członkowie elitarnego cyberzespołu odpowiedzialnego za ochronę krytycznej infrastruktury kraju. Dzisiaj w CyberX pracuje ponad 40 osób. Nasza siedziba znajduje się w USA, koło Bostonu, gdzie kilka lat temu przeniósł się nasz prezes, jeden ze współzałożycieli. Natomiast prace badawcze nadal prowadzone są w Izraelu. Jesteśmy wiodącą firmą zajmującą się ochroną przed cyberprzestępczością. Stworzyliśmy rozwiązanie, które nazywa się XSense. Jest to system wykrywania włamań do sieci. Rozpoznaje on anomalie w sieciach przemysłowych i systemach sterowania, a następnie ostrzega o wszelkich nieprawidłowościach             i odchyleniach od normy.

Jak to wygląda w praktyce?

Industrial Finite State Machine – to opatentowane przez nas rozwiązanie, polegające na modelowaniu zachowania sieci sterowników jako maszyn stanu przy użyciu technologii uczenia maszynowego. Kiedy przestawiamy nasze rozwiązanie z trybu uczenia do trybu monitorowania, możemy wykryć wszystkie anomalie, które nie były obserwowane w trybie uczenia się. Bardzo dobrze znamy sieci sterowników, rozumiemy wszystkie przemysłowe protokoły, takie jak Modbus, OPC, DNP itp. Jako spółka zajmująca się cyberprzestępczością duży nacisk kładziemy na badania, stąd  zatrudniamy prawdopodobnie najlepszych inżynierów programowania zwrotnego na rynku. Jesteśmy dumni z naszego działu inżynierii wstecznej.

 Jak on działa?

To swego rodzaju wywiad ds. zagrożeń przemysłowych, który poszukuje złośliwego oprogramowania, w tym złośliwego oprogramowania przemysłowego, urządzeń przemysłowych i protokołów przemysłowych, aby zrozumieć luki w zabezpieczeniach i odkryć luki zero-day. Zero-day to zasadniczo luki, które jeszcze nie zostały odkryte. CyberX odkrył i zarejestrował kilka takich luk. Jako przykład mogę podać fakt, że byliśmy pierwszymi, którzy odkryli złośliwe oprogramowanie zwane BlackEnergy, które atakowało sieci przesyłu energii. Również jako pierwsi odkryliśmy złośliwe oprogramowanie o nazwie KillDisk. Badania nad wykrywaniem takich i podobnych zjawisk to właściwie ciągły proces. Czujność to słowo-klucz, ponieważ zagrożenie może przyjść z każdej strony świata.

Żyjemy w świecie, o którym od dawna mówimy, że jest globalną wioską. To określenie jest trafne, między innymi za sprawą nowych technologii. Z jednej strony są one dobrodziejstwem dla rozwoju gospodarek, społeczeństw, ale mogą również stać się przekleństwem – bo coraz częściej generują zagrożenia, i to na coraz większą skalę.

Dokładnie tak.

W tym kontekście cyberbezpieczeństwo to naprawdę ważna sprawa. Kiedy po raz pierwszy dowiedział się Pan o cyberbezpieczeństwie? Czy było jakieś konkretne wydarzenie, które spowodowało, że postanowił Pan zająć się tym tematem?

Ponieważ mieszkam w Izraelu, mogę powiedzieć, że bardzo interesujemy się bezpieczeństwem i cyberbezpieczeństwem. To temat, który jest wokół nas. W Izraelu żyjemy i oddychamy cyberbezpieczeństwem. Kiedy pracowałem dla GE, zacząłem pytać klientów – użytkowników systemu SCADA – o bezpieczeństwo, ale jeszcze trzy, cztery lata temu ich zasadniczą odpowiedzią było, że ten temat ich nie interesuje, ponieważ sieci w ich firmach są rozdzielne. Znaczy to, że sieć przemysłowa i sieć informatyczna są oddzielone. Wspominali, że zainstalowali zapory typu Firewall, oraz coś, co nazywa się separacją fizyczną między obydwoma sieciami, więc nie byli zainteresowani tematem dalszych zabezpieczeń. Jednak mniej więcej trzy lata temu moi klienci zdali sobie sprawę, że to nie wystarczy. Rozdzielanie sieci nie istnieje, odstęp powietrzny nie istnieje, a Firewall nie jest naprawdę rozwiązaniem. Analogia, z której korzystam, aby zobrazować, jak wcześniej działał system zabezpieczeń, to dom, w którym się mieszka i otacza się go murem. Jeśli jednak nie ma się kamer CCTV skierowanych na ogród, tak naprawdę nie bardzo wiadomo, czy ktoś nie rozbił muru albo go nie przeskoczył. To jest tak, jakby mieć zaporę bez systemu monitoringu, takiego jak XSense, żeby obserwować, co się dzieje w sieci. Te rozmowy spowodowały, że zacząłem się coraz bardziej interesować bezpieczeństwem cybernetycznym. Kiedy pracowałem dla GE, było tam rozwiązanie, o którym być może Pani słyszała, nazywało się Wurldtech. Próbowałem je sprzedawać, ale zdałem sobie sprawę, że ono nie wystarcza, że nie ma zastosowania. Kiedy po dziesięciu latach przestałem pracować dla GE i rozejrzałem się wokół, zastanawiając się, co robić dalej, stało się dla mnie oczywiste, że bezpieczeństwo w sieci to przyszłość.

Jak Pańskie doświadczenia zawodowe pomagają w propagowaniu rozwiązań dla przemysłu?

Rozumiem środowisko OT, ponieważ pracowałem przez 10 lat dla GE, więc bardzo dobrze znam systemy SCADA oraz zasady działania sterowników. Mówię językiem OT. Dodatkowo to, co wnoszę do firmy osobiście, to rozumienie bezpieczeństwa cybernetycznego, bo pochodzę z Izraela. Wnoszę więc i wiedzę cybernetyczną, i wiedzę o OT.

Wspomniał Pan o OT. Jaka jest różnica pomiędzyIoT a OT i jak do tego wszystkiego ma się IT?

To dwie zupełnie inne rzeczy. OT (ang. OperationalTechnology) to sieć operacyjna. Natomiast sieć IT to wszystko, co znamy w biurze, czyli komputer, serwer, laptop, telefon komórkowy. OT to zasadniczo sterowniki, sterowniki PLC, systemy SCADA, zdalne terminale, rozproszone systemy sterowania. IoT(ang. Internet of Things), to Internet Rzeczy. Bardzopodobny akronim, IIoT (ang. Industrial Internet of Things), czyli Przemysłowy Internet Rzeczy oznacza coś innego. Przemysłowy Internet Rzeczy jest zasadniczo zdolnością każdego urządzenia do komunikowania się przez platformę internetową              z innymi urządzeniami lub magazynami. IoT jest odpowiedzialny za to, że lodówka informuje, że zabrakło mleka, a przemysłowy IoT lub IIoT za to, że maszyny produkcyjne albo sprzęt do produkcji mówią, że w najbliższym czasie potrzebna będzie konserwacja. Taka jest definicja.

Rozumiem, ale to chyba nie jedyna różnica?

To prawda. W dziedzinie IT bezpieczeństwo cyberprzestrzeni polega na ochronie danych. Dobrym przykładem jest konto bankowe. Prawdopodobnie każdy chce chronić swoje dane, takie jak nazwa użytkownika i hasło, aby nikt nie ukradł pieniędzy z konta. Natomiast w przypadku OT dane nie są ważne, ponieważ koniec końców, jeżeli ma się sterownik, a ten sterownik jest uruchomiony z programem, nie ma nic naprawdę unikalnego w programie,nie ma rzeczywistych danych, które można ukraść. To, co jest naprawdę ważne, to fizyczne urządzenie i możliwość jego ochrony tak, aby nikt nie włamał się do niego i go nie zatrzymał. Weźmy przykład pieca hutniczego. Jakiś czas temu miał miejsce incydent w niemieckiej hucie – ktoś włamał się do sieci, co spowodowało, że nie można było wygasić pieca. Proszę sobie wyobrazić taką sytuację. Jak katastrofalne mogły być konsekwencje. A więc tutaj chodzi raczej o fizyczne urządzenia, a nie o dane.

Zgadza się. Stąd ważna jest współpraca pomiędzy OT a IT? Nie jest to chyba prosta sprawa?

Tak jest, ma Pani w pełni rację. Konkretne rozwiązanie, które sprzedajemy w celu zapewnienia bezpieczeństwa cyberprzestrzeni w zakresie OT czy cyberprzestrzeni przemysłowej, rzeczywiście znajduje się na styku tych dwóch grup. Kiedy mówi się o cyberbezpieczeństwie, ludzie oczekują, że to IT znajdzie rozwiązanie. Ale ponieważ tutaj mówimy o cyberbezpieczeństwie przemysłowym, OT oczekuje, że to oni zajmą się wynalezieniem rozwiązania. I to prawda, że czasami spotykamy się z ciekawym wyzwaniem, ponieważ ludzie z IT i OT po prostu nie rozmawiają ze sobą. OT jest zasadniczo działem inżynieryjnym, inżynieryjno-technicznym, a IT jest grupą informatyczną. I te dwie grupy – które istnieją w ramach jednej firmy, przedsiębiorstwa – nie rozmawiają ze sobą. Czasami to naprawdę ciekawe wyzwanie, a rola ASTOR w tym wyzwaniu polega na tym, aby te dwa zespoły posadzić w jednym pomieszczeniu, tak aby zaczęły rozmawiać ze sobą.

Myślę, że to jedno z największych wyzwań, ponieważ te dwie grupy mają własny język i własne wymagania. Jak Pan myśli, jakie gałęzie przemysłu powinny być chronione w specjalny sposób? Czy na rynku są określone branże, które powinniśmy chronić?

Wróćmy do analogii muru wokół domu. Istnieją firmy, które uważają, że w taki właśnie sposób mogą chronić swoją sieć przemysłową – po prostu budując coraz więcej murów, wprowadzając coraz więcej zapór. To czasami nazywa się segmentacją, na zasadzie podzielenia sieci sterowania na wiele segmentów i umieszczenie zapory między segmentami. Jest to ta sama analogia – muru. Jeśli jednak nie ma się wglądu w to, co się dzieje w środku, w każdym segmencie, to w końcu traci się poszczególne segmenty. Mam inną analogię. Jeśli człowieka coś boli, powiedzmy noga, i powie się: „no cóż, boli mnie noga, to ją sobie odetnę” – to nie pomoże. Człowiek potrzebuje całego ciała. Podobnie, segmentowanie sieci nie jest rozwiązaniem jeżeli nie ma się wglądu w to, co dzieje się w środku.

Od czego zaczynacie Państwo swoją pracę w sieci przemysłowej? Jak sprawdzacie, czy jest ona odpowiednio zabezpieczona, czy nie?

W pierwszej kolejności przeprowadzamy ocenę podatności (na cyberataki – przyp. red.), i jest to tak proste, jak kliknięcie myszką. Klikamy, a następnie system XSense przegląda sieć i sprawdza wszystkie urządzenia w całej sieci, aby znaleźć słabe punkty. Dzięki temu możliwa jest ogólna ocena bezpieczeństwa konkretnej sieci OT, gdzie jednym z elementów jest sprawdzenie podatności na cyberataki. Bada np. konkretny serwer SCADA i widzi, że działa on w systemie Windows XP, co jest wadą. Czemu? Ponieważ system Windows XP jest przestarzały. Firma Microsoft przestała wspierać system Windows XP trzy lub cztery lata temu, więc nie ma programu antywirusowego, nie ma zabezpieczeń, nic nie ma. XSense analizuje PLC i widzi, że sterownik PLC nie został zaktualizowany od kilku lat, ma otwarte porty i jest zdalnie dostępny. Analizuje wszystkie słabości – nazywa się to oceną podatności na zagrożenia. Zwykły sposób przeprowadzania oceny podatności polega na skontaktowaniu się z firmą konsultingową ds. bezpieczeństwa, która fizycznie przybywa na miejsce i analizuje każde urządzenie. My nie musimy tak działać. Wystarczy kliknąć, a następnie zebrać wszystkie informacje, które już istnieją, i wygenerować raport – to jest naszą przewagą. Niektórzy klienci zaczynają swoją przygodę z CyberX od oceny podatności. To daje im wyobrażenie, na jak wysokim lub niskim poziomie znajduje się ich bezpieczeństwo.

 Zaczęliśmy mówić o niektórych gałęziach gospodarki, na przykład o wojsku.

Cóż, jeśli chodzi o konkretne gałęzie gospodarki, uważamy, że wszystkie sektory potrzebują rozwiązań w zakresie bezpieczeństwa. Jednak nie wszystkie branże są w tym samym stopniu świadome i gotowe płacić za takie rozwiązania. Branże, które dotychczas ocenialiśmy jako aktywne, to przede wszystkim koncerny energetyczne, i to zarówno produkcyjne, przesyłowe, jak i dystrybucyjne. Inna branża to spółki przemysłu naftowego i gazowego – platformy wiertnicze i rurociągi. Jeśli chodzi o produkcję, mówimy tu o przemyśle chemicznym, farmaceutycznym, a ostatnio również o sektorze transportowym. Jedną z branż, dla której cyberbezpieczeństwo jest niezwykle ważne, jest przemysł wodny. Przemysł ten jednak boryka się z niewystarczającymi środkami na inwestycje i ich zabezpieczenie. Problem bezpieczeństwa jest więc dla nich ważny, ale brak im środków, co stanowi zasadnicze wyzwanie.

A czy w tym kontekście widzi Pan różnicę między wielkimi koncernami a małym firmami, gdzie środki mogą być problemem?

To dobre pytanie. Jeśli chodzi o potrzeby czy wymagania, nie ma różnicy. Zarówno duże, jak i małe zakłady mają te same potrzeby w kwestii bezpieczeństwa. Ma Pani jednak rację, że wyzwaniem mogą być fundusze; jednak i tu mamy rozwiązania. Jako przykład podam gospodarkę wodną. Zakłady gospodarki wodnej zazwyczaj dysponują dwoma lub trzema dużymi sterowniami, z których stale monitoruje się sieć, aby wyeliminować lub ograniczyć liczbę anomalii. Ponadto zakłady takie mogą mieć, powiedzmy, trzy, cztery, może pięć dużych oczyszczalni ścieków, również ciągle monitorowanych, ale mogą również mieć mniejsze jednostki, na przykład pompownie ze sterownikami i systemem SCADA. W przypadku tych małych jednostek, zamiast wdrażać XSense lub ciągłe monitorowanie, zaproponowaliśmy przeprowadzenie oceny podatności raz w roku, korzystając z mobilnego systemu XSense, a następnie powtórzenie oceny po roku. Jeżeli okazuje się, że poziom zagrożeń wzrósł, i że przedsiębiorstwo stało się bardziej podatne [na cyberincydenty – przyp. red.], można myśleć o wdrożeniu ciągłego monitorowania. Jeśli jednak nic się nie zmienia, nie ma takiej potrzeby. Nasza oferta wygląda więc następująco: w przypadku większych zakładów czy sterowni należy wdrożyć system XSense, a w mniejszych wystarczy tylko jeden dodatkowy XSense, mobilne urządzenie XSense, które przenosi się z miejsca na miejsce – każdego dnia albo każdego tygodnia do innego punktu – co w rezultacie pozwoli na przeprowadzenie ciągłej oceny.

Jaki według Pana powinien być pierwszy krok podczas wdrażania systemu lub urządzenia cyberbezpieczeństwa, jak XSense?

Nasz proces wdrażania składa się z trzech etapów. Na początku podłączamy XSense do switcha w sieci sterowania i prosimy klienta o skonfigurowanie portu SPAN, czyli portu lustrzanego (mirror port) na tym switchu, a następnie łączymy się z nim pasywnie. Oznacza to, że nie wysyłamy żadnych informacji. z powrotem do sieci, słuchamy tylko, analizujemy ruch sieciowy – i to jest pierwszy krok. Następnie pozwalamy, aby XSense popracował od jednego do czterech-pięciu dni w trybie uczenia się i modelowania sieci przy użyciu technologii, o której wspomniałem – Industrial Finite State Machine – co pozwala nam na zrozumienie, jak zachowuje się sieć. Trzecim krokiem jest przełączenie XSense w tryb monitorowania sieci, a zdarzenia niewykryte podczas fazy uczenia się zostają zgłoszone operatorowi. Tak wyglądają trzy etapy wdrażania XSense.

Czy osobiście doświadczył Pan cyberataków?

W Polsce wielu prezesów firm czy menedżerów boi się ich oraz tego, że ich sieć nie jest lub nie będzie bezpieczna. Tak, mam doświadczenia związane z cyberatakami. Od świąt Bożego Narodzenia w zeszłym roku do tej pory obserwujemy wzrost liczby ataków. Już wspominałem o BlackEnergy, który zaatakował sieć przesyłu energii. Wydarzyło się to po raz kolejny między Bożym Narodzeniem a Nowym Rokiem.

Naprawdę?

Na Ukrainie nastąpił pierwszy atak BlackEnergy i od tego momentu zaczęliśmy poważnie mówić           o cyberbezpieczeństwie.  Tak naprawdę zaczęło się kilka lat temu od cyberataków na irański przemysł jądrowy. Ale ma Pani rację, pod koniec 2015 r. nastąpił cyberatak na ukraińską  sieć energetyczną i światło w tym kraju zgasło na blisko 7 godzin. Ciekawostką jest to, że nasz zespół ds. wykrywania zagrożeń zidentyfikował BlackEnergy w maju 2015 r., około 6 miesięcy przed atakiem, i powiadomił        o tym amerykański Departament Spraw Wewnętrznych i Bezpieczeństwa. Jednak niestety nie pomogło to Ukrainie. Ten sam atak powtórzył się w 2016 r. To jest jedna sprawa. Inna rzecz, która się wydarzyła… Wspomniałem już o złośliwym oprogramowaniu o nazwie KillDisk. Było to nieznane złośliwe oprogramowanie, które atakowało firmy przemysłowe w zasadzie niszcząc dyski i czyszcząc je z danych. Po jakimś czasie Kill-Disk przekształciło się w ransomware, czyli złośliwe oprogramowanie żądające okupu. W jednym zakładzie w Michigan na początku tego roku, w styczniu, dokonano włamania do sieci przy użyciu KillDisk, i w jego następstwie na monitorach komputerów pojawił się komunikat mówiący, że system został zaatakowany i zaszyfrowany, a w celu otrzymania klucza należało zapłacić 222 bitcoinów, czyli równowartość około 206 000 dolarów. Firma ostatecznie zapłaciła okup, ale dodatkowo zainwestowała 2,5 miliona dolarów w oczyszczenie sieci, i była to znacznie mniejsza inwestycja niż pierwotnie szacowano. Sądzono bowiem, że zastąpienie całego systemu będzie kosztować 10 milionów dolarów. Wyszło więc cztery taniej razem z okupem i oczyszczeniem sieci niż wymiana całego systemu. To tylko dwa przykłady, ale jest ich więcej – w San Francisco, w Szwecji. Cyberataki głównie pochodzą dziś z Rosji, Chin, Korei Północnej, Iranu, a nawet z Turcji.

Jaki jest interes tych krajów?

To splot kilku przyczyn. Przede wszystkim to przyczyny geopolityczne, jak w przypadku Rosjan czy Koreańczyków. Ale jak wspomniałem, jest też ransomware, czyli przyczyna finansowa – dziś coraz więcej cyberataków ma na celu zysk, traktowane są one jako źródło dochodu.

Trochę jak wojna?

Ona się toczy wszędzie i każdego dnia. Trzeba być w każdej chwili przygotowanym na atak. Cyberatak.

A proszę opowiedzieć nam o swoich doświadczeniach w Polsce. ASTOR jest pierwszą firmą, z którą CyberX współpracuje w Polsce?

Tak, nasze plany ekspansji zbiegły się z poszukiwaniami ASTOR-a rozwiązań w dziedzinie cyberbezpieczeństwa. Muszę też powiedzieć, że jestem pod wrażeniem świadomości firmy ASTOR, tego, że nie tylko dąży do unowocześniania przemysłu poprzez wdrażanie systemów, ale również chce oferować  rozwiązania, by o te systemy zadbać pod kątem ich bezpieczeństwa

*RON YOSEFI – Menedżer ds. Międzynarodowej Sprzedaży i Rozwoju Biznesu w firmie CyberX. Łączy mocne zaplecze inżynierskie z rozległą znajomością najnowszych technologii przemysłowych i z zakresu cyberbezpieczeństwa. CyberX to izraelska firma działająca w zakresie cyberbezpieczeństwa, producent rozwiązania XSense dedykowanego do zabezpieczania sieci przemysłowej. Zostało ono od podstaw zaprojektowane do zabezpieczenia sieci OT – jako kompleksowe rozwiązanie ciągle monitorujące sieć, wykrywające i raportujące stwierdzone nieprawidłowości. CyberX jest zdobywcą wielu prestiżowych nagród z zakresu zapewnienia cyberbezpieczeństwa, jak Gartner Cool Vendor 2015, Excellence in Corporate Technical Innovation 2016 i Best ICS Security Solution – przyznanego przez Cyber Defense Magazine w 2016 i 2017 r.