Sprawdzone cyberbezpieczeństwo dla systemów przemysłowych

Jeśli mówimy ogólnie o cyberbezpieczeństwie urządzeń przemysłowych, jak wyglądają dzisiejsze zagrożenia?

Mikko: Internet i IoT zmieniły obraz bezpieczeństwa i na przykład cyberbezpieczeństwo różnych rozwiązań stosowanych przy wymianie danych jest poważnym wyzwaniem. Nadal istnieje ogólne, błędne przekonanie, że sprzęt w systemach przemysłowych działa tylko w sieci wewnętrznej, bez połączeń z zewnątrz. To nie działa w ten sposób, takie urządzenia są bowiem zwykle elementami jakichś większych systemów i muszą wymieniać się danymi. Często ludzie podchodzą do tego zbyt niefrasobliwie.

Jak można radzić sobie z tymi zagrożeniami?

Mikko: Podstawą jest, aby cyberbezpieczeństwem zajął się już projektant systemu i brał je pod uwagę od samego początku. To główna idea naszego nowego działu. Etteplan może również zająć się samym bezpieczeństwem, jeśli klient projektuje produkt we własnym zakresie. W takim przypadku nasz projektant odpowiedzialny za zabezpieczenia pracuje w siedzibie klienta przez cały cykl życia projektu i dba o to, by wszystkie kwestie związane z bezpieczeństwem były wzięte pod uwagę. Projektowanie pod kątem testowalności (DFT) jest powszechną metodą w konstruowaniu elektroniki i tworzeniu oprogramowania, ale gdy chodzi o jego bezpieczeństwo, używamy terminu Secure by Design.

Jak Etteplan testuje cyberbezpieczeństwo?

Mikko: Testowanie cyberbezpieczeństwa składa się zarówno z testów automatycznych, jak i ręcznych, które bazują na przykład na danych z sesji modelowania zagrożeń przeprowadzanych na początku projektu. Do rejestru produktu wprowadzane są złośliwe historyjki użytkownika, czyli user stories.

Co do zasady, nasz plan testów w każdym projekcie zawsze obejmuje testy cyberbezpieczeństwa, ale czasami klienci kwestionują ich zasadność, będąc pod presją finansową. Oczywiście w takich przypadkach omawiamy tę kwestię z klientem.

Czym jest złośliwe user story?

Mikko: Razem z zespołem projektującym produkt identyfikujemy największe zagrożenia, na podstawie których tworzymy tak zwane złośliwe historie użytkownika. W praktyce zespół dąży do stworzenia scenariuszy z punktu widzenia potencjalnych atakujących. Można to porównać, na przykład, do testów negatywnych, w których użytkownik wprowadza nieprawidłowe informacje i monitoruje, jak system na nie reaguje.

Na postawie tych historyjek tworzymy plany testów i zaczynamy szukać sposobów na to, jak przeszkodzić w atakach. Dzięki temu zagrożenia są uwzględniane w całym cyklu życia oprogramowania. Zorganizowaliśmy sesje modelowania zagrożeń dla kilku klientów, na których pokazywaliśmy, jak wprowadzić myślenie typu DevSecOps do całego cyklu życia projektu.

Co oznacza automatyzacja testów?

Mikko: Krótko mówiąc, dla testowanego oprogramowania tworzony jest osobny program, połączony z narzędziami do ciągłej integracji. Program wykonuje zadania testowe bez ingerencji człowieka.

Jakie są zalety automatyzacji testów?

Mikko: Testowanie automatyczne ma kilka zalet, pod warunkiem, że jest właściwie używane. Przede wszystkim automatyzacja pozwala na pełną identyfikowalność, ponieważ wszystkie operacje wykonywane przez program testowy pozostawiają ślad. Po drugie, gwarantuje powtarzalność, ponieważ maszyna zawsze robi to samo, w dokładnie ten sam sposób, a praca człowieka zawsze wiąże się z wariacją. Ponadto jest bardziej wydajna, ponieważ testy i ich fragmenty można ponownie wykorzystać do testowania różnych funkcjonalności.

Systemy automatyzacji testów zwiększają przejrzystość dojrzałości oprogramowania. Metryki testowe łatwo zwizualizować. Można także śledzić liczbę błędów, które nadal zawiera testowane oprogramowanie i monitorować, czy coś się zmienia po jego aktualizacji.

System automatyzacji testów to zawsze inwestycja długoterminowa - im więcej wersji oprogramowania podlega testom, tym większa jest oszczędność czasu i pieniędzy. Ponieważ zmieniają się cechy oprogramowania, sam system automatyzacji testów musi być nieustająco aktualizowany i rozwijany. Trzeba być pewnym, że testy sprawdzają właściwe obszary i wykrywają potencjalne błędy.

Czy możesz podać przykład tego, jak firma Etteplan zautomatyzowała testy cyberbezpieczeństwa dla systemów przemysłowych?

Mikko: Opracowaliśmy na przykład własny produkt do testowania bezpieczeństwa w rozwiązaniach dla magistrali przemysłowych, a na rynku nie było jeszcze takiego produktu. Jest szczególnie istotne dlatego, że nawet te nowsze systemy przemysłowe wykorzystują stare magistrale, takie jak CAN, Profibus i RS232.

W czasach, kiedy powstawały, nikomu nie przyszłoby do głowy, że będzie je trzeba jakoś zabezpieczać. Te magistrale mają kilka znanych słabych punktów, które uwzględniliśmy w naszym produkcie do testów. Sprawdza on, czy można te luki wykorzystać w testowanym rozwiązaniu.

Możesz podać jakieś ciekawe przykłady projektów waszego nowego działu?

Mikko: Zorganizowaliśmy na przykład hackathon, przeprowadziliśmy też dla naszych klientów testy chipów bezpieczeństwa i testy penetracyjne.

Dla wielu klientów najważniejsza jest ochrona ich praw własności intelektualnej w ich oprogramowaniu wbudowanym. Dla nich wykonujemy tzw. inżynierię odwrotną, czyli próbujemy przechwycić kod źródłowy produktu lub otworzyć coś, co powinno być chronione licencją. Jeśli nam się uda, analizujemy, jak można kod zmodyfikować, odzyskać lub ponownie zainstalować na urządzeniu w zmienionym formacie. Na podstawie naszej analizy proponujemy takie zmiany, aby naruszenie praw własności intelektualnej nie było już możliwe. Poza tym prowadzimy na przykład analizy luk w odniesieniu do przyszłych standardów lub przepisów dotyczących bezpieczeństwa i określamy, jakie braki istnieją obecnie i jak można im zapobiec.

Jakie słabe punkty występują najczęściej?

Mikko: W przypadku systemów wbudowanych klient często uważa, że ochrona hasłem jest wystarczająca. Jeśli jednak architektura systemu jest źle wykonana i ochronę hasłem można obejść, atakujący może zrobić wszystko. Zhakowane urządzenie można wykorzystać jako botnet lub jako wektor ataku na większy system.

W systemie o dobrze zaprojektowanej architekturze ochrona hasłem jest tylko jednym z wielowarstwowych zapezbieczeń, których złamanie wymaga dużo czasu i wysiłku. Mamy na przykład doświadczenie w hartowaniu systemów i możemy doradzić, jak najlepiej to zrobić.

Jakie są główne zasady przy projektowaniu bezpiecznego systemu?

Mikko: Dobrym modelem jest tu klasyczna triada CIA. Oznacza to, że system musi zachować poufność, integralność i dostępność informacji. Ten cechujący się prostotą model, który można zastosować również w przemyśle, cieszy się dużą popularnością.

Ważne jest, aby pamiętać o dostępności, system zawsze tworzy się bowiem dla użytkowników. Jeśli jego użycie jest niewygodne i trudno jest dotrzeć do informacji, użytkownik może próbować iść na skróty, co naraża bezpieczeństwo całego rozwiązania.

Co może sprawić, że firmy i ludzie zrozumieją znaczenie cyberbezpieczeństwa w przemyśle?

Mikko: Tradycyjne podejście, polegające na straszeniu, zupełnie się nie sprawdzi. Trzeba zrozumieć właściwe zagrożenia, krytyczne dla danego przedsiębiorstwa i zacząć im przeciwdziałać. Zawsze myślimy jakie są największe zagrożenia dla klienta realizując dany projekt, a potem kolejny. Zaprojektowanie całkowicie odpornego na uderzenia systemu sporo kosztuje.

Etteplan zgromadził testerów oprogramowania i ekspertów w dziedzinie bezpieczeństwa w swoich trzech centrach wiedzy specjalistycznej w Tampere, Hyvinkää i Espoo. Zespoły obsługują klientów w całej Finlandii. Biorąc pod uwagę liczbę pracowników, początkowo zaangażowano 60 osób. Nowa usługa wykorzystuje wieloletnie doświadczenie i wiedzę ekspertów Etteplan w zakresie projektowania urządzeń przemysłowych, a także cyberbezpieczeństwa i testowania systemów wbudowanych. Dowiedz się więcej o usługach w zakresie cyberbezpieczeństwa oferowanych przez Etteplan.