Pokračujeme v sérii rozhovorov s našimi Soitron špecialistami, určenej ako inšpirácia pre priemyselný sektor. Na príklade úspešného projektu v českej Remoske sa bavíme o tom, čo všetko je nevyhnutný základ a čo ďalšie by mohli byť „nice to have“ veci, ktoré by ešte výrobný podnik mohol mať. Radíme, s čím pri plánovanej prestavbe začať, prečo sa zmeny netreba báť a ako to celé uchopiť. Po prvom rozhovore o sieťovej infraštruktúre sme sa tentokrát zamerali na výrobu z pohľadu bezpečnosti so Stanislavom Smolárom, naším vedúcim oddelenia kyberbezpečnosti.
Stano, povedz nám, čo všetko sme realizovali v Remoske z pohľadu bezpečnosti?
Začnime tým, ako bola v Remoske navrhnutá sieťová infraštruktúra. Od toho sa dostaneme aj k bezpečnosti. Pri návrhu riešenia sme sa opierali o dva kľúčové dokumenty. Prvý z nich je Cisco Validated Design pre bezpečnosť vo výrobe. Obsahuje základné parametre, ako má byť dizajnovaná sieť, vzdialený prístup do siete, ako má byť riešená segmentácia siete a prestupy medzi jednotlivými časťami infraštruktúry. Druhým štandardom, na ktorý sme sa zamerali, je ISA/IEC 62443, čo je sada tzv. best practices pre industriálnu infraštruktúru z pohľadu kybernetickej bezpečnosti.
Čo to v praxi znamená?
Znamená to, že od začiatku sa myslelo na to, aby bola v Remoske sieť dobre rozsegmentovaná. Keď sa dizajnujú industriálne siete, tak veľmi dôležitá je segmentácia siete medzi IT časťou a industriálnou OT časťou. Napríklad z office siete by sa nemal len tak niekto dostať do tej industriálnej. Je dôležité oddeliť funkčné celky tak, aby sa prípadný malware nemohol šíriť do tých častí siete, ktoré sú pre fabriku najpodstatnejšie. Ide napríklad o industriálnu sieť, na ktorej bežia stroje, PLC-čka, rôzne roboty atď.
Z tohto dôvodu sme použili industriálne Cisco firewally a switche, špecializované do ťažkého prostredia, inštalované priamo pri výrobnej linke v tzv. DIN lištách. Okrem toho sme použili aj klasické Cisco Firepower Threat Defense ako virtuálnu platformu. Celé je to rozsegmentované do logických celkov tak, aby všetko komunikovalo len s tým, čo je nevyhnutné. Je to riadené z jedného management centra v rámci tých pravidiel.
Ďalšia kľúčová vec, ktorá sa v Remoske riešila, je vzdialený prístup dodávateľov. Ten bol riešený cez overovanie prístupov do siete vďaka Cisco ISE spolu s cloudovým Microsoft Active Directory. Je tam zároveň aj multifaktor – Microsoft Authenticator. Tým pádom vieme zabezpečiť bezpečný prístup dodávateľov ku strojom, keď ich potrebujú servisovať. Treba spomenúť, že práve toto býva typický problém vo výrobných podnikoch. Pokiaľ si fabrika nie je vedomá toho, že by to mala riešiť, tak každý dodávateľ si spraví vlastný prístup vo svojej réžii. Avšak to nie je štandardizované. Práve toto potom býva „slabé miesto“ pri kompromitácii, keď sa útočník môže dostať do infraštruktúry fabriky cez nechránený prístup niektorého z dodávateľov strojov.
Prečo treba použiť práve tieto industriálne zariadenia? Nestačia klasické switche a firewally?
Záleží na tom, kde sú nainštalované. Keď budú nainštalované v serverovni, tak nie je dôvod používať industriálne. Ale zasa industriálne firewally majú špecifické vlastnosti, ktoré tie normálne firewally nemajú. Tieto komponenty sú určené na použitie v náročných podmienkach, napríklad tam, kde je vyššie elektromagnetické žiarenie, vysoká prašnosť alebo extrémne teploty. Čiže keď sa pozrieme na to, v akom prostredí môžu tieto zariadenia fungovať, tak vidno zásadný rozdiel medzi bežným firewallom a industriálnym. To isté platí aj pre switche.
Industriálne zariadenia sú niekde úplne inde z hľadiska toho, aké bezpečnostné funkcie poskytujú oproti bežným komponentom. Zásadný rozdiel je napríklad v tom, že industriálne siete väčšinou bežia na iných protokoloch ako bežné siete a industriálne firewally vedia filtrovať aj tieto industriálne protokoly. Ich ďalšou vlastnosťou, ktorá je podľa mňa kľúčová, je, že industriálne firewally sú principiálne odlišné od bežných firewallov v tom, že keď takéto zariadenie prestane fungovať, tak neblokuje komunikáciu, ale je tam tzv. Pass-through interface, čiže komunikácia síce nebude kontrolovaná, ale bude prebieha naďalej.
V bezpečnosti sa veľmi často pracuje s výrazom „Crown Jewels“. Čiže čo je tým „rodinným zlatom“ pre výrobný podnik. Je to jednoznačne samotná prevádzka podniku, pretože výpadok výrobnej linky znamená obrovské finančné straty. Preto keď sa niekto pýta, prečo by mali investovať do industriálnych zariadení, tak sa ho treba spýtať jednoduchú otázku: „Čo by ste mali radšej dobre zabezpečené – IT časť alebo OT časť? Čo vám zarába peniaze?“ A odpoveď je jasná. Bez office IT časti vie fabrika fungovať aj naďalej, ale ak sa útočník či malware dostanú do industriálnej OT časti, tak sa bavíme o strate príjmu podniku a neschopnosti plniť si svoje záväzky.
Oddelenie IT od OT časti vo výrobnom podniku možno chápať ako novátorský prístup? Alebo je to niečo, čo je dnes v praxi už bežné?
Je to štandard, ktorý tu máme 15 – 20 rokov, čiže je relatívne dlho na svete. Historicky však nebola motivácia to vo výrobných podnikoch riešiť. Jedna z primárnych príčin, prečo to tak bolo, je, že tieto industriálne siete boli v minulosti brané ako air-gapped prostredie bez prepojenia na IT systémy. Buď boli úplne analógové alebo to nebolo nijako ošetrené. Ale dôvod, prečo to už budú musieť organizácie riešiť, je Zákon o kybernetickej bezpečnosti a smernica NIS2. Tá zásadná zmena bude v tom, že viaceré subjekty zo súkromnej sféry budú pod tieto právne normy spadať. Pre priemysel je predpoklad, že sa to bude týkať všetkých väčších výrobných podnikov. Napríklad, ak by Remoska spadala medzi subjekty, ktorých sa smernica NIS2 týka, tak je do veľkej miery na túto legislatívu pripravená. A to aj vďaka tomu, že sme v nej implementovali jednotlivé bezpečnostné postupy podľa validovaných dizajnov a štandardov.
Existuje niečo, čo ti z pohľadu bezpečnosti pre priemyselný sektor ešte dáva zmysel?
V dnešnej dobe sa dosť pracuje aj s viditeľnosťou do industriálnych protokolov. To znamená, že je dobré mať nástroj, ktorý rozumie komunikácii strojov a vie urobiť bezpečnostnú analýzu. Zároveň sa tieto dáta dajú použiť aj na troubleshooting prevádzkových problémov, ak je tam napríklad chyba v konfigurácii. Na toto využívame produkt Cisco Cyber Vision.
Môžeš mi bližšie popísať, ako tento nástroj funguje?
Ako som už spomínal, iné protokoly bežia vo výrobnej časti a iné protokoly v office časti továrne. V rámci IT časti máme nástroje, ktoré zabezpečia tzv. viditeľnosť siete. To znamená, že vieme, ako prebieha komunikácia jednotlivých zariadení v tejto IT sieti, kto s kým komunikuje, vieme sa k nej spätne vrátiť. Lenže nástroje, ktoré fungujú v IT časti, nerozumejú komunikácii zariadení v OT časti, pretože výrobné stroje bežia na špecifických protokoloch. Cisco Cyber Vision je určený práve na „čítanie“ týchto industriálnych protokolov. Ak by som to mal porovnať s niečím z Cisco portfólia, tak je to niečo ako Cisco Secure Network Analytics, akurát je to určené pre OT časť. Industriálne switche, ktoré sme použili aj v Remoske, slúžia ako tzv. senzory pre Cisco Cyber Vision. Čiže vedia preposielať určité informácie z týchto switchov priamo do tohto nástroja na bezpečnostnú analýzu.
Pre zaujímavosť, Cisco Cyber Vision bola akvizícia spoločnosti Cisco. Pôvodne išlo o francúzsku firmu Sentryo a my sme s nimi spolupracovali ešte skôr, ako ich Cisco akvizovalo. Čiže sme v podstate boli vyškolení na túto platformu ešte predtým, ako ju Cisco oficiálne spustilo. S týmto produktom máme najdlhšie skúsenosti a myslím si, že sme jediní, kto sa ním seriózne zaoberá.
Je ešte niečo ďalšie, čo by vedeli výrobné podniky využiť?
Jedna vec je mať správne nastavený vzdialený prístup, to znamená cez multifaktor a nejako štandardizovaný tak, že každý dodávateľ vidí len svoje zariadenia. Ale ak by sme chceli ísť o úroveň vyššie, tak môžeme zakomponovať do vzdialeného prístupu aj Privileged Access Managemet. Ide o riešenie, ktoré vie izolovať dodávateľov od tých zariadení, ktoré spravujú. Takto potom úplne minimalizujeme riziko, že by napríklad administrátor dodávateľa spôsobil nejakú škodu fabrike, pretože je to úplne odsegmentované na sieťovej úrovni a dodávateľ ani nevie heslá na zariadenia, ktoré spravuje.
Dôležitá je už spomínaná viditeľnosť do industriálnych protokolov. Nad ňou ako bezpečnostná nadstavba sú potom tzv. Intrusion prevention systémy, ktoré vedia robiť s industriálnymi protokolmi, ale tie sa dnes ešte málo využívajú.
Vráťme sa ešte na chvíľu k Remoske. Mala v niečom výhodu oproti iným podnikom?
Určite greenfield bol jednoznačná výhoda, tak pre samotnú fabriku, ako aj pre nás – Soitron, ako hlavného IT architekta celého riešenia. Väčšinou je zložitejšie zlepšovať existujúce a robiť to postupne, ako postaviť celú fabriku nanovo na zelenej lúke. Celé riešenie sme mohli navrhnúť tak, ako by to ideálne malo vyzerať a nemuseli sme bojovať s nejakými obmedzeniami a nedokonalosťami z minulosti.
A čo podniky, ktoré majú existujúcu výrobu a nezačínajú na zelenej lúke? Máme aj pre nich riešenie?
Určite áno. Vždy to je len o tom, o aké veľké riziká ide. Treba začať tými vecami, ktoré sú najviac rizikové. Ideálne je zmapovať celú sieť cez analytický nástroj, aby sme sa nebavili len o teoretických rizikách, ale aj o konkrétnych z praxe. My na to používame napríklad nástroj Soitron Security Sensor. Následne navrhneme, čo by sa malo robiť, a potom sa bavíme so zákazníkom, do čoho vie investovať teraz, do čoho neskôr a on si to zaradí do svojho dlhodobého plánu investícií. Snažíme sa k tomu pristupovať tak, že začneme s vecami, kde vieme adresovať relatívne vysoké riziká za rozumné peniaze. Zadefinujeme, kde je riziko veľké a náprava nie je až tak bolestivá. Takto postupne odstraňujeme tie najväčšie riziká až sa dostaneme do stavu, kedy s tým môže byť zákazník relatívne komfortný. Popritom má určite zmysel robiť aj formálnu analýzu rizika, Bussiness Impact analýzu, prípravy či úpravy bezpečnostných smerníc a procesov tak, aby boli v súlade so zákonmi.
Čo by si poradil priemyselným podnikom, ktoré by si chceli zlepšiť zabezpečenie svojej výroby, ale nevedia kde a ako začať?
Odporučil by som začať zmapovaním ich siete. Veľa organizácií si myslí, že sa ich kybernetické útoky netýkajú. Keď potom urobíme praktickú diagnostiku, sú často prekvapené. Nevedomosť o tom, čo sa deje v infraštruktúre, ich určite nespasí. Ale keď začnú tým, že si pomocou sady nástrojov zmapujú komunikáciu svojej fabriky, získajú konkrétne dáta, čo kde, ako a s čím komunikuje, kde sú aké zraniteľnosti, aké sú riziká. Potom vedia ľahšie navrhnúť plán ďalších krokov na nápravu.
Čiže určite by nemali začať „od stola“ formálnou časťou bezpečnosti v podobe spracovania bezpečnostných smerníc. Áno, aj na tieto procesné normy treba myslieť, ale malo by to ísť ruka v ruke s tým, že je to podporené konkrétnymi dátami z praxe a je za tým hlbšia myšlienka.
Ako ďalší krok prichádza do úvahy bezpečnostný monitoring. Takmer žiadny výrobný podnik nemá vlastných bezpečákov, a preto dáva zmysel držať nad týmito všetkými nástrojmi bezpečnostný dohľad, či už prostredníctvom Security Operation Center alebo formou uzatvorenia SLA supportnej zmluvy.
Ďakujem za rozhovor.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.