Aktualności

Kluczowe wnioski w zakresie skutecznego monitorowania bezpieczeństwa systemów IT/OT

Bezpieczeństwo systemów IT oraz szerzej rozumianych
systemów teleinformatycznych, systemów IoT oraz systemów
OT (sumarycznie – „cyberbezpieczeństwo”) jest coraz częściej dostrzeganą kwestią nurtującą organizacje wykorzystujące rozległą infrastrukturę powyższych typów.

Świadomość ważności zagadnień cyberbezpieczeństwa skokowo rośnie wraz z nagłaśnianiem kolejnych przypadków skutecznie przeprowadzonych ataków na infrastrukturę techniczną organizacji. Masowy SPAM, złośliwe oprogramowanie rozsyłane mailami czy też ataki typu DDoS są już dla każdego codziennością. Sukcesywnie rośnie również poziom wyrafinowania ataków cybernetycznych, również tych obserwowanych w Polsce – np. KNF oraz sektor bankowy padły ofiarą takiego ataku „skierowanego” na przełomie lat 2016/20171. Intensywność ataków cybernetycznych przekłada się również na konieczność formalnego wymuszenia oraz uregulowania stosowania zabezpieczeń teleinformatycznych jak również przydzielenia odpowiedzialności w skali ogólnokrajowej w tym zakresie – patrz „Ustawa o krajowym systemie cyberbezpieczeństwa”2. Sektor transportu, w szczególności zaś sektor transportu kolejowego należą do jednych z sektorów zaliczanych w każdym państwie do tzw. infrastruktury krytycznej kraju, podlegającej pod w/w regulacje.

Skala zagrożeń w zakresie cyberbezpieczeństwa zależy od charakteru infrastruktury występującej w danym przedsiębiorstwie. W przypadku np. operatora infrastruktury kolejowej czy też operatora przewozów mamy do czynienia z bardzo złożonym krajobrazem wyzwań, na który składają się:
typowa infrastruktura IT „biurowa”, podatna na wszystkie ataki (malware, SPAM, brak aktualizacji, uprawnienia w systemach etc. etc.), przeznaczona dla pracowników organizacji
dedykowana infrastruktura IT przeznaczona dla klientów (np. pasażerów), np. sieci WiFi dostępne w niektórych pociągach, systemy obsługi pasażera, sprzedaży i rezerwacji biletów (podatne np. na ataki DDoS polegające na sztucznym „zaduszeniu” systemów ogromną ilością sztucznych zapytań czy też na ataki na serwisy www)
dedykowana infrastruktura OT, przeznaczona np. dla automatyzacji funkcjonowania infrastruktury kolejowej (np. systemy sterowania ruchem), która pierwotnie została zaprojektowana do uproszczenia zarządzania infrastrukturą kolejową w sposób zdalny (np. przekładania zwrotnic) nie była projektowana ani analizowana pod kątem bezpieczeństwa automatyki bądź systemów bezpośrednio powiązanych (IoT oraz IT).
Właściwe „cyberzabezpieczenie” każdego z powyższych obszarów wymaga indywidualnego podejścia – podobnie jak monitorowanie stanu ich cyberbezpieczeństwa.
Przykładowo, kompleksowe cyberzabezpieczenie np. klasycznego systemu hamulca zespolonego w EZT będzie wymagać: przeanalizowania zasad działania systemu, zabezpieczenia systemów sterowania OT, zabezpieczenia systemów łączności oraz finalnie zabezpieczenia systemów IT do których spływają informacje z takich systemów. Dodatkowo trzeba też rozważyć powiązane rozwiązania IoT (np. analogicznie „automatyka” w samochodach osobowych, która częściowo umożliwia już zdalny dostęp i sterowanie pojazdem, podlega aktualizacjom i jest podatna na ataki). Trzeba przy tym pamiętać o proporcjach właściwych dla kolejnictwa … porównanie drogi hamowania składu osobowego na kolei wraz z obligatoryjnym zapasem w relacji do długości drogi hamowania samochodu osobowego poruszającego się np. z prędkością 80km/h dobrze ilustruje wrażliwość systemów kolejowych.
Skutkiem naruszeń bezpieczeństwa może być zatem zarówno poważny wypadek kolejowy, nieuprawniona modyfikacja informacji prezentowanych na wyświetlaczach peronowych czy też zdalna kradzież środków finansowych z kont bankowych organizacji.
Monitorowanie zdarzeń bezpieczeństwa będzie zatem wymagało zgromadzenia informacji pochodzących z powyższych źródeł, przeanalizowanie danych, ustalenie „krytyczności” poszczególnych zdarzeń, zagregowanie zdarzeń w incydenty oraz systematyczne przeglądanie incydentów w celu szybkiego podjęcia reakcji.
Pełne monitorowanie cyberbezpieczeństwa powinno też obejmować infrastrukturę IT, np. zdarzenia pochodzące z komputerów pracowników, serwerów pocztowych, systemów finansowo-księgowych, urządzeń sieciowych czy też serwerów www wykorzystywanych do sprzedaży biletów.
Z uwagi na ogromną ilość spływających informacji, od ponad dwudziestu lat stosuje się profesjonalne systemy automatyzujące taki proces, tj. systemy SIEM (security incident event management). W ostatnich latach systemy te służą do budowy tzw. SOC (Security operations centre), tj. specjalnych zespołów zapewniających monitoring stanu cyberbezpieczeństwa, działających również w trybie 24×7. Popularyzuje się SOC jako usługa – oferują ją największe firmy zajmujące się cyberbezpieczenstwem, także EXATEL.
Podsumowując: monitorowanie zdarzeń oraz incydentów w systemach teleinformatycznych jest możliwe, ale jest pracą żmudną, wymagającą wysiłku, i przynoszącą zdecydowanie lepsze efekty w sytuacji uporządkowania komponentów składowych infrastruktury występującej w organizacji.
Koniecznie trzeba też wziąć pod uwagę wymogi zawarte w UoKSC, nakładające na wskazane podmioty ustawowy obowiązek monitorowania zdarzeń oraz incydentów z zakresu bezpieczeństwa teleinformatycznego.
W przypadku braku czasu czy też zasobów w firmie, warto się zwrócić do podmiotu posiadającego możliwości i doświadczenie w tym zakresie.

Marcin Kobyliński
Kierownik Działu SOC Monitoring i SOC Reagowanie,
Departament Cyberbezpieczeństwa
EXATEL