Czwarta rewolucja przemysłowa Industry 4.0 została entuzjastycznie przyjęta przez sektor produkcyjny jako zespół rozwiązań technologicznych umożliwiających efektywną optymalizację kosztów pracy i produkcji, zarządzanie na bazie rzeczywistych danych płynących wprost z maszyn oraz obniżających koszty przetwarzania informacji. Pomimo niezaprzeczalnych zalet, jakie przynoszą nowe technologie dla sektora produkcyjnego, istnieją zagrożenia, których zbagatelizowanie może być katastrofalne w skutkach dla funkcjonowania przedsiębiorstwa w konkurencyjnym środowisku.

W 2010 roku został wykryty pierwszy w historii PLC rootkit Stuxnet atakujący sterowniki SIMATIC S7-300 oraz S7-400 firmy Siemens, którego podstawową funkcją była modyfikacja parametrów pracy konwerterów częstotliwości sterujących pracą silników w sposób, powodujących ich uszkodzenie. Stuxnet po znalezieniu konwertera pracującego z częstotliwością 807-1120 Hz, zmieniał jego częstotliwość na 15 minut do 1410 Hz, a następnie po 27 dniach pracy, obniżał ją do 2 Hz na 50 minut i w krótkim odstępie czasu znowu podnosił częstotliwość do standardowej wartości 1064 Hz. Cykl powtarzał się co 27 dni. Powodowało to uszkodzenie rotorów w motorach elektrycznych lub powstanie zjawiska rozbiegania (zwiększania obrotów do nieskończoności), czego wynikiem było trwałe uszkodzenie silnika. W wyniku ataku, szacuje się, że zarażonych zostało około 100 000 komputerów ze 155 krajów. Uważa się, że Stuxnet miał za zadanie spowolnić rozwój irańskiego programu nuklearnego.

Niniejszy artykuł rzuca światło na aspekty związane z cyberbezpieczeństwem urządzeń przemysłowych od strony działów inżynierii procesu odpowiedzialnych za uruchomienie linii technologicznych w zakładach produkcyjnych i ich rosnącą rolę w procesie projektowania zabezpieczeń przed cyberatakami.

Cyberbezpieczeństwo w przemyśle

Bezpieczeństwo urządzeń przemysłowych o znaczeniu strategicznym powinno być kluczowym obszarem zainteresowania osób zajmujących się cyberbezpieczeństwem w firmach produkcyjnych, w tym działów inżynierii, która część tych rozwiązań wdraża w maszynach i liniach technologicznych.

“Myśl jak haker, ale działaj jak inżynier” – Marty Edwards, dyrektor w ISA

Obecność wydzielonych funkcji odpowiedzialnych za cyberbezpieczeństwo instalacji przemysłowych w wielu firmach sektora produkcyjnego to dzisiaj rzadkość. Niejednokrotnie obowiązki w dziedzinie bezpieczeństwa sprzętu i produkcyjnej infrastruktury sieciowej są scedowane na działy IT, których zakres odpowiedzialności obejmuje znacznie szerszy obszar funkcjonowania przedsiębiorstwa. Brak jest natomiast wydzielonych funkcji, których obszar działalności skoncentrowany byłby przede wszystkim na ochronie przemysłowych sieci komputerowych i maszyn.

Tradycyjne bezpieczeństwo IT koncentruje się na higienie cybernetycznej, która stanowi wystarczające zabezpieczenie do odparcia ataków nieukierunkowanych. Dobrze przygotowany i ukierunkowany atak przełamie każde istniejące zabezpieczenie oraz skoncentruje się na możliwie jak największych konsekwencjach dla ofiary – uszkodzeniu infrastruktury przemysłowej, gwałtownej reakcji chemicznej prowadzącej do pożaru, wybuchu lub zniszczenia instalacji. Należy do tego zaliczyć również ataki prowadzące do nieplanowanych przestojów, obniżenia parametrów jakościowych i wydajnościowych linii produkcyjnych oraz zakłócenia łańcucha dostaw. Dochodzą do tego zagrożenia związane z zakłóceniem pracy systemów bezpieczeństwa działających niezależnie od automatyki sterującej procesem produkcyjnym np. Triton atakujący kontrolery bezpieczeństwa SIS (Safety Instrumented System).

Jak chronić sieci przemysłowe?

W jaki sposób przygotować firmę na atak ukierunkowany, którego efektem będzie nieuniknione złamanie zabezpieczeń i uzyskanie dostępu do sieci przemysłowej?

Nowatorskie podejście w tej kwestii proponuje amerykański ośrodek naukowo-badawczy Idaho National Laboratory (INL), który zaproponował metodologię inżynierii cyfrowej zorientowanej na konsekwencje (The Consequence-driven Cyber-informed Engineering (CCE) Methodology). Koncentruje się na poszukiwaniu informacji niezbędnej do prawidłowej kalkulacji ryzyka dla krytycznych procesów oraz rozwoju rozwiązań inżynieryjnych, które oprą się cyberatakowi.

INL proponuje 4 kroki w analizie:

Consequence Prioritization (Priorytetyzacja skutków) – identyfikuje funkcje krytyczne, których zakłócenie wpłynie na realizację celów biznesowych i pozwala ustalić priorytety w oparciu o konsekwencje w przypadku cyberataku.

System of Systems Breakdown (Awarie systemów) – analizuje w jaki sposób osiągana jest funkcja krytyczna. Identyfikuje kluczowe procesy i urządzenia, które wpływają na ustalone wcześniej funkcje krytyczne.

Consequence-based Targeting (Targetowanie oparte na konsekwencjach) – uwidacznia miejsca, w których system jest podatny na ataki. Wykorzystuje się tutaj myślenie jak napastnik (sieci, łańcuch dostaw, ataki typu close-access).

Mitigations and Protections (Łagodzenie skutków ataku i ochrona) – wypracowanie rozwiązań mających na celu przerwanie ataku. To ostatnie wykonywane jest przy użyciu prostych lub złożonych metod sterowania.

Ważna rola inżyniera procesu

Rola inżyniera ds. procesu produkcyjnego zgodnie z powyższą metodologią polega na identyfikowaniu zagrożeń wraz z konsekwencjami w procesie i instalacji przemysłowej po przełamaniu zabezpieczeń. Wspiera zespół w poszukiwaniu i analizie sposobu na wywołanie największych zniszczeń, biorąc pod uwagę funkcje krytyczne odpowiedzialne za sterowanie newralgicznymi parametrami procesowymi tj. funkcja zmiany częstotliwością w konwerterach częstotliwości sterujących pracą silnika.

Zgodnie z założeniami w projektowaniu zabezpieczeń dla instalacji produkcyjnych powinna zostać przeprowadzona analiza ryzyka, uwzględniająca brak możliwości pełnego zabezpieczenia się przed dostępem do sterowania i funkcji bezpieczeństwa maszyn podłączonych do sieci przemysłowych lub Internetu, przez osoby nieuprawnione.

Identyfikacja następstw cyberataków dla maszyn będących w procesie rozwoju, powinna odbyć się na wczesnym etapie ich projektowania i być włączona w analizę PFMEA (Process Failure Mode & Effects Analysis) w zespole multifunkcyjnym, z uwzględnieniem osób odpowiedzialne za bezpieczeństwo sieciowe. Analiza umożliwi zidentyfikowanie krytycznych parametrów procesowych, których zakłócenie może wpłynąć na bezpieczeństwo użytkownika, uszkodzenie maszyny lub wytworzenie produktu niezgodnie ze specyfikacją oraz ma wspomóc projektowanie zabezpieczeń zapobiegających zakłóceniom funkcji krytycznych.

Zabezpieczenia i wykrywane anomalie

Każde z wymienionych zabezpieczeń powinno być poddane analizie na wypadek ich dezaktywacji lub rozregulowaniu. W tym przypadku rolą Inżyniera Procesu będzie zaprojektowanie zabezpieczeń przemysłowych, które przełamią atak lub złagodzą jego konsekwencje. Przykładowo montaż dodatkowego akcelerometru, który wykryje nadmierne drgania silnika, włączy niezależne układy bezpieczeństwa (niepodłączone do infrastruktury sieciowej), które w sposób bezpieczny i kontrolowany rozłączą maszynę. Tego rodzaju zabezpieczenia mogą wykazać się większą skutecznością niż zabezpieczenia programowe. Do tego rodzaju zabezpieczeń należą:

  • Tradycyjne obwody bezpieczeństwa wykorzystującymi stałe połączenia (Hardwired safety systems);
  • Kopie zapasowe na bazie nieidentycznej redundancji;
  • Zabezpieczenia realizowana przez elektro przekaźniki i/lub przewody, poza programowalnymi systemami sterowania (Hardwired interlock);
  • Zabezpieczenia mechaniczne, niezależne od sterowania PLC;
  • Niestandardowe obwody analogowe i cyfrowe;
  • Ograniczenie komunikacji sieciowej.

Dla istniejącego parku maszynowego ważna jest prawidłowa ewidencja maszyn i procesów krytycznych. Po ich zidentyfikowaniu, wyniki należy poddać analizie wpływu na funkcjonowanie przedsiębiorstwa nie zapominając o kompromisie pomiędzy poziomem zabezpieczeń i kosztami ich wdrożenia. Podejście techniczne powinno być zbieżne z tym, zaprezentowanym dla maszyn nowych. W skrajnych przypadkach dopuszcza się, aby urządzenia krytyczne zostały odłączone od sieci przemysłowej bez możliwości zdalnej obsługi przez centra serwisowe. Podnosi to koszty diagnostyki i zwiększa czas reakcji w przypadku awarii, natomiast obniża realne zagrożenie dla funkcjonowania przedsiębiorstwa.

O wiele trudniejsze jest wykrywanie anomalii występujących procesie a będących następstwem ataku powodującego spadek wydajności linii produkcyjnej, wzrost wskaźników produkcyjnych tj. FTQ, %OEE lub zwiększenie awaryjności maszyn. Dzisiaj brakuje skutecznych rozwiązań technicznych i narządzi umożliwiających diagnostykę takich zakłóceń i analizy przyczyn ich powstania, poza aspektami związanymi z awaryjnością maszyn i czynnikami eksploatacyjnymi. Dużą rolą w takim przypadku będą pełnili inżynierowie procesu, którzy przy znajomości niuansów technologicznych, doświadczenia i świadomości istnienia zagrożeń cyberterroryzmu, będą wstanie ukierunkować diagnostykę w kierunku ingerencji zewnętrznej w proces.

Podsumowanie

Rosnąca rola systemów informatycznych w firmach produkcyjnych sprawia, że cyberbezpieczeństwo nie może być już więcej opcjonalne w zakresie obowiązków działów inżynierii ds. Procesu Produkcyjnego. Inżynier musi rozumieć zagrożenia wpływające na jego proces od strony cyberterroryzmu, a świadomość tych zagrożeń powinna być traktowana na równi ze świadomością o zagrożeniach procesowych i bezpieczeństwa personelu.

Źródła artykułu i dodatkowe materiały

  1. Harvard Business Review 12/1 2019
  2. Consequence-driven Cyber-informed Engineering (CCE). Mission Support Center Concept Paper.Idaho National Laboratory. October 18, 2016 https://www.osti.gov/servlets/purl/1341416
  3. https://niebezpiecznik.pl/post/tworcy-tritona-zagrazaja-bezpieczenstwu-obiektow-przemyslowych-i-bardzo-dobrze-sie-kryja/
  4. https://pl.wikipedia.org/wiki/Stuxnet#cite_note-13
  5. “Twórcy Flame mieli silne wsparcie. Od…” https://tech.money.pl/it-i-telekomunikacja/artykul/tworcy-flame-mieli-silne-wsparcie-od-,56,0,1104184.html