ystemy SCADA, czyli Supervisory Control And Data Acquisition, to wszelkiego rodzaju rozwiązania techniczne służące do zbierania danych, monitorowania i kontrolowania przebiegu procesów technologicznych lub produkcyjnych. Poza przemysłem stosowane są m.in. w sektorze energetycznym i obiektach użyteczności publicznej do sterowania instalacjami wentylacyjnymi, energetycznymi czy wodociągowymi. Zalicza się je do grupy systemów OT (Operational Technology), których istotną cechą jest to, iż starzeją się one dużo wolniej, niż systemy z rodziny ICT (Information and Communication Technology). Co za tym idzie wszelkie podatności związane z technologiami przemysłowymi i występujące w nich błędy wystawiają infrastrukturę firmy na zagrożenia trwające niejednokrotnie po 10 lat lub dłużej. Brak odpowiednich procedur testowania, identyfikowania podatności i zarządzania bezpieczeństwem systemów SCADA może zatem przyprawić firmie sporych problemów.

Jak jest z tym bezpieczeństwem?

Problem bezpieczeństwa systemów SCADA jest niestety złożony. Po pierwsze systemy te bardzo często wdrażane są w infrastrukturze firmy bez odpowiedniego nadzoru ze strony służb IT, które mogłyby zawczasu zidentyfikować i zminimalizować zagrożenia. Działy produkcji, które dysponują własnymi inżynierami nie zawsze zdają sobie sprawę, że doskonała znajomość danej technologii to za mało by zadbać o jej bezpieczeństwo np. na poziomie sieci komputerowej. Systemy są też często instalowane przez firmy zewnętrzne, które szkolą pracowników z obsługi procesu technologicznego, ale już niekoniecznie przekazują odpowiednią dokumentację i wiedzę na temat aspektów związanych z konfiguracją usług sieciowych i ich bezpieczeństwem. Kolejnym często spotykanym problemem jest nieodpowiednie odizolowanie infrastruktury OT od wykorzystywanych w codziennej pracy biurowej systemów IT. Stwarza to duże ryzyko eskalacji incydentów bezpieczeństwa wywołanych np. aktywacją złośliwego oprogramowania na procesy produkcyjne.

Producenci nie dbają wystarczająco o bezpieczeństwo

Producenci i wdrożeniowcy często nie mają wystarczających kompetencji i na potrzeby integracji z sieciami komputerowymi stosują rozwiązania archaiczne, lub tworzone naprędce z pominięciem jakichkolwiek standardów bezpieczeństwa. Co gorsza, często nawet dla powszechnie znanych luk brak jest aktualizacji umożliwiających ich załatanie i konieczne jest wsparcie specjalistów z zakresu bezpieczeństwa IT aby odpowiednio wyeliminować zagrożenie. Mówiąc o bezpieczeństwie systemów przemysłowych warto wspomnieć słynnego robaka Stuxnet. Wirus ten infekował sterowniki PLC wykorzystywane w kontroli procesów produkcyjnych i wg danych firmy Symantec zainfekował ponad 100 000 komputerów z ponad 155 krajów.

Wirusy to jednak nie jedyny problem. Poniżej zamieściłem przykład systemu, do którego udało mi się uzyskać dostęp z poziomu Internetu wykorzystując zaszytego w nim przez producenta backdoora. Firma wdrożeniowa mało, że nie wiedziała o jego istnieniu, to jeszcze ułatwiła przejęcie przez nieumiejętne wdrożenie mechanizmu uwierzytelniania, który udało się pominąć w banalny sposób.

Skala problemu

Przy użyciu narzędzia Shodan udało mi się zlokalizować w Internecie 1723 systemy zawierające dokładnie tę samą podatność. A był to jedynie jeden z wielu dostępnych na rynku systemów. Jaki z tego wniosek? W procedurach zarządzania bezpieczeństwem i ciągłością biznesową bez wątpienia znaleźć się powinny cykliczne testy bezpieczeństwa systemów SCADA.