3 godzin temu
Konwergencja technologii informatycznych (IT) i operacyjnych (OT) przyspiesza, ale jej wdrożenie wciąż obarczone jest fundamentalnymi błędami w zakresie bezpieczeństwa. Z analizy firmy Claroty, opartej na danych z ponad 125 000 zasobów przemysłowych, wynika, iż 36% z nich zawiera co najmniej jedną znaną i aktywnie wykorzystywaną przez hakerów lukę (KEV). Co więcej, 13% wszystkich badanych zasobów OT posiada niezabezpieczone połączenie z internetem, tworząc łatwo dostępne punkty wejścia do sieci korporacyjnych i przemysłowych.
Świat przemysłu od lat balansuje na styku dwóch rzeczywistości. Z jednej strony znajduje się hermetyczny, wyspecjalizowany ekosystem technologii operacyjnych (OT), zaprojektowany z myślą o stabilności i ciągłości procesów fizycznych. Z drugiej – dynamiczny i połączony świat IT, napędzający analitykę, zdalną pracę i efektywność biznesową. Ich połączenie jest nieuniknione i pożądane, ale generuje ryzyka, których skala dopiero zaczyna być w pełni rozumiana.
Analiza zespołu badawczego Team82 z Claroty rzuca na to wyzwanie nowe, niepokojące światło. Stwierdzenie, iż ponad co trzeci zasób OT posiada znaną i możliwą do wykorzystania podatność, jest alarmujące. Nie chodzi tu o teoretyczne słabości, ale o luki wpisane na listę Known Exploited Vulnerabilities (KEV), co oznacza, iż istnieją gotowe narzędzia i metody pozwalające na ich użycie w realnych atakach.
Jeszcze bardziej problematyczny jest fakt, iż 13% tych urządzeń jest w pełni widocznych z publicznego internetu. Nie jest to komunikacja jednokierunkowa czy ograniczona do serwerów producenta. To pełna ekspozycja, która pozwala atakującym na swobodne skanowanie zakresów adresów IP w poszukiwaniu potencjalnych celów.
Klejnoty koronne na wyciągnięcie ręki
Analiza schodzi na jeszcze głębszy poziom, koncentrując się na najbardziej krytycznych elementach infrastruktury przemysłowej: inżynierskich stacjach roboczych (EWS) oraz interfejsach człowiek-maszyna (HMI). To cyfrowe centra dowodzenia, z których inżynierowie i operatorzy monitorują, kontrolują i aktualizują procesy produkcyjne. Kompromitacja takiego systemu jest dla atakującego scenariuszem idealnym.
Dane pokazują, iż 13% tych kluczowych zasobów również posiada niezabezpieczone połączenie z siecią globalną. Połączenie wysokiej krytyczności, ekspozycji na atak i podatności czyni z nich główny cel dla cyberprzestępców. Co gorsza, 36% z tych niezabezpieczonych systemów EWS i HMI także zawiera co najmniej jedną znaną lukę.
Przejęcie kontroli nad stacją inżynierską lub HMI otwiera drogę do poruszania się w głąb architektury przemysłowej, często zorganizowanej według Modelu Purdue. Atakujący może eskalować uprawnienia i przemieszczać się lateralnie z firmowej sieci IT do serca sieci OT, gdzie potencjalne szkody – od zatrzymania produkcji po fizyczne zniszczenia – mogą być katastrofalne.
Zdalny dostęp: obosieczny miecz
Wzrost ekspozycji sieci OT nie jest wynikiem zaniedbań, ale świadomej strategii biznesowej. Pandemia ugruntowała model pracy zdalnej, a globalizacja wymusza korzystanie z usług zewnętrznych dostawców i serwisantów, którzy potrzebują dostępu do systemów przemysłowych. Ten zdalny dostęp, choć najważniejszy dla efektywności operacyjnej, drastycznie zwiększa powierzchnię ataku.
Wyzwanie nie polega więc na tym, by odciąć zakłady produkcyjne od internetu – to już niemożliwe. Chodzi o znalezienie równowagi między zapewnieniem niezbędnego dostępu a jednoczesnym wdrożeniem granularnej i bezpiecznej kontroli nad każdą interakcją z systemami cyber-fizycznymi (CPS).
Od obrony obwodowej do Zero Trust
Tradycyjne podejście do bezpieczeństwa, oparte na obronie obwodowej (tzw. “zamku i fosy”), przestaje być skuteczne w świecie, gdzie granice sieci zacierają się, a zagrożenie może pochodzić również z wewnątrz. Odpowiedzią na te wyzwania jest architektura Zero Trust (pol. “zero zaufania”), która opiera się na zasadzie “nigdy nie ufaj, zawsze weryfikuj”. Wymusza ona ścisłą kontrolę dostępu opartą na tożsamości, przyznawanie minimalnych niezbędnych uprawnień i ciągłe monitorowanie sesji.
Do adaptacji takich modeli skłaniają nie tylko rosnące ryzyka, ale także nowe regulacje, takie jak unijna dyrektywa NIS2. Nakłada ona na operatorów infrastruktury krytycznej surowe wymogi w zakresie zarządzania ryzykiem i raportowania incydentów, co w praktyce wymusza implementację nowoczesnych mechanizmów bezpieczeństwa.
