Kryminalistyka cyfrowa – niezbędny element cyberbezpieczeństwa
Stosowanie technik kryminalistyki cyfrowej w systemach automatyki przemysłowej (SAP) i ich sieciach jest potężnym narzędziem obronnym przed próbami niepowołanego dostępu do danych sieciowych. Jednocześnie ogromne znaczenie w strategii zabezpieczenia przed intruzami ma wiedza na temat zastosowanych w przedsiębiorstwie systemów automatyki przemysłowej.
Termin „kryminalistyka cyfrowa” jest jednym z najsłabiej rozumianych pojęć w dziedzinie bezpieczeństwa teleinformatycznego. Wiele osób sądzi, że obejmuje on praktyki stosowane wyłącznie w dochodzeniach w sprawie już popełnionych przestępstw. Nic bardziej błędnego. Kryminalistyka cyfrowa jest kluczowym elementem ochrony sieciowych systemów teleinformatycznych, tak samo jak badania w dziedzinie mechaniki, elektryki czy chemii. Dzięki zrozumieniu znaczenia tych pojęć można osiągnąć wyższy poziom niezawodności zabezpieczeń i funkcjonowania procesów.
Kryminalistyka cyfrowa w systemach automatyki przemysłowej
Kryminalistyka cyfrowa jest gałęzią kryminalistyki skupiającą się na domenie teleinformatycznej. Obejmuje takie dziedziny, jak kryminalistyka komputerowa, sieciowa i kryminalistyka urządzeń mobilnych. Jest to stosunkowo nowa dziedzina nauk ścisłych i inżynieryjnych, dlatego wymaga dogłębnej analizy i próby pełniejszego zrozumienia jej zagadnień.
Kryminalistyka to metoda zbierania i analizowania informacji. Polega na formułowaniu pytań i poszukiwaniu odpowiedzi. Przedmiotem zainteresowania kryminalistyki cyfrowej są nie tylko próby włamania do sieci i aktywność złośliwego oprogramowania, lecz również zrozumienie ogólnej aktywności w systemie sieciowym oraz przyczyn niektórych zdarzeń. Kryminalistyka cyfrowa jako proces i dziedzina nauki prowadzi do lepszego zrozumienia środowiska operacyjnego i jego stanu normalnego.
Rozważmy prosty przykład: Przyjmijmy, że rejestrator danych nie zebrał poleceń przesłanych z serwera SCADA (systemu nadzorowania procesu i archiwizacji danych) do RTU (zdalnej jednostki zbierania danych). Dlaczego tak się stało? Czy w sieci działa złośliwe oprogramowanie? Czy w sieci występują nieprawidłowości, usterki lub błędy konfiguracji, które mogą prowadzić do kosztownych błędów? Na te pytania można odpowiedzieć, przeprowadzając dochodzenie zgodnie z zasadami kryminalistyki cyfrowej.
Z uwagi na to, że środowiska systemów automatyki przemysłowej (SAP) są w coraz większym stopniu zintegrowane, problemy z konfiguracją sieci i urządzeń są nie do uniknięcia. Zawsze znajdą się złośliwi intruzi, włamujący się do sieci, aby wprowadzić w niej zamieszanie lub wykraść wrażliwe dane. W raporcie z dochodzeń w sprawie naruszania danych, opublikowanym w 2013 r. przez firmę Verizon, wykazano, żez ogólnej liczby ponad 47 tys. ataków sieciowych zaobserwowanych w poprzednim roku 20% dotyczyło branży produkcyjnej, transportowej i zaopatrzenia w media. 66% tych ataków wykryto dopiero po miesiącach lub latach. Intruzi, zwłaszcza ci nie do końca rozumiejący wyjątkowy charakter systemów sterowania, mogą spowodować znaczne szkody w ciągu wielu miesięcy dostępu do wrażliwych sieci. Jednak w rzeczywistości problemy związane z cyberatakami są i będą nadal w dużej mierze wyolbrzymione.
Określenie wymaganego stopnia zabezpieczeń to bieżące zadanie, które może prowadzić do znacznych nakładów czasowych i finansowych kosztem zasadniczej działalności firmy. Wydatki związane z obroną przed zagrożeniami są wysokie przy ograniczonej skuteczności. Jednocześnie jedną z zalet kryminalistyki cyfrowej jest to, że kroki podejmowane w ramach jej zastosowania są takie same jak te wykonywane przez właścicieli zasobów, dążących do zapewnienia niezawodności operacyjnej. W tym sensie kryminalistyka cyfrowa może stanowić mechanizm zwiększania zysku, a nie obciążenia dla firmy.
Aby skorzystać z tych zalet, należy wdrożyć procesy i procedury umożliwiające identyfikację właściwego personelu w obrębie organizacji lub określenie, do kogo spoza organizacji można się zwrócić. Wspomniany raport firmy Verizon mówi też o tym, że 69% naruszeń zostało dostrzeżonych przez osoby z zewnątrz, a tylko 9% przez pracowników organizacji.
Niezbędna znajomość sieci
Skuteczne użycie technik kryminalistyki cyfrowej wymaga znajomości własnych sieci. Spełnienie tego warunku ułatwia dostrzeżenie ataków i zmniejsza zapotrzebowanie na usługi podmiotów zewnętrznych. Ponadto, w przypadku konieczności zatrudnienia zewnętrznych specjalistów w dziedzinie kryminalistyki cyfrowej, dogłębna znajomość własnej sieci i lokalizacji danych krytycznych znacznie redukuje czas identyfikacji problemów oraz realizacji działań interwencyjnych, a tym samym również koszty dochodzenia.
Zrozumienie danej sieci jest tym czynnikiem obrony cyfrowej, którym intruz nigdy nie powinien dysponować. Najważniejszym aspektem obrony jest to, że tylko osoby wewnątrz organizacji znają szczegóły jej sieci, a atakujący nie ma tych informacji. Wszechstronna znajomość sieci, jej zasobów i sposobu działania jest podstawą kompleksowej koncepcji bezpieczeństwa sieciowego, w tym również kryminalistyki cyfrowej. Gdy specjaliści w dziedzinie kryminalistyki cyfrowej próbują zidentyfikować problemy i ich źródło w sieci, najtrudniejszym i najbardziej czasochłonnym zadaniem jest często ustalenie samej struktury sieci i urządzeń do niej podłączonych.
W świecie informatyki konwencjonalnej śledczy zazwyczaj musi jedynie znać systemy MS Windows i Linux oraz wiele aplikacji i serwerów sieciowych. Nie zawsze jest to łatwe, jednak istnieje wiele narzędzi i wypróbowanych metod, umożliwiających pozyskiwanie dowodów i mapowanie sieci.
W przypadku dochodzenia związanego z SAP wyjątkowo niewdzięcznym zadaniem może być zidentyfikowanie i zrozumienie struktury funkcjonalnej wszystkich jednostek RTU, rejestratorów danych, sterowników PLC, urządzeń wbudowanych, stacji roboczych HMI i innych zasobów nienależących do grupy tradycyjnego sprzętu komputerowego. Ponadto, w przypadku urządzeń i sieci automatyki przemysłowej, nie ma tak wielu skutecznych narzędzi kryminalistycznych w dziedzinie cyberbezpieczeństwa. Pomimo dużego stopnia zautomatyzowania instalacji informacje pozwalające zidentyfikować wszystkie wymienione wcześniej zasoby systemów automatyki przemysłowej często są dostępne jedynie w arkuszach kalkulacyjnych, projektach i dokumentacji papierowej. Informacje te są przeważnie przechowywane dla celów logistyki i zapewnienia zgodności z przepisami, a nie dla zrozumienia struktury sieci. Zespół analityków badających sposób połączenia urządzeń musi zazwyczaj analizować przebieg tras przewodów i światłowodów łączących te urządzenia. Zadanie to jest dodatkowo utrudnione przez obecność coraz większej liczby łączy bezprzewodowych. To sytuacja wysoce niepożądana w przypadku wystąpienia awarii, nieprzewidzianego zdarzenia w sieci, gdy w interwencji liczy się każda minuta.
Czas poświęcony przez właścicieli zasobów i członków zespołów obsługi SAP na zrozumienie środowiska sieciowego przekłada się bezpośrednio na wielorakie korzyści dla działalności firmy. Jak już wspomniano, mapowanie sieci i identyfikacja pracujących w nich urządzeń są bardzo pomocne dla specjalistów zajmujących się kryminalistyką cyfrową. Dzięki temu mogą oni skorzystać ze wsparcia grup operatorów i inżynierów, którzy włączają się aktywnie w proces kryminalistyki cyfrowej. Dysponując dogłębną wiedzą o obsługiwanej sieci, osoby nadzorujące jej działanie są w stanie szybko dostrzec i zidentyfikować nieprawidłowości. Użytkownicy sieci mogą przyjąć sposób myślenia śledczych i gdy zauważą coś dziwnego, zadać sobie następujące pytania:
- Dlaczego w sieci znajdują się nowe nieudokumentowane urządzenia?
- Czy to urządzenie wewnętrzne powinno komunikować się z lokalizacją zewnętrzną i przesyłać do niej dane?
- Opóźnienie i utrata łączności tego urządzenia są większe od oczekiwanych. Czy wkrótce dojdzie do awarii?

Osoby, które wiedzą, jak system powinien działać, potrafią dostrzec zachowanie niezgodne z oczekiwaniami. Każdy użytkownik sieci pełni rolę swoistego „czujnika” monitorującego prawidłowość funkcjonowania sieci. Jednak do tego potrzebna jest wiedza i zrozumienie technologii zaimplementowanych w sieci. Dlatego też właściwe przeszkolenie personelu jest ogromnym krokiem w kierunku proaktywnego podejścia do kwestii bezpieczeństwa i niezawodności.
Jak uruchomić proces stosowania kryminalistyki cyfrowej w zakładzie?
Jakie kroki należy podjąć, aby lepiej chronić środowisko teleinformatyczne, zapewnić większą niezawodność systemu i przygotować się na działania kryminalistyki cyfrowej? Najważniejszym krokiem jest sprawdzenie umiejętności z zakresu bezpieczeństwa teleinformatycznego poszczególnych osób, zajmujących się codzienną obsługą, zarządzaniem awaryjnym, zarządzaniem środowiskiem sterowania i biurem firmy, a także inżynierów i informatyków. Analiza umiejętności jest taktycznym środkiem pozwalającym określić, czyje umiejętności są wystarczające, a gdzie występują luki.
Raport sporządzony przez Radę Bezpieczeństwa Krajowego Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych (DHS) „Raport z działalności zespołu ds. umiejętności cyfrowych”, dotyczący oceny umiejętności na poziomie krajowym, może ułatwić zrozumienie sposobu przeprowadzenia takiej oceny w odniesieniu do organizacji. Na początek przydatna jest współpraca z działem HR (zarządzania zasobami ludzkimi), umożliwiająca zrozumienie zakresu obowiązków poszczególnych pracowników. Lista zasobów będzie potrzebna do utworzenia potencjału reagowania na cyberataki – wewnątrz firmy lub z pomocą podmiotu zewnętrznego. Następnym niezbędnym krokiem jest identyfikacja mechanizmu ochrony informacji wrażliwych. Jeśli brak takiego mechanizmu, należy go stworzyć. Poznanie zasobów cyfrowych oraz udokumentowanie ich interakcji umożliwi stworzenie podstawowej bazy wiedzy, którą trzeba będzie chronić. Kolejny krok to rozważenie i ustalenie sposobów ochrony przechowywanej bazy, określenie osób, którym będzie ona udostępniona, przekazywania jej innym osobom oraz sposób obsługi tej bazy.
Przy założeniu spełnienia dwóch pierwszych warunków, następnym krokiem jest określenie, co jest potrzebne do utworzenia potencjału wykrywania i reagowania w danym zakładzie. Należy mieć świadomość, że z każdym z omawianych kroków związane są pewne wyzwania. Jednak, aby skupić się na najważniejszych kwestiach, w artykule przedstawiamy jedynie ogólny opis. Kilka niezbędnych kroków podano w tabeli.
Podsumowanie
Kryminalistyka cyfrowa w środowisku SAP – aplikacji sieci przemysłowych, jest nową i rozwijającą się dziedziną. Potrzebnych jest jeszcze wiele badań narzędzi, procesów i metod, ułatwiających osobom zajmującym się SAP radzenie sobie z codziennymi wyzwaniami. Jednak nie warto czekać na kolejne osiągnięcia, lecz już skorzystać z ustalonych dotąd praktyk i osiągnięć w tym zakresie. Szybkie przywrócenie działania systemu jest możliwe pod warunkiem udokumentowania podstawowych informacji na temat firmowego środowiska SAP w postaci łatwo dostępnej bazy, którą można się posłużyć jako odnośnikiem w przypadku podejrzenia incydentu.
Środowisko SAP działa w oparciu o technologię cybernetyczną i informatyczną. Nie można ich odłączyć od większego środowiska firmowego, gdyż stanowią one obecnie ważny czynnik powodzenia nowoczesnego, konkurencyjnego przedsiębiorstwa.
Zasadą kryminalistyki i reakcji na incydenty jest przygotowanie do najgorszego scenariusza przy zachowaniu optymisty-cznego podejścia. Oznacza to stworzenie metodyki postępowania i zrozumienie znaczenia zasobów krytycznych. Cyfrowe pole bitwy poszerza się i rosną wciąż rzesze intruzów o umiejętnościach pozwalających na zaatakowanie obiektów przemysłowych. Najwyższy czas zadbać o pozyskanie wiedzy koniecznej do właściwego reagowania na cyberatak, a możliwości pozyskania takiej wiedzy są coraz większe.
Autorzy:
Robert M. Lee jest współzałożycielem spółki Dragos Security LLC, firmy z branży bezpieczeństwa teleinformatycznego, opracowującej narzędzia i prowadzącej badania z myślą o społeczności zajmującej się systemami automatyki przemysłowej. Jest też oficerem służby czynnej Sił Powietrznych Stanów Zjednoczonych do spraw operacji w cyberprzestrzeni.
Matthew E. Luallen jest felietonistą magazynu „Control Engineering”, piszącym na tematy związane z bezpieczeństwem teleinformatycznym. Jest też współzałożycielem firm Dragos Security LLCoraz Cybati.