Aktualizace v prostředí SCADA
Požadavky na absolvování
Zobrazit
Co je třeba si uvědomit
o aktualizacích v prostředí průmyslových sítí
Aby bylo možné určit jaký vliv mají nově objevené zranitelnosti na váš řídicí průmyslový systém, je třeba mít pečlivě zaznamenaný veškerý používaný software včetně verze produktu a nainstalovaných záplat. U hardware je třeba evidovat typ, model, verze firmware atd. Ideální je dosažení co největší automatizace, kdy systém zprávy aktiv automaticky informuje o všech nových zranitelnostech, které byly objeveny pro váš systém.
O zranitelnostech se můžete dozvědět od výrobce, ICS-CERTu, médií nebo upozornění na významné zranitelnosti bývá i na stránkách NÚKIB.
Obvykle bývá problém identifikovat, zda se objevená zranitelnost týká i vašeho systému – identifikovat verzi vašeho firmware, které funkce jsou používané a které ne – příklad pokud se zranitelnost týká webového rozhraní, které máte vypnuté.
Na rozdíl od IT není možné používat automatické aktualizace. Není možné jen tak resetovat průmyslová řídicí systém. Většina důležitých systémů běží 24 hodin denně, 7 dní v týdnu a není možné přerušit výrobu kvůli instalaci bezpečnostní aktualizace nebo nové verzi firmware.
Každá oprava nebo aktualizace firmware musí být zkontrolována na kompatibilitu s nainstalovanými aplikacemi a knihovnami. Instalace záplaty nebo aktualizace může vyvolat nechtěný vedlejší efekt jehož důsledkem může být i přerušení výroby. V mnoha provozech aktualizace odpovídá procesu řízení změn (což je dobře) a je třeba, aby byla schválena.
Neexistuje standardizovaný formát publikování aktualizací a záplat. Někteří výrobci je zveřejňují na svých webových stránkách, někteří o nich informují pomocí e-mailu a lze se setkat i s přístupem, kdy instalace záplaty způsobí zánik záruky.
Je žádoucí mít vytvořený proces pro stanovení významu aktualizace, její kompatibility a určení času, který bude zavedení aktualizace vyžadovat. Stejně tak je nezbytné mít definováno postupy pro testování aktualizací, jejich nasazování, případný návrat k předchozí verzi a kontrolu systémů po provedení aktualizací. Ideální je mít na testování aktualizací vyčleněný zvláštní testovací systém, bohužel to není ve většině případů možné pro příliš vysoké náklady na vybudování tohoto systému. Při tvorbě plánů aktualizačních procesů je možné se inspirovat například normou IEC 62443-2-3 nebo starším doporučením Recommended
Practice for Patch Management of Control Systems (DHS).
Aktualizace patří k nejvíce nákladným opatřením kybernetické bezpečnosti v průmyslových řídicích systémech, protože většinou vlastní technické oddělení nemá dostatek prostředků a znalostí pro provedení aktualizací je třeba využít dodavatele. Bohužel se jedná také o opakující se nikdy nekončicí činnost. Nové zranitelnosti se objevují každý týden. Mnoho provozovatelů proto aktualizace důsledně plánuje a provádí je jednou nebo dvakrát ročně, protože častěji to pro ně není možné zrealizovat.
Pokud uvažujeme dobu života průmyslových zařízení kolem 15 let je třeba si uvědomit postupné zastarávání použitých prostředků, zejména IT. 15 let je například pro operační systém velmi dlouhá doba a mnoho těchto systémů, přestane postupně být podporováno. Přeinstalace operačního systému sebou nese spoustu problémů. Je nezbytné ověřit, zda všechny používané softwarové prostředky jsou na novém operačním systému podporovány, zda jejich aktualizace jsou zdarma, zda nebudou vyžadovat silnější hardware a zda jsou konfigurační soubory nových verzí software navzájem kompatibilní, proto je údržba průmyslových systémů v aktualizovaném stavu opravdovou výzvou.
Také je třeba si uvědomit, že samotné aktualizace nezajistí bezpečnost vašeho průmyslového řídicího systému. Je třeba i uvědomit, že spousta průmyslových komunikačních protokolů nebyla navržena s ohledem na kybernetickou bezpečnost a neumožňuje spolehlivou autentizaci účastníků komunikace. Pokud tedy získá útočník přístup k síťovým prostředkům nebude mu nic bránit v jeho činnosti. Problémem velkého množství zejména starších zařízení je náchylnost na přetížení svého komunikačního rozhraní. Většinou pro útok typu DoS stačí obyčejný NMAP. Velkým problémem bývají webové servery umístěné na PLC, které otevírají další možností útoků jako je například cross-site scripting.
Situaci nelze zjednodušit na prohlášení, že aktualizace se nevyplatí pro špatný poměr cena/výkon, ale je třeba postupovat systematicky a zaměřit se na nejdůležitější části systému a snažit se modernizovat zařízení využívající zastaralé mechanizmy. Je vhodné upřednostnit aktualizace nejvíce exponovaných systémů jako jsou systémy umístěné v DMZ, JUMP servery a firewally. Jelikož jsou toto především IT systémy lze očekávat, že jejich aktualizace nebudou mít tak drastické nároky na testování a tedy i čas.
Je vhodné vytvořit si standardizované konfigurace a referenční architektury a snažit se je využívat, všude, kde je to možné. Například využijte stejnou konfiguraci pro inženýrské stanice, HMI a operátorské stanice. Rozšířením těchto standardizovaných stanic dojde k usnadnění následného testování aktualizací a záplat, nebude již třeba testovat tolik různých variant systémů.
Blokujte nepotřebné programy a funkce – proveďte hardening. Je výhodnější blokovat nebo odinstalovat nepotřebnou službu než ji muset udržovat neustále aktuální.
Všude, kde je to možné, využívejte whitelisting, tím sice nedojde k odstranění zranitelností systému, ale výrazně se omezí možnosti útočníka, zmenší se mu škála použitelných nástrojů.