Multe unități de producție operează cu sisteme OT ce rămân în funcțiune ani la rând. Însă această durată mare de viață poate ascunde riscuri cibernetice însemnate. Într-o fabrică în care continuitatea operațională este esențială, un echipament care execută același proces de producție ani de zile, fără aproape niciun incident, câștigă mai mult decât apreciere pentru performanța sa – câștigă încrederea organizației. În timp, această fiabilitate poate crea impresia că verificările suplimentare nu mai sunt necesare, până în punctul în care utilajul devine un punct nevralgic al securității cibernetice.

Multă vreme, abordarea „dacă funcționează, nu schimba nimic” a avut sens. O mare parte din tehnologia operațională (OT) utilizată în producție a fost proiectată pentru a menține stabilitatea proceselor fizice, iar odată ce linia de producție funcționa corespunzător, cea mai logică decizie era ca echipamentele să fie întreținute corespunzător, astfel încât să-și poată îndeplini în continuare rolul.

Între timp însă, mediul în care operează aceste echipamente s-a schimbat, iar sistemele cele mai dificil de actualizat sau înlocuit sunt adesea acelea care necesită cele mai solide măsuri de protecție. În prezent, multe organizații din industrie trebuie să răspundă unor întrebări critice: cine poate accesa echipamentele din rețea, cât de vulnerabile sunt sistemele de care depind acestea și dacă vechea regulă – „dacă funcționează, nu interveni” – nu a devenit ea însăși parte a problemei.

Sisteme ajunse la limita ciclului de viață?

În urmă cu două sau trei decenii, puțini din industrie își făceau griji din cauza atacurilor cibernetice lansate prin internet. Astfel de amenințări fie nu existau, fie vizau doar un număr restrâns de ținte de interes național. Faptul că protocoalele industriale nu aveau mecanisme de securitate integrate nu reprezenta o mare problemă: echipamentele erau izolate de infrastructura IT, iar sistemele din afara mediului de producție nu aveau cum să ajungă la ele. Acestea își îndeplineau pur și simplu rolul și nu exista niciun motiv întemeiat pentru a interveni asupra lor.

Până când situația s-a schimbat. Convergența dintre IT și OT, una dintre caracteristicile definitorii ale digitalizării și ale Industriei 4.0, a schimbat fundamental contextul, conectând sistemele de control industrial (ICS) la rețele pentru care nu fuseseră concepute. Deși conectarea sistemelor de producție la infrastructura IT a organizației aduce beneficii operaționale incontestabile, implicațiile asupra securității au devenit evidente treptat: sisteme care până atunci fuseseră protejate prin izolare au devenit expuse. Deficiențe de securitate precum mecanisme slabe de autentificare, capacități limitate de jurnalizare, configurații implicite nesigure sau procese de actualizare care pot necesita opriri costisitoare ale producției s-au transformat, peste noapte, în vulnerabilități reale. 

Datele publicate de SANS Institute arată că aproape 60% dintre atacurile asupra sistemelor OT din diferite industrii pornesc de la compromiterea infrastructurii IT a organizațiilor. În același timp, cel mai recent sondaj al institutului relevă că 22% dintre organizațiile din sectoarele critice au fost afectate de un incident de securitate cibernetică în ultimul an. În 40% dintre situații, incidentele au perturbat operațiunile, iar aproape unul din cinci a necesitat peste o lună pentru remediere.

Amploarea riscului a devenit evidentă odată cu atacuri cibernetice de mare impact, precum cel care a vizat Jaguar Land Rover în 2025, considerat astăzi unul dintre cele mai grave incidente cibernetice din istoria Marii Britanii. În plus, deoarece lanțurile de aprovizionare funcționează după programe stricte și au o toleranță aproape zero la erori, blocarea unui furnizor cu angajamente de livrare de tip just-in-time declanșează o adevărată criză de producție, care afectează o listă lungă de alte companii.

Costul intervenției asupra unei linii de producție în funcțiune

Suspendarea unei linii de producție aflate în funcțiune doar pentru modernizarea infrastructurii, atunci când nu există probleme operaționale vizibile, este greu de susținut din perspectiva afacerii. Echipamentele sunt atât de strâns integrate în procesele de producție, încât ajung adesea captive într-un fenomen pe care cele mai importante agenții de securitate cibernetică îl numesc „dependență de sisteme învechite”.

Între timp, grupările de ransomware care au început să acorde o atenție tot mai mare sectorului de producție au descoperit o suprafață de atac care s-a extins ani la rând, fără investiții de securitate pe măsură. Producerea de daune într-un mediu operațional este însă diferită de o breșă 100% IT. Operatorii de ransomware, dintre care unii dezvoltă deja capabilități dedicate pentru OT, înțeleg această dinamică și își calibrează cererile în consecință. În unele cazuri, compromiterea mediului IT al organizației este suficientă, deoarece lanțul de dependențe dintre sisteme amplifică apoi impactul atacului. 

Este clar însă că ecuația de business se schimbă, chiar dacă de multe ori presiunea vine din exterior. Contractele cu furnizorii includ din ce în ce mai des clauze legate de securitate, iar asiguratorii cibernetici solicită dovezi privind implementarea controalelor de securitate, până în punctul în care organizațiile care nu le pot furniza fie plătesc mai mult, fie nu mai sunt eligibile pentru acoperire. În același timp, cerințele de reglementare se înăspresc în tot mai multe jurisdicții; de exemplu, NIS2 impune standarde mai stricte de securitate cibernetică pentru industriile critice din Europa, în timp ce cadrul de reglementare din Statele Unite prevede, de asemenea, măsuri specifice care contribuie la maturizarea securității în sectoarele esențiale.

Analiza amenințărilor cibernetice majore
Puțini furnizori de securitate au fost atât de aproape de amenințările care vizează infrastructura critică precum ESET. De-a lungul anilor, echipa sa de cercetare a amenințărilor a analizat în detaliu unele dintre cele mai importante incidente înregistrate – inclusiv BlackEnergy, care a declanșat în 2015 o pană de curent de 4 – 6 ore ce a afectat 230.000 de persoane în Ucraina, succesorul său GreyEnergy, precum și Industroyer, un malware extrem de flexibil, capabil să comunice prin mai multe protocoale industriale, utilizate în sistemele de infrastructură critică la nivel global, și care a provocat o întrerupere a alimentării cu energie electrică în Kiev în 2016. În 2022, cercetătorii ESET au identificat și Industroyer2, care a vizat din nou infrastructura energetică a Ucrainei. În plus, analiza realizată de ESET asupra NotPetya a evidențiat modul în care un atac fără o țintă OT specifică poate afecta totuși devastator organizațiile care operează tehnologie operațională la scară largă, inclusiv producători industriali.

(Re)construirea securității în jurul echipamentelor critice

Cum era de așteptat, nu poți proteja ceea ce nu vezi, iar vizibilitatea completă asupra activelor rămâne temelia oricărei strategii serioase de reducere a riscurilor. Începeți prin a mapa ce sisteme dintr-un mediu sunt conectate și nu au acoperire din punct de vedere al securității, unde se intersectează rețelele IT și OT, care segmente sunt nemonitorizate și care sisteme de producție nu mai beneficiază de asistență din partea furnizorului. Având în vedere complexitatea sistemelor cibernetico-fizice, devine evident că nu există o abordare universal valabilă pentru inventarierea activelor și celelalte sarcini.

De asemenea, arhitectura efectivă de implementare trebuie stabilită încă de la început. Fie din faza de proiectare, fie din cauza contractelor cu clienții, a obligațiilor de reglementare sau din alte motive, unele medii de producție funcționează sub cerințe stricte de izolare fizică (air-gap). Prin urmare, platformele de securitate concepute în principal în jurul conectivității cloud pot să nu corespundă nici cerințelor, nici bugetului disponibil.

Pe de altă parte, soluțiile de securitate standard nu răspund întotdeauna eficient cerințelor în cazul sistemelor OT de tip legacy, care rulează pe hardware mai vechi și versiuni depășite de sisteme de operare. Soluțiile trebuie să fie suficient de stabile și discrete pentru a rula pe sisteme cu resurse limitate fără a afecta producția. Protecția la nivel de rețea, la rândul ei, își dovedește utilitatea pe echipamentele care nu pot rula absolut niciun agent de securitate – o situație care, în majoritatea mediilor de producție, nu este deloc o excepție.

Suportul pe termen lung rezolvă vulnerabilitățile pe care celelalte straturi de protecție nu le pot acoperi complet. Atunci când un furnizor de sisteme ICS (sisteme de control industrial) oprește dezvoltarea unei versiuni de platformă, actualizările încetează în cele din urmă. Sistemele de producție care rulează acea versiune continuă să funcționeze ani de zile, acumulând o expunere tot mai mare la noi amenințări. Angajamentele de asistență care depășesc perioada oferită inițial de furnizor reprezintă, din perspectiva securității cibernetice, echivalentul încheierii unui contract pe termen lung pentru piese de schimb la o mașină scoasă din producție de mult timp. Astfel, utilajul rămâne „apt pentru utilizare”.

Proiectată să funcționeze ani de zile

Sectorul de producție are o istorie lungă în a găsi soluții inginerești pentru a depăși crizele. De asemenea, a învățat și o serie de lecții dure, inclusiv faptul că ignorarea unei probleme cunoscute tinde să mute – și, adesea, să multiplice – costurile care îi sunt asociate. Amenințarea cibernetică la adresa infrastructurii OT este acum bine documentată, iar instrumentele pentru a o contracara există deja. În această industrie, ar trebui să fie de ajuns pentru a pune lucrurile în mișcare și, în cele din urmă, pentru a integra reziliența cibernetică în operațiunile industriale.