Kogeneracja w branży ciepłowniczej obejmuje, w ramach energii cieplnej i elektrycznej, dwa obszary jednocześnie – wytwarzanie i dystrybucję, co stawia tego typu zakłady przed wymagającymi zagadnieniami technologicznymi, technicznymi, logistycznymi oraz bezpieczeństwa, a w tym cyberbezpieczeństwa.
Zasilanie w surowiec jest również zróżnicowane. Chociażby systemy konwencjonalne i gazowe różnią się zasadniczo i wymagają innego podejścia.
Kolejnym aspektem jest zróżnicowanie poszczególnych systemów i rozwiązań ze względu na wiek. Często jest to połączenie starych, utrzymywanych przez dziesięciolecia technologii oraz nowych inwestycji opartych o w miarę najnowsze rozwiązania. Dodajmy do tego mnogość oraz rozpiętość geograficzną lokalizacji (zakładów) i dostajemy ogromną, zróżnicowaną technologicznie i organizacyjnie firmę, która wymaga szczególnego podejścia.
Zarządom zakładów i ich pracownikom należy się ogromny szacunek i uznanie za wiedzę, zaangażowanie i umiejętności zarządzania i utrzymania tak skomplikowanej struktury.
Stojąc przed wyzwaniem podniesienia bezpieczeństwa o aspekt ochrony cyfrowej, zastanówmy się zatem z czym się mierzymy i jaka jest skala przedsięwzięcia.
W dobie wymiany informacji i monitorowania procesów produkcji zbudowaliśmy rzeczywistość cyfrową w infrastrukturze, która do niedawna mogła się obyć bez dostępu do sieci Internet, łączenia procesów przemysłowych z częścią biznesową, zdalnych dostępów, centralnej administracji, itd.
Zwiększanie udziału systemów AKPiA zwiększyło efektywność produkcji i jednocześnie zmniejszyło liczbę awarii; poprawiło efektywność ekonomiczną, zmniejszyło liczebność załogi i zasadniczo zwiększyło bezpieczeństwo. Te same systemy wymagają zarazem coraz większych zasobów obliczeniowych. Zachęcając swoimi możliwościami do integracji zakładów w jeden system zarządczy, powodują konieczność wprowadzania rozwiązań informatycznych do procesów technologicznych i połączenia ich w skomplikowane układy sieci danych, które trzeba utrzymać i chronić.
W takiej sytuacji nie można przejść obojętnie obok potrzeby rozszerzenia zakresu monitorowania środowisk przemysłowych.
Istniejące systemy AKPiA nie są ukierunkowane na nowe aspekty monitorowania i radzenia sobie z zagadnieniami i awariami w obszarach komunikacji i cyfrowego przetwarzania danych. Są nastawione na kontrolę procesów produkcji i dystrybucji – i dobrze. Sięgamy po narzędzia IT, ale róbmy to z ogromną ostrożnością i dostosowaniem ich do tak wymagającego środowiska. Każdy błąd może zakłócić działające procesy. Zagadnienia cyberbezpieczeństwa są niesamowicie istotne, ale pójście na skróty i bezpośrednie korzystanie z narzędzi IT w środowisku OT stanowi wprowadzenie bezpośredniego zagrożenia do infrastruktury przemysłowej.
Kolejnym zagadnieniem jest to, że konieczność wprowadzania nowych systemów komunikacji i obróbki danych nie zawsze koresponduje z kompetencjami firm oraz osób wdrażających poszczególne rozwiązania.
Najpoważniejsze wyzwania tkwią wewnątrz organizacji. Pomimo starań osób merytorycznie zaangażowanych, muszą większość sił poświęcić na pokonywanie wewnętrznych problemów proceduralnych, kompetencyjnych oraz zwyczajowego już braku chęci przyjmowania na siebie odpowiedzialności. Powoduje to szereg problemów:
– Zakup rozwiązań promowanych na zachodnich portalach produktów – wymówka „jak kupię to co wszyscy znają, to mi nic nie zrobią, nawet jak to coś nie będzie spełniać faktycznych wymagań”;
– Zaniżanie funkcjonalności rozwiązań – „po co pisać merytoryczne OPZ, przecież Dostawcy wiedzą co mają nam dać”;
– Minimalistyczne projektowanie rozwiązań w procesie zakupowym – „ja się nie znam i nie poznam. Niech ktoś inny za mnie zdecyduje. Nie zatrudnię lub nie wynajmę specjalistów – przecież moi ludzie muszą znać się na wszystkim”;
– Brak zarządzania danymi i ich przygotowania – „nowe oprogramowanie IDS/SIEM/SOAR, itp. za masę pieniędzy przecież magicznie sam załatwi sprawę i wszystkiego się domyśli, przecież mamy sztuczną inteligencję”;
– Audytowanie z zamiarem uzyskania pozytywnego wyniku, a nie weryfikacji stanu faktycznego – „jak po audycie pokażę, że wszystko mam ok, to przecież jestem bezpieczny – to znaczy, nie doczepią się do mnie i nic więcej nie muszę robić”;
– Szczątkowe w skali kraju wymagania dla Dostawców technologii w zakresie cyberbezpieczeństwa – „IT przecież jest takie samo, po co wchodzić w OT. Przecież przemysł to SCADA na zwykłych komputerach”;
– Zasadniczy brak wsparcia zarządów i wysokiego kierownictwa w procesie zwiększania cyberodporności – „przecież duży Dostawca mnie szantażuje, bo jest duży i ma u mnie monopol. Przecież nic z tym nie zrobię – to i nic nie robię”;
– Uległość przed monopolistycznym podejściem dużych dostawców i zastraszaniem Zamawiających – „mają mnie w garści. Zabiorą gwarancje i wsparcie. Nie będę ich denerwować”;
– Kuriozalne pozwalanie na dostarczanie rozwiązań cyberbezpieczeństwa przez dostawcę, który ma być tym rozwiązaniem objęty – czyli stanowienie o swojej sprawie – „przecież Dostawca najlepiej wie jak zabezpieczyć swój produkt. Niech robi co chce, a na niego przerzucę odpowiedzialność”;
– Akceptacja przepłacania za usługi i produkty jedynie dlatego, że Duży, zagraniczny dostawca posiada przewagę monopolisty na danym obiekcie – „co ja mogę zrobić. To całe cyber jest strasznie drogie. A polski Dostawca – a co oni tam mogą wiedzieć. Są kilkukrotnie tańsi? I co z tego. Jak kupię u największych bubel, to będzie dla mnie bezpieczniej, niż kupowanie czegoś dobrego i taniej od polskiego dostawcy, producenta, konsultanta, wdrożeniowca”, bo przecież kupiłem drogo i od największych”.
Walka wewnętrzna i podstawowy brak wsparcia oraz konsekwencji wysokiego kierownictwa w procesie inwestycyjnym, remontowym oraz zadaniach projektowych i wdrożeniowych, kończy się obniżaniem poziomu cyberodporności, pomimo wydatkowanych coraz większych środków.
Wyciek istotnych danych produkcyjnych, środowiskowych, konfiguracyjnych, zdarzeń poza Polskę, zapisywane w kontraktach. Zwiększanie monopolu dużych dostawców. Ubezwłasnowolnianie polskich zakładów produkcyjnych i dystrybucyjnych. To tylko niektóre z konsekwencji w ramach wymienionych i popełnianych wyżej błędów.
Jak temu zaradzić?
– Wymagane jest bezwzględne wsparcie zarządu i wyższego kierownictwa w aspektach cyberbezpieczeństwa;
– Brak uległości przed zastraszaniem dużych dostawców;
– Wymuszenie przestrzegania prawa przez dostawców;
– Wprowadzenie do opisów przedmiotów zamówień oraz PFU wymagań w zakresie cyberbezpieczeństwa dla dostawców, ich komponentów, wdrożeń, rozwiązań, odbiorów, szkoleń, dokumentacji projektowej i powykonawczej;
– Wprowadzenie układu hybrydowego dla SOC i zespołów cyberbezpieczeństwa. Wspomaganie aktywne przez zewnętrznych ekspertów i zespoły SOC;
– Zawieranie umów wraz z aktywnym współadministrowaniem wdrożonymi rozwiązaniami, a nie tylko kupowanie fasady umowy serwisowej;
– Wprowadzanie do umów odpowiedzialności za ciągłość działania;
– Zaniechanie kupowania rozwiązań cyberbezpieczeństwa od dostawców, których rozwiązania mają być monitorowane i zabezpieczane;
– Wprowadzanie testów podatności jako standard przy dostawach;
– Rozdzielenie OT i IT na poziomach 1 i 2, a łączenie OT i IT na poziomie 3 zarządzania i wsparcia;
– Wprowadzenie i/lub wzmocnienie zespołów ds. bezpieczeństwa (a w ramach niego zespołu ds. cyberbezpieczeństwa) i umocowanie ich na poziomie zarządu;
– Wyłączenie zakresu komunikacji i cyberbezpieczeństwa z dostaw technologii, pozostałych rozwiązań AKPiA i innych rozwiązań objętych bezpieczeństwem i prowadzenie zadań w ramach wspólnego zaangażowanie się w dany projekt, a tym samym – odzyskanie kontroli nad projektem i umożliwienie monitorowania poprawności wdrożenia rozwiązań już na początkowych okresach implementacyjnych;
– Zablokowanie wycieku danych – w szczególności na podstawie podpisanych umów wsparcia.
Jedynym kierunkiem, jaki możemy obrać, aby podnieść poziom cyberodporności to wsparcie polskich ekspertów, polskich pracowników, polskich instytucji, polskich firm, itd. Jak Polska może stać się partnerem w obszarze bezpieczeństwa? Kupujmy polskie rozwiązania, polskie usługi, polskie wsparcie. Rozumiem kooperacje, współpracę, partnerstwa technologiczne, wymianę doświadczeń, itd. Jest to niezbędne i potrzebne. Lecz jest realne jedynie wtedy, gdy będziemy faktycznie partnerami, a nie klientami, monterami i siłą roboczą.
Już widać zmiany na lepsze, ale wciąż jesteśmy na początku drogi. Zabierzmy zbłądzonych na właściwą ścieżkę wiedzy i doświadczenia.
Opracowanie: Andrzej Cieślak, Architekt Bezpieczeństwa Przemysłowego, DYNACON Sp. z o.o.
Andrzej Cieślak
CCIE# 48567, MSc Ethical Hacking and Computer Security, SIEMENS Certified Professional for Industrial Networks, Hirschmann Industrial Security Professional, CCNA Industrial, CCNP Security, CCDP, Cisco CCNP Security Instructor Trainer, Cisco CCNP R&S Instructor Trainer, CCNP R&S Trainer ITC, CCNP Security Trainer ITC, Dell Networking Specialist, Dell Networking OS 9 CLI, EMEA Networking Technical Speciality, Dell Networking C-Series Technical Overview, National Security Agency Recognition, Instructor CFR (Cyber Security First Responder), ISO 9001 Auditor, Auditor ISO 27001, MASE, MASE Security, CSSA, VCP6-NV, VCP-DC, MCSE, MCSE Security, CompTIA sec+, Instructor Linux lev 1-4, Prince 2 Practitioner, Python programming, Cisco DevOps, CCAI, CIT Excelent.
