Diszkrét gyártás, energiatermelés, petrolkémia, logisztika, vasút, metró... mindezeknél egy közös vonást találunk: nincs helye a hibának. A BlackBear cégcsoport (BlackBear Cyber Security és ATOP Technologies) nagy szakértelemmel rendelkezik a biztonságos ipari adatátviteli hálózatokhoz szükséges komplex termékek fejlesztésében és gyártásában. Több mint 35 éve dolgozik az ipari hálózatok területén, és immár bő 5 éve fejleszt OT-kiberbiztonsági megoldásokat. Mindezen évek alatt kizárólag egyetlen irányvonalat tartott szem előtt, hogy hogyan lehet biztonságos és megbízható ipari hálózatot építeni.

Az OT-kiberbiztonság gyakori veszélyforrásai

Az OT-kiberbiztonságban a gyakori fenyegetések ismerete kulcsfontosságú a jelentős működési és pénzügyi veszteségek megelőzése érdekében. Ezek a fenyegetések a technológiai sebezhetőségektől az emberi tényezőkig terjednek. Az alábbiakban áttekintjük a főbb kihívásokat:

Felhőalapú komponensek veszélyeztetettsége

A felhőalapú OT-megoldások alkalmazása új biztonsági kihívásokat von maga után. Bár ezek a megoldások számos előnnyel járnak, mint például a skálázhatóság és a redundancia, egyben kockázatokat is jelentenek, különösen akkor, ha a helyi termelési rendszerek kiszervezett felhőalapú komponensekhez kapcsolódnak. A felhőszolgáltatások elleni DDoS-támadások megzavarhatják ezt a kommunikációt, ami üzemzavarokhoz vezethet.

Ráadásul, ha a felhőalapú környezetben nem megfelelő az ügyfelek közötti elkülönítés, a más szolgáltatásokat célzó támadások további járulékos károkat is okozhatnak. A robusztus biztonsági intézkedések szavatolása elengedhetetlen az OT-környezetekhez kapcsolódó felhőalapú komponensekhez, e kockázatok csökkentése érdekében.

Elavult rendszerek és régi sebezhetőségek

Az OT-környezetekben lévő, olykor 30 éves vagy annál is régebbi rendszerek igen komoly kiberbiztonsági kihívásokat jelentenek. Ezek a rendszerek gyakran elavult biztonsági intézkedésekkel működnek, ami sebezhetővé teszi őket a modern kiberfenyegetésekkel szemben.

A támadók például közismerten kihasználják a régebbi Windows-szerverek sebezhetőségeit, és speciálisan kifejlesztett rosszindulatú szoftvereket használnak a kártékony kódok futtatására. A kockázatokat még tovább növelik a régi rendszerek eredendő korlátai, például hogy nem támogatják a legmodernebb biztonsági ellenőrzéseket, vagy hogy nem kapnak rendszeres biztonsági frissítéseket.

Nem biztonságos külső kapcsolatok

Az OT-eszközök vezérlése gyakran távoli külső kapcsolatokkal valósítható meg, ami komoly biztonsági sebezhetőséget jelenthet. A támadók kihasználhatják ezeket a kevésbé biztonságos kapcsolatokat, hogy behatoljanak a belső hálózatokba. Előfordult például, hogy kiberbűnözők megtámadtak egy szolgáltató által létrehozott hálózatot, majd kiindulópontként használták azt más csatlakoztatott eszközök megfertőzésére. Ezt a fenyegetést fokozza, hogy számos OT-környezet ma már különböző külső felektől származó interfészekkel és API-kal integrálható, amelyek megfelelő biztonsági intézkedések hiányában könnyen átjárókká válhatnak a támadók számára. Az OT-rendszerek sértetlenségének védelme érdekében elengedhetetlen, hogy ezek a kapcsolatok és interfészek robusztus biztonsági protokollokkal rendelkezzenek.

DDoS-támadások és IoT-botnetek

Az IoT-eszközök elterjedése az OT-hálózatokban új utakat nyitott a kiberfenyegetések, például a DDoS-támadások és az IoT-botnetek előtt. Az IoT-eszközök gyakran nem rendelkeznek beépített biztonsági intézkedésekkel, így a támadók könnyen átvehetik felettük az irányítást, és beszervezhetik a botnetbe. A Mirai botnettámadás ékes példája annak, hogy az IoT-eszközök hogyan használhatók fel nagyszabású DDoS-támadásokhoz. Ezek a támadások jelentős működésbeli zavarokat okozhatnak azáltal, hogy folyamatos, nagyszámú lekérdezéssel túlterhelik a komponenseket, így azok képtelenek megfelelően működni. Az IoT-eszközök használatának folyamatos növekedésével a botnet DDoS-támadások jelentette fenyegetés is növekszik, így a DDoS-védelem kiemelt fontosságú feladattá válik az OT-kiberbiztonság szempontjából.

Emberi hiba és tévesen konfigurált szoftver

Az emberi hiba jelentős tényező az OT-kiberbiztonságban. Az alkalmazottak akaratlanul is sebezhetőségeket vihetnek be a rendszerekbe, például illetéktelen szoftverek telepítésével vagy a hardver téves konfigurálásával. Ezek a tevékenységek rosszindulatú szoftverfertőzésekhez vagy működési zavarokhoz vezethetnek. Emellett az informatikai csapatoknak egyre több új generációs tűzfalat kell kezelniük és frissíteniük, a helytelen konfigurációk pedig működési problémákat okozhatnak.

E kockázatok mérsékléséhez megfelelő szervezeti szabályozásokat, a kiberbiztonsági tudatosságra vonatkozó folyamatos munkavállalói képzést és az OT-hálózat kritikus folyamatait szabályozó szigorú irányelveket kell bevezetni. A kibertámadások egyre gyakoribbá, célzottabbá és összetettebbé válnak. A BlackBear cégcsoport az igényeknek megfelelő, megbízható biztonsági rendszer megtalálásában segít, ami nemcsak megnyugtató érzés, hanem hosszú távon költségmegtakarítást is eredményez.

Tűzfal vs. adatdióda

A felhasználók által legismertebb kiberbiztonsági eszközök egyike a tűzfal. Az OT-rendszerek védelméhez azonban a tűzfal bár hasznos, de nem elégséges. A tűzfalak bár elkülönítenek két hálózatot vagy rendszert, de korlátozott kétirányú adatáramlást továbbra is lehetővé tesznek közöttük. Az előre meghatározott útválasztási szabályok alapján állapítják meg, hogy az adatok mozoghatnak-e az IT és az OT között. Ezt a funkciót minden tűzfal szoftveresen valósítja meg. Bár egyes tűzfalak dedikált hardveren futnak, alapvetően azok is szoftveres vezérlésűek; a szoftver és a hardver egyszerűen csak elkülönül egymástól.

A tűzfalak mindkét irányban lehetővé teszik az adatáramlást, így előfordulhat, hogy a nyilvános hálózatokból bejut a potenciális rosszindulatú jel az operatív vagy kritikus hálózatba. Soha nem tudhatjuk, pontosan mi is zajlik egy tűzfalon belül. Téves konfiguráció vagy belső sebezhetőségek esetén akár maguk is kockázati tényezővé válhatnak. A tűzfalakkal ellentétben az adatdiódák más megközelítést alkalmaznak a két hálózat elválasztására: a fizikai rétegben valósítják meg a hálózatelkülönítést. Az adatok csak egy irányban áramlanak: a védett központokból a nyílt hálózatok felé. Nincs mód arra, hogy az adatok az ellenkező irányba haladjanak, mivel abban az irányban egyáltalán nincs útvonal. Az OT- és az IT-proxyszerverek egymástól függetlenül működnek, az OT-adatokat az IT-oldal felé továbbítva. Ez a mechanizmus nyilvánvalóan csökkenti a rendszer rugalmasságát, viszont növeli a biztonsági szintet. Még a legrosszabb esetben is – egy IT-proxyszerver feltörése esetén – az OT-oldalon lévő fontos erőforrások vagy rendszerek továbbra is védettek maradnak. Az adatdiódák meglehetősen hasonlítanak a légréses megközelítéshez, azonban lehetővé teszik a valós idejű adatátvitelt. Az adatdiódán kívül a BlackBear- és az ATOP-megoldások további biztonsági funkciókat is tartalmaznak, mint például a hálózatfelügyelet, a hozzáférés-szabályozás, a VPN, az úgynevezett last-mile MACsec-titkosítás, valamint az IEC 62443 szabványnak való megfelelés. E kihívások kezelése az OT-kiberbiztonsághoz való átfogó és proaktív megközelítést igényel, amely a technológiai megoldásokat a stratégiai humánerőforrás-menedzsmenttel ötvözi. Beszélje meg az egyedi kihívásait és igényeit az Axtek line Kft.-vel, mielőtt fontos döntéseket hozna. Mi minden egyes lépés során támogatjuk Önt!

Borítókép: illusztráció, Adobe Stock

Cikkünk eredetileg a GyártásTrend magazin októberi lapszámában jelent meg, amely ezen a linken olvasható.