Technikum Mechatroniczne_styczeń 2024 r.

Coraz szerszego wykorzystywania komunikacji opartej o standard Ethernet powszechny w środowiskach IT i coraz szerszą wymianę danych pomiędzy środowiskiem OT a IT.

Całkowitego wykluczania sterowników PLC ze środowiska OT, ze względu na ich przestarzałą budowę.

Włączenia funkcjonalności SCADA do dedykowanych systemów biurowych w zminimalizowania kosztów utrzymania systemów.

Laptopy, drukarki i skanery, przeglądarki stron internetowych.

Sterowniki PLC, serwery, stacje inżynierskie, czujniki pomiarowe, elementy wykonawcze.

Systemy kontroli dostępu fizycznego, kamery, telefony stacjonarne.

Wykrywania podatności systemów komputerowych

Sterowania, nadzoru i zbierania danych nt. procesu przemysłowego

Zarządzania stacjami komputerowymi

panel operatorski HMI powszechnie stosowany w przemyśle

zmanipulowanie Przyrządowego systemu bezpieczeństwa (tzw. SIS) instalacji technologicznej

sieć korporacyjną wykorzystującą drukarki sieciowe

do fizycznego uszkodzenia maszyn służących do wzbogacania uranu na bardzo dużą skalę, co m.in. opóźniło irański program nuklearny

do masowego skasowania danych typu: dokumenty, arkusze kalkulacyjne, e-maile, pliki zastępując je obrazem płonącej flagi amerykańskiej

do sparaliżowania sieci komputerowej zakładu znanej korporacji i ewakuacji awaryjnej pracowników z budynków

Utrata zdolności sterowania procesem przemysłowym (np. przesyłu gazu).

Kradzież danych z systemu SAP.

Wyciek informacji nt. aplikacji zainstalowanych na komputerach biurowych .

Urządzenia typu Access Point, adaptery USB, telefony komórkowe z funkcją udostępniania internetu.

Monitor, drukarka sieciowa.

Głośniki, słuchawki.

System zbudowany z różnych modułów funkcjonalnych wykorzystywany do zarządzania stacjami komputerowymi pracowników (m.in. operatorów).

System wspomagający kontrolę procesów HR.

System sterowania złożony z rozproszonych geograficznie i logicznie jednostek sterujących wraz z systemem nadrzędnym.

Obsługi sygnałów wejściowych z sensorów oraz sterowania urządzeniami wyjściowymi na obiektach technologicznych zgodnie z wgranym programem.

Zapewnienia komunikacji pomiędzy komputerem biurowym, a stronami www.

Odbierania i obróbki plików wysyłanych poprzez system pocztowy.

urządzenia zdalnego dostępu

systemy kontroli dostępu fizycznego

zasoby komputerowe wykorzystujące komercyjne systemy operacyjne (m.in. MS Windows)

Drukarki

Zawory regulacyjne (np. przepływu gazu)

Syreny dźwiękowe

Wyłudzanie informacji poufnych lub nakłanianie do określonych działań przez podszywanie się pod jakąś osobę / instytucję. Może dotyczyć zarówno użytkowników systemów IT, jak i OT.

Atak polegający na uzyskiwaniu nieuprawnionego dostępu do systemów komputerowych na skutek przechwycenia nawiązanej sesji użytkownika z aplikacją. Nie dotyczy środowiska OT.

Atak polegający na wykorzystaniu błędów programistycznych w aplikacjach systemów OT.

Wszystkie dostarczone bezpośrednio przez firmy zewnętrzne działające na rzecz spółki.

Wszystkie wyraźnie oznaczone, pod warunkiem braku oznak uszkodzenia lub naruszenia obudowy.

Tylko spełniające szereg wymagań, m.in. zaewidencjonowane, odpowiednio oznaczone, zweryfikowane i przeskanowane przed podłączeniem.

Wyłącznie w celu wyłudzenia pieniędzy w zamian za odszyfrowanie danych, które zostały zaszyfrowane bardzo mocnym mechanizmem trudnym do złamania.

Głównie w celu uniemożliwienia użytkownikom dostępu do danego komputera lub sieci poprzez zdalne przejęcie ich konta dostępowego

W celu zakłócania, wyłączania, niszczenia lub złośliwego kontrolowania środowiska OT/ infrastruktury komputerowej lub sieciowej, naruszenia integralności danych lub kradzieży poufnych informacji

są niezwykle rzadkie, miały miejsce tylko na Bliskim Wschodzie i w USA i miały niewielkie skutki.

są coraz częstsze oraz występują w różnych formach (od bardzo prostych do bardzo zaawansowanych, wieloetapowych). Skuteczne przeprowadzone mają najczęściej poważne skutki dla organizacji.

Miały miejsce wielokrotnie w ciągu ostatnich 5 lat na całym świecie, ale liczba tych ataków systematycznie i wyraźnie maleje.

bezpośrednią podmianą parametrów sterujących w ustalonym zakresie

utratą kontroli nad infrastrukturą OT z poziomu systemów SCADA, zatrzymaniem procesu technologicznego

bezpośrednią utratą poufnych danych

masowo szyfrował dane na komputerach na całym świecie w celu wyłudzenia okupu

blokował telefony komórkowe z systemem Apple iOS / Android

doprowadził do zatrzymania awaryjnego huty w Niemczech i uszkodzenia jego infrastruktury

System bezpieczeństwa fizycznego

Łańcuch dostaw oprogramowania

Pracownik organizacji

Związany jest z techniką informatyczną, taką jak: połączenia sieciowe, sprzęt komputerowy, drukarki, oprogramowanie, telekomunikacja, Internet.

Systemów opartych na układach mikroprocesorowych używanych do zarządzania procesami przemysłowymi, powszechnie stosowane w wielu sektorach i gałęziach przemysłu.

Jest to koncepcja, wedle której jednoznacznie identyfikowalne przedmioty mogą pośrednio albo bezpośrednio gromadzić, przetwarzać lub wymieniać dane za pośrednictwem inteligentnej instalacji elektrycznej.

Warto sprawdzić jego zawartość na komputerze przed przekazaniem do jakiejkolwiek innej osoby.

Można przeskanować urządzenie na laptopie biurowym ze względu na aktualne i sprawdzone oprogramowanie antywirusowe, a następnie przekazać do Service Desk.

Należy zgłosić to jako potencjalny incydent cyberbezpieczeństwa np. do jednostki SOC lub Service Desk w Spółce nie podłączając nigdzie urządzenia.

Przede wszystkim sprawdzeniu liczby użytkowników.

Weryfikacji aktualności systemu.

Usunięciu wszelkich kont nieużywanych lub kont o nadmiarowych uprawnieniach.

administratorskich, aby nie blokować pełnej funkcjonalności systemu na wypadek awarii np. sensorów pomiarowych

współdzielonych dla wielu użytkowników, aby ułatwić dostęp do systemu

użytkownika o skonfigurowanych najniższych możliwych uprawnieniach

przydzielone obowiązki w ramach systemu i być ograniczone do niezbędnego minimum

ilość lat przepracowanych w spółce i wiedzę nt. głównych procesów biznesowych organizacji

wymagania techniczne systemu

uznawane są za praktycznie niemożliwe do pominięcia / oszukania.

mogą być „oszukiwane” niekiedy prostymi metodami.

mogą być złamane tylko przy udziale projektanta takiego systemu, ze względu na stosowane zaawansowane algorytmy szyfrowania i metody sztucznej inteligencji.

są zawsze niezwykle trudne do złamania, wymagają zaangażowania zorganizowanych i dużych grup osób o specjalnych umiejętnościach.

mogą być bardzo łatwo złamane w niektórych przypadkach, np. jeśli stosowane są hasła domyślne (ustawiane fabrycznie).

zawsze gwarantują ochronę przed nieautoryzowanym dostępem.

15 znaków, w tym preferowaną większość cyfr

co najmniej 12 znaków w tym duże i małe litery, cyfry oraz znaki specjalne (dla komponentów, które to umożliwiają)

co najmniej 10 znaków, w tym przynajmniej połowa znaków specjalnych

Nie wiąże się z istotnym ryzykiem, ponieważ urządzenia te należy traktować jak zwykłe laptopy, które już działają w spółce.

Wiąże się z ryzykiem m.in. ze względu na swobodny dostęp urządzeń do internetu, swobodę w instalowaniu oprogramowania oraz najczęściej brak (aktualnego) oprogramowania antywirusowego.

Wiąże się tylko z niewielkim ryzykiem, łatwym do oszacowania i zminimalizowania. Urządzenia tego typu standardowo integruje się z systemami sterowania OT/SCADA .

W sposób ograniczający dostęp osób nieupoważnionych oraz zgodnie z zaleceniami producenta.

W sposób, który wyłącznie zapewnia ochronę przed uszkodzeniem fizycznym.

W przeznaczonym do tego celu pomieszczeniu, do którego klucz ma wyłącznie dyrektor oddziału.

przez użytkownika systemu mającego prawa administratora po autentykacji i autoryzacji oraz wcześniejszym spełnieniu kilku innych wymagań.

dla użytkownika dobrze znającego system, jeżeli uważa on, że potrzebuje podłączyć takie urządzenie w celach służbowych.

jedynie po każdorazowej zgodzie dyrektora Pionu Informatyki.

Poufność danych

Dostępność danych dla operatorów w czasie rzeczywistym

Bezpieczeństwo procesu przemysłowego

Nie miały miejsca w środowiskach OT, a były ukierunkowane na sieci korporacyjne wykorzystując tą samą lukę techniczną komputera.

Miały wielokrotnie miejsce w środowiskach OT. Zdefiniowanych jest wiele różnych typów ataków z wykorzystaniem pamięci USB.

Są bardzo mało prawdopodobne w środowisku OT ze względu na brak dostępnych portów USB w komputerach pracujących w OT.

Powinno zostać zapamiętane w systemie dla każdego użytkownika tak, aby nie trzeba było go wpisywać za każdym razem i móc szybciej zacząć pracę.

Nie jest tajemnicą w obrębie danego pionu oraz pomieszczenia ze stanowiskiem pracy

Z punktu widzenia bezpieczeństwa powinno być wprowadzane przez użytkownika przy każdym logowaniu.

sformatowane przez dowolnego pracownika spółki.

podłączone do dowolnego laptopa biurowego w celu sprawdzenia zawartości urządzenia.

poddane procesowi bezpiecznego i trwałego usunięcia danych przy uwzględnieniu wymagań producenta.

generalnie nie dotyczy środowiska OT na świecie, natomiast może się to zmienić w najbliższych latach i będzie miało to wpływ na cyberbezpieczeństwo środowiska OT.

coraz bardziej wpływa na przemysł od kliku lat, również na kwestie bezpieczeństwa środowiska OT, m.in. poprzez łączenie środowisk OT z IT w tym wprowadzanie rozwiązań chmurowych.

dotyczy środowiska OT wyłącznie, jeśli wykorzystuje ono środowisko chmurowe.

przede wszystkim z ochroną personelu, jako elementu w bezpieczeństwie systemów OT.

głównie z zabezpieczaniem infrastruktury spółki przed terroryzmem.

m.in. z zapewnieniem ochrony pomieszczeń, sprzętów, infrastruktury i personelu spółki.

mogą być stosowane wymiennie ze środkami bezpieczeństwa sieci informatycznych dla większości systemów OT.

są ostatnim, najważniejszym elementem w koncepcji warstwowego modelu obrony środowiska OT.

są jednym z kliku elementów w koncepcji warstwowego modelu obrony środowiska OT.

Brak kamer wykorzystywanych do monitorowania obiektu lub brak pracowników ochrony.

Nadmiarowe uprawnienia dostępu fizycznego pracowników w obrębie obiektu/budynku z systemami OT/SCADA.

Brak jakichkolwiek systemów kontroli dostępu do pomieszczeń z systemami OT/SCADA.

przeprowadzić ocenę ryzyka związanego z nieuprawnionym dostępem.

zakupić sprzęt wyłącznie wysokiej jakości, głównie do monitorowania wizyjnego obiektu.

zapewnić szkolenia z zakresu bezpieczeństwa dla administratorów systemów OT/SCADA.

Najlepiej osobiście do pracowników ochrony.

Wskazane jest informowanie mailowo do swojego przełożonego po upewnieniu się, że występuje istotne zagrożenie .

Mailowo lub telefonicznie do Service Desk lub SOC; bez zbędnej zwłoki.

mogą być zostawiani bez opieki upoważnionej osoby, ponieważ udzielono już im zgody na wstęp na obiekt i nie należy angażować w to dodatkowych zasobów.

zawsze wiedzą gdzie i jak się poruszać samodzielnie, ponieważ przejrzeli i podpisali odpowiednie dokumenty przed wejściem na obiekt.

zasługują na szczególną uwagę nie tylko ze względu na możliwą złośliwą działalność, ale także wyrządzenie niezamierzonych szkód / zaburzeń w pracy obiektu.

zapewnienie prawidłowego i ciągłego działania sprzętów znajdujących się w sieci OT/SCADA poprzez wyeliminowanie dostępu do tych sprzętów dla firm trzecich.

zapewnienie bezpieczeństwa w szczególności kopii zapasowych serwerów.

zapewnienie ewidencji i rozliczalności osób, które mają fizyczny dostęp do systemów OT/SCADA.

Na wykorzystaniu zaawansowanych technologii komputerowych. Nie są stosowane w odniesieniu do ataków na konta i hasła.

Na podszywaniu się atakującego pod „zaufane” osoby / podmioty / firmy m.in. w celu wyłudzania poufnych danych lub nakłaniania do określonych akcji. Mogą być stosowane jako jeden z etapów w celu przejęcia konta / hasła.

Na badaniu podatności kont systemów komputerowych na cyberatak.

uczestniczą ludzie, w tym użytkownicy systemów OT, którzy powinni mieć świadomość różnych zagrożeń i technik ataków, które omijają powszechne środki bezpieczeństwa fizycznego.

nie uczestniczą ludzie, a osprzęt techniczny, którego jakość jest kluczowa.

uczestniczą tylko administratorzy systemów OT/SCADA, dlatego w szczególności powinni być szkoleni pod tym kątem.

tylko różne odmiany złośliwego oprogramowania.

awarie systemów OT/SCADA wywołane głównie ukierunkowanym atakiem hakerskim na daną organizację.

m.in. zaniedbanie użytkownika, wirusy, przejęcie konta dostępowego systemu OT, inżynierię społeczną czy ataki odmowy usługi.

Zarządzanie projektami wdrożeniowymi z zakresu IT.

Rozwój infrastruktury OT/SCADA w celu zwiększonej dostępności ważnych informacji dla szerokiego grona użytkowników usługi kluczowej.

Zbieranie informacji nt. zagrożeń i podatności cyberbezpieczeństwa, zarządzanie incydentami cyberbezpieczeństwa.

w szczególności testowanie aplikacji SCADA i ich funkcjonalności jako kluczowego elementu środowiska.

zarządzanie incydentami cyberbezpieczeństwa.

badania podatności cyberbezpieczeństwa paneli operatorskich.

drukarki, niszczarki, klawiatury, płyty CD

sterowniki PLC, sensory, elementy wykonawcze

pamięci typu Pendrive, płyty CD / DVD, karty SD, zewnętrzne dyski twarde

uświadamianie pracowników, stworzenie systemu zachęt i restrykcji, karanie pracowników za generowanie poważnych incydentów cyberbezpieczeństwa.

wykrywanie, zgłaszanie, reagowanie i raportowanie nt. incydentów.

głównie identyfikacja i mierzenie czasu obsługi incydentów.

Wykrywaniem, przyjmowaniem, reagowaniem i raportowanie nt. zdarzeń cyberbezpieczeństwa. Jednostka działa 24 godziny na dobę, 7 dni w tygodniu.

Wykrywaniem, przyjmowaniem, reagowaniem i raportowanie nt. zdarzeń cyberbezpieczeństwa. Jednostka działa od poniedziałku do piątku od 7.00 do 17.00.

Wsparciem Service Desk w ramach aktualizacji system antywirusowych na stacjach komputerowych spółki.

Warto samodzielnie spróbować wykorzystać ją do przeprowadzenia cyberataku w ramach edukacji i przekazać wnioski do przełożonego – można otrzymać za to nagrodę.

Nie podejmować żadnych działań – w spółce wszystkie podatności systemów komputerowych wykrywa zaawansowane narzędzie komputerowe.

Zgłosić podatność do jednostki SOC / Service Desk i administratora systemu bez podejmowania prób wykorzystania podatności w systemie spółki.

Nie należy podejmować samodzielnych prób analizowania plików systemowych tak, aby nie naruszyć / zmanipulować lub zniszczyć potencjalnych informacji nt. zdarzenia / incydentu.

Natychmiast wyłączyć daną stację komputerową (nawet jeśli to serwer) bez zbędnej zwłoki i konsultacji z kimkolwiek, aby uniknąć możliwych dalszych infekcji systemu.

Samodzielnie podjąć próbę analizy sytuacji, jeśli czujemy się na siłach i mamy czas.

przede wszystkim bramy antywłamaniowe.

kontrolowane wydawanie kluczy osobom uprawnionym (poprzez wypełnianie i sprawdzanie odpowiednich rejestrów).

systemy kontroli dostępu, system sygnalizacji włamania.

wygląda jednakowo w każdej firmie powyżej 1000 osób zgodnie z tą samą normą.

różni się w ramach różnych firm i jest dopasowany do danej organizacji. Spółka Gaz-System posiada wdrożony własny proces zarządzania incydentami cyberbezpieczeństwa.

nie jest dopasowany do struktury organizacji, a do liczby pracowników.