Wprowadzenie do problemu / definicja
Systemy ICS i SCADA odpowiadają za sterowanie procesami przemysłowymi w energetyce, transporcie, produkcji, wodociągach oraz innych sektorach infrastruktury krytycznej. Ich bezpośrednia ekspozycja do internetu stanowi poważne zagrożenie, szczególnie wtedy, gdy komunikacja opiera się na starszych protokołach przemysłowych, takich jak Modbus TCP, projektowanych z myślą o sieciach odizolowanych, a nie o środowisku publicznym.
W praktyce oznacza to, iż urządzenia sterujące mogą ujawniać dane procesowe, informacje identyfikacyjne oraz parametry operacyjne osobom nieuprawnionym. W części przypadków możliwa jest nie tylko obserwacja, ale także ingerencja w rejestry i ustawienia urządzeń.
W skrócie
Najnowsze analizy pokazują, iż w internecie przez cały czas widoczne są rzeczywiste urządzenia ICS odpowiadające na zapytania przez port 502, standardowo wykorzystywany przez Modbus TCP. Po odfiltrowaniu pułapek, środowisk testowych i wyników o niskiej wiarygodności badacze wskazali 179 prawdopodobnie autentycznych urządzeń przemysłowych.
Najwięcej z nich znajdowało się w Stanach Zjednoczonych, a kolejne w Szwecji i Turcji. Część systemów była powiązana z wrażliwymi środowiskami, w tym z infrastrukturą kolejową oraz energetyczną, co dodatkowo podnosi poziom ryzyka operacyjnego i bezpieczeństwa.
Kontekst / historia
Zagrożenia dla środowisk OT nie są nowym zjawiskiem. Wcześniejsze incydenty, takie jak Stuxnet, Industroyer, Triton, Havex czy BlackEnergy, pokazały, iż systemy przemysłowe mogą być celem działań sabotażowych, szpiegowskich i destrukcyjnych. Wraz z rozwojem zdalnego dostępu oraz integracji IT i OT rośnie powierzchnia ataku, a historyczne założenie o izolacji przestaje mieć zastosowanie.
Nowoczesne przedsiębiorstwa przemysłowe coraz częściej łączą warstwę produkcyjną z systemami monitoringu, usługami serwisowymi i rozwiązaniami chmurowymi. Taka konwergencja zwiększa efektywność operacyjną, ale jednocześnie może prowadzić do powstania luki strukturalnej, jeżeli bezpieczeństwo nie nadąża za zmianami architektury.
Analiza techniczna
Sednem problemu jest charakterystyka protokołów takich jak Modbus, które nie oferują natywnego uwierzytelniania ani szyfrowania. o ile urządzenie nasłuchuje publicznie na porcie 502, napastnik może wysyłać poprawne zapytania odczytu lub zapisu rejestrów bez konieczności przełamywania typowych zabezpieczeń aplikacyjnych.
W praktyce umożliwia to pozyskanie danych o wartościach napięcia, temperatury, ciśnienia, stanach wejść i wyjść, licznikach energii czy wskaźnikach jakości zasilania. Szczególnie groźne jest również ujawnianie metadanych, takich jak wersja firmware’u, identyfikator produktu czy nazwa producenta, ponieważ znacząco ułatwia to rekonesans i dobór technik ataku.
- dopasowanie publicznie dostępnych map rejestrów,
- odszukanie dokumentacji technicznej i instrukcji serwisowych,
- ustalenie prawdopodobnej funkcji urządzenia w procesie przemysłowym,
- weryfikację znanych podatności konkretnej platformy,
- przygotowanie scenariusza manipulacji parametrami procesu.
Nawet jeżeli urządzenie nie ujawnia pełnej identyfikacji, analiza zmian wartości rejestrów w czasie może pomóc w określeniu jego roli. To pozwala rozróżnić na przykład licznik energii od sterownika procesu lub modułu wejść/wyjść i lepiej dopasować dalsze działania ofensywne.
Konsekwencje / ryzyko
Bezpośrednio wystawione urządzenia ICS generują kilka warstw ryzyka jednocześnie. Pierwsza dotyczy rozpoznania środowiska, czyli możliwości zbudowania szczegółowego obrazu infrastruktury OT organizacji. Druga wiąże się z zakłóceniem pracy, gdy odczyt lub zapis rejestrów wpływa na decyzje systemów nadrzędnych albo operatorów.
Najpoważniejsza warstwa dotyczy bezpieczeństwa fizycznego i ciągłości działania. W środowisku przemysłowym incydent cybernetyczny może prowadzić do awarii procesu, przestoju linii produkcyjnej, zaburzeń w dystrybucji energii, a w skrajnych przypadkach do zagrożenia dla ludzi, środowiska i usług krytycznych.
Dodatkowym problemem pozostaje długi cykl życia urządzeń OT. Aktualizacje są wdrażane wolniej niż w klasycznym IT, często ze względu na certyfikacje, zależności od integratorów i ryzyko zatrzymania produkcji. To sprawia, iż znane słabości mogą pozostawać aktywne przez długi czas, a internetowa widoczność takiego urządzenia staje się dla przeciwnika atrakcyjnym punktem wejścia.
Rekomendacje
Podstawowym zaleceniem jest całkowite wyeliminowanie bezpośredniej ekspozycji urządzeń ICS do internetu. o ile zdalny dostęp jest konieczny, powinien być realizowany wyłącznie przez ściśle kontrolowane mechanizmy pośrednie, takie jak VPN z silnym uwierzytelnianiem wieloskładnikowym, segmentowane strefy dostępu i bramy administracyjne z pełnym rejestrowaniem sesji.
- przeprowadzić pełną inwentaryzację zasobów OT i zweryfikować ekspozycję publiczną,
- zablokować ruch do portów przemysłowych na granicy sieci,
- wdrożyć segmentację między IT i OT oraz mikrosegmentację wewnątrz OT,
- usunąć domyślne konta i hasła oraz stosować silne uwierzytelnianie tam, gdzie to możliwe,
- ograniczyć ujawnianie informacji o urządzeniach w odpowiedziach usług i interfejsach zarządzających,
- monitorować ruch Modbus, DNP3 i BACnet pod kątem nietypowych poleceń,
- aktualizować firmware i komponenty komunikacyjne zgodnie z planem zarządzania podatnościami,
- testować procedury reagowania na incydenty wspólnie dla zespołów IT, OT i utrzymania ruchu,
- utrzymywać kopie zapasowe konfiguracji sterowników, HMI i serwerów inżynierskich,
- regularnie wykonywać zewnętrzne skany ekspozycji oraz walidację konfiguracji sieciowej.
W środowiskach krytycznych warto przyjąć zasadę, iż protokoły przemysłowe nie powinny być routowane przez publiczny internet w swojej natywnej postaci. o ile organizacja potrzebuje zdalnej telemetrii lub serwisu, powinna stosować rozwiązania pośredniczące i architekturę obrony warstwowej.
Podsumowanie
Internetowa ekspozycja urządzeń ICS pozostaje jednym z najbardziej podstawowych, a zarazem najgroźniejszych błędów bezpieczeństwa w środowiskach OT. Problem wynika nie tylko z samej obecności urządzenia w sieci publicznej, ale także z adekwatności protokołów przemysłowych, które nie zapewniają poufności i uwierzytelniania.
Dla operatorów infrastruktury krytycznej oznacza to konieczność szybkiego ograniczenia powierzchni ataku, wdrożenia twardej segmentacji, kontrolowanego zdalnego dostępu i ciągłego monitorowania komunikacji przemysłowej. W miarę postępu cyfryzacji przemysłu zaniedbania w tym obszarze będą prowadzić do coraz poważniejszych skutków operacyjnych i bezpieczeństwa.
Źródła
- Security Affairs — https://securityaffairs.com/190525/ics-scada/internet-exposed-ics-devices-raise-alarm-for-critical-sectors.html
- CISA — Cybersecurity Best Practices for Industrial Control Systems — https://www.cisa.gov/resources-tools/resources/cybersecurity-best-practices-industrial-control-systems
- CISA — APT Cyber Tools Targeting ICS/SCADA Devices — https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-103a
- CISA — Common Cybersecurity Vulnerabilities in Industrial Control Systems — https://www.cisa.gov/sites/default/files/recommended_practices/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf
- CISA — Cybersecurity Best Practices for Industrial Control Systems (PDF) — https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf
