Dlaczego komputery przemysłowe mogą być słabością wielu zakładów?

Pułapka przestarzałego oprogramowania i luka modernizacyjna

Poważną słabością sektora jest głębokie uzależnienie od systemów operacyjnych typu legacy, które mimo zakończenia wsparcia producenta stanowią kręgosłup wielu środowisk operacyjnych. Stan ten wynika ze złożonego splotu ograniczeń biznesowych i technicznych. Specjalistyczne oprogramowanie sterujące bywa często niekompatybilne z nowymi systemami, a jego aktualizacja wymagałaby kosztownej wymiany całych parków maszynowych. W branżach regulowanych dochodzą do tego wysokie koszty ponownej certyfikacji i walidacji systemów. Przeważająca filozofia operacyjna, stawiająca ciągłość działania ponad wszystko, zniechęca menedżerów do ingerencji w działające, choć przestarzałe konfiguracje.

Konsekwencją tego podejścia jest narastający poziom ekspozycji na ryzyko. Systemy te nie otrzymują już łatek, co sprawia, że znane od lat podatności pozostają trwale otwarte.

Zaprojektowane w minionej erze technologicznej, maszyny te stają się bezbronne w momencie podłączenia do sieci, gdyż często nie są w stanie obsłużyć nawet podstawowych, nowoczesnych zabezpieczeń antywirusowych. Problem potęguje brak pełnej inwentaryzacji zasobów, przez co zapomniane urządzenia mogą służyć jako niepostrzeżony punkt wejścia dla atakujących. Dodatkowym wyzwaniem jest zarządzanie cyklem życia sprzętu, gdyż awaria płyty głównej w starym IPC zmusza producentów do poszukiwania części na rynku wtórnym lub kanibalizowania innych maszyn, co w obliczu kurczących się zasobów rynkowych, sytuacji geopolitycznej może drastycznie wydłużyć czas przywrócenia produkcji.

Koniec izolacji i eskalacja zagrożeń cybernetycznych

Pęd ku analityce danych i integracji z chmurą doprowadził do spłaszczenia architektury sieciowej, gdzie urządzenia przemysłowe są rutynowo łączone z systemami korporacyjnymi. Ta bezpośrednia łączność oraz tunele VPN tworzą nowe możliwości ataku. Większość incydentów w środowisku operacyjnym ma swój początek w sieci IT, skąd atakujący przemieszczają się w głąb infrastruktury. Płaska natura starszych sieci przemysłowych oraz brak szyfrowania w protokołach komunikacyjnych pozwalają intruzom na swobodne poruszanie się i wydawanie poleceń maszynom po przełamaniu pierwszej bariery.

Przemysł wytwórczy stał się głównym celem grup ransomware, co jest wykalkulowaną strategią eksploatacji niskiej tolerancji tego sektora na przestoje. Zatrzymanie produkcji generuje natychmiastowe i ogromne straty finansowe. Cyberprzestępcy stosują coraz bardziej wyrafinowane taktyki, w tym złośliwe oprogramowanie projektowane specyficznie do atakowania systemów sterowania przemysłowego. Takie narzędzia potrafią celowo identyfikować i wyłączać procesy SCADA oraz HMI, pozbawiając operatorów wglądu w stan fizyczny zakładu. Atakujący coraz częściej wykorzystują również legalne narzędzia administracyjne obecne w systemach do rozprzestrzeniania zagrożeń, co znacznie utrudnia ich wykrycie przez tradycyjne systemy bezpieczeństwa.

Przykłady zaistniałych awarii

Aby w pełni zrozumieć słabość komputerów przemysłowych, spójrzmy na rzeczywiste konsekwencje ich awarii w środowisku produkcyjnym.

Norsk Hydro (2019)

Incydent: Norsk Hydro, globalny dostawca aluminium, został zaatakowany przez ransomware LockerGoga. Atak nie tylko zaszyfrował pliki, ale zmusił firmę do przełączenia 22 000 komputerów w 40 krajach na tryb ręczny.

Wpływ: Linie elektrolityczne (produkujące aluminium) nie mogą zostać wyłączone bez ryzyka zastygnięcia metalu i zniszczenia sprzętu. Operatorzy musieli prowadzić te niebezpieczne procesy ręcznie, używając kartki i ołówka, pozbawieni cyfrowego wglądu HMI, na którym polegali.

Słabość: Atak wykorzystał słabą segmentację tożsamości i rozprzestrzenił się z sieci IT do OT przy użyciu zaufanych narzędzi administracyjnych.

Koszt: Wpływ finansowy zbliżył się do 71 milionów dolarów. Jednakże ich strategia transparentności i solidne kopie zapasowe pozwoliły im odmówić zapłacenia okupu.

TSMC (2018)

Incydent: Taiwan Semiconductor Manufacturing Company doświadczyło masowego zatrzymania produkcji z powodu wariantu wirusa WannaCry.

Przyczyna: To nie był zdalny atak hakerski. Dostawca podłączył nowe narzędzie do sieci bez wcześniejszego przeskanowania go pod kątem wirusów. Narzędzie było zainfekowane,

a złośliwe oprogramowanie rozprzestrzeniło się na ponad 10 000 maszyn w najbardziej zaawansowanych fabrykach świata.

Słabość: Niedotrzymanie procedur onboarding’u oraz brak wewnętrznej segmentacji.

Koszt: Trzy dni utraconej produkcji, szacowane na 256 milionów dolarów w utraconych przychodach i opóźnieniach dostaw czipów dla iPhone’ów firmy Apple.

Honda (2020)

Incydent: Honda została zmuszona do globalnego wstrzymania produkcji z powodu ransomware Snake.

Słabość: Snake jest unikalny, ponieważ celuje specyficznie w procesy ICS. Wyszukuje

i zwalcza procesy związane z oprogramowaniem GE Proficy, Honeywell HMIWeb i innymi narzędziami przemysłowymi.

Implikacja:  Atakujący  piszą kod specjalnie w celu unieszkodliwienia komputerów przemysłowych, wychodząc poza generyczne ransomware.

Merck (2017)

Incydent: Farmaceutyczny gigant Merck został uderzony przez NotPetya, złośliwe oprogramowanie typu wiper (niszczące dane) udające ransomware, pierwotnie wycelowane w Ukrainę.

Wpływ: Zainfekowano 40 000 maszyn. Produkcja krytycznych szczepionek (w tym przeciwko WZW typu B) została wstrzymana na miesiące.

Słabość: Wzajemnie powiązana natura globalnych sieci korporacyjnych. Pojedyncza infekcja w ukraińskim oddziale rozprzestrzeniła się globalnie w ciągu minut z powodu płaskiej architektury sieci.

Oldsmar Water Treatment (2021)

Incydent: Haker uzyskał dostęp do systemu sterowania stacją uzdatniania wody w Oldsmar na Florydzie i próbował zmienić poziom wodorotlenku sodu na niebezpiecznie wysoki.

Słabość: Użycie konsumenckiego oprogramowania do zdalnego pulpitu na infrastrukturze krytycznej. Oprogramowanie to było technicznie wycofane sześć miesięcy wcześniej,

ale pozostawiono je zainstalowane i aktywne na systemie.

Czynnik ludzki: Współdzielone hasła i brak uwierzytelniania wieloskładnikowego pozwoliły atakującemu po prostu „zalogować się”, a nie „włamać”.