Riscurile OT: Cum MDR securizează procesele din producție


Atacatorii vizează de mult timp industria de producție, deoarece sistemele adesea învechite pe care aceasta le folosește sunt ținte ușoare. Industria de producție, responsabilă de fabricarea sistemelor de transport, a substanțelor chimice, a infrastructurii energetice și a multor altora, este cea care menține în mișcare mecanismul bine-uns al economiei globale.

Totuși, nu toate segmentele din industria de producție sunt la fel. Există noduri critice pe care majoritatea statelor le consideră esențiale pentru infrastructura vitală. Printre acestea se numără industria metalelor primare, a mașinăriilor, a echipamentelor și componentelor electrice, precum și a echipamentelor de transport. Prevenirea perturbării unor asemenea sectoare este fundamentală pentru securitatea și stabilitatea națională.

Un sector vizat din oficiu

Pentru producători, transformarea digitală s-a dovedit a fi o sabie cu două tăișuri. Deși creează oportunități pentru o productivitate sporită și eficiență crescută, deschide și o cutie a Pandorei plină de probleme. Acestea provin din utilizarea de către industrie a dispozitivelor conexe cibernetic, bazate pe tehnologie operațională (OT) și rețele IT, care pot fi exploatate pentru atacuri devastatoare, oprind liniile de producție și amenințând chiar existența companiilor mari și, implicit, securitatea națională.

Un bun exemplu pentru cele descrise mai sus îl reprezintă atacurile recente asupra lanțului de aprovizionare. În 2021, o importantă conductă de combustibil din SUA, ce transporta 2,5 milioane de barili pe zi, a fost oprită în urma unui atac ransomware lansat de grupul infracțional cibernetic DarkSide. Acest incident a forțat guvernul american să relaxeze regulile privind transportul terestru de combustibil și a determinat o creștere a prețului la benzină cu aproximativ 6%. Se pare că atacatorii au pătruns în sistem printr-o parolă expusă a unui cont VPN. În cele din urmă, compania a decis să plătească o răscumpărare de circa 5 milioane de dolari pentru a-și recupera sistemele.

Totuși, ransomware-ul nu este singura amenințare care poate afecta producătorii. În 2017, cercetătorii ESET au descoperit Industroyer, una dintre cele mai mari amenințări la adresa sistemelor de control industrial. Capacitățile acestui malware includ controlul direct al comutatoarelor și întrerupătoarelor din stațiile electrice, prin exploatarea protocoalelor de comunicații industriale folosite în infrastructura de alimentare cu energie electrică, în sistemele de control al transportului și în alte sectoare critice. Ceea ce înseamnă că impactul unui atac ar putea provoca daune în lanț echipamentelor și defecțiuni majore.

Utilizarea sistemelor învechite

Datorită modului în care furnizorii, contractanții, distribuitorii și furnizorii de servicii terți sunt strâns interconectați, este vulnerabilă o suprafață de atac extinsă. Dacă o piesă din „domino” cade, urmează restul. Scenariul este valabil și pentru sistemele conectate intern. Astfel a reușit malware-ul Petya să-și asigure accesul: prin compromiterea software-ului de contabilitate M.E.Doc și executarea unei actualizări troianizate, ceea ce le-a permis atacatorilor să lanseze o campanie globală masivă de ransomware.

Aceste incidente sunt deosebit de grave pentru producătorii de nivel critic care folosesc sisteme învechite. Spre deosebire de alte industrii, unde sistemele depășite moral pot fi actualizate sau înlocuite mai ușor (de exemplu în industria IT), sectorul de producție depinde de echipamente costisitoare și specializate care, uneori, se bazează pe sisteme de calcul ce pot fi considerate legitim drept vechi. Prin urmare, atunci când o fabrică de producție este lovită de un ransomware precum LockerGoga, ar putea forța o operațiune globală să treacă pe modul manual, generând costuri de milioane de dolari din cauza pierderii de eficiență.

Însă, modernizarea sau înlocuirea acestor sisteme necesită adesea perioade lungi de nefuncționare, ceea ce poate duce la pierderi financiare considerabile din cauza restanțelor operaționale. Astfel se creează un context în care investițiile în securitate cibernetică și actualizările de sistem sunt adesea trecute pe plan secund, generând astfel breșe de securitate care, în timp, vor fi cu siguranță exploatate.

O problemă de leadership?

Principala întrebare aici este cine ar trebui să poarte cea mai mare responsabilitate pentru eșecurile de securitate cauzate de funcționarea sistemelor vechi sau nesigure — operatorii de securitate profesioniști care fac tot ce pot pentru a proteja afacerea 24/7 sau echipa de conducere care ar care ar putea alege să amâne întreținerea, riscând astfel să plătească ulterior răscumpărări și să se confrunte cu blocaje globale?

Având în vedere că un incident de securitate în sectorul industrial costă, în medie, 5,56 milioane de dolari, ar trebui să aibă loc discuții detaliate în sălile de consiliu pentru a decide dacă aceste costuri sunt acceptabile.

Directorii și managerii joacă un rol esențial în stabilirea direcției privind modul în care securitatea cibernetică este prioritizată și implementată în cadrul unei organizații. Pentru producători, se traduce prin tratarea securității cibernetice ca pe un obiectiv fundamental de business, și nu ca pe o responsabilitate exclusivă a departamentului IT. În esență, liderii trebuie să aloce resurse în mod strategic, asigurând existența unui buget dedicat pentru instrumente, training și personal specializat în securitate cibernetică. Mai mult, realizarea acestui demers în paralel cu modernizarea proceselor ar putea aduce beneficii majore sub forma productivității sporite, generând avantaje de business pe termen lung.

Rolul strategic al angajaților

Dacă leadershipul stabilește obiective clare pentru o securitate mai bună, trebuie să ia în calcul și angajații. Acest aspect se aplică mai puțin operatorilor manuali și mai mult celor care au acces la sisteme critice adiacente rețelei, prin care ar putea introduce efecte negative, precum malware, în sistemele industriale. Ideea este subliniată și de Raportul Verizon privind investigațiile în caz de breșe de date 2024, care arată că 83% dintre breșele din sectorul de producție au fost cauzate de intruziuni în sistem, inginerie socială și atacuri de bază asupra aplicațiilor web.

Infractorii cibernetici manipulează adesea oamenii prin tactici de inginerie socială, cum ar fi mesajele de tip phishing, sau prin introducerea de malware pe dispozitivele lor prin anexe malițioase ori alte tipuri de descărcări. De aceea, trainingurile periodice de conștientizare în domeniul securității cibernetice ar trebui să includă subiecte precum recunoașterea tentativelor de phishing, gestionarea parolelor și manipularea în siguranță a datelor. În plus, angajații ar trebui încurajați să raporteze activități suspecte fără teama de repercusiuni, contribuind astfel la crearea unei culturi deschise, axate pe prevenție, în materie de securitate.

În plus, instrumentele avansate de securitate cibernetică, precum soluțiile de securitate la nivel de endpoint și cele de tip extended detection and response (XDR), sunt indispensabile pentru producători. Asemenea tehnologii oferă vizibilitate în timp real asupra întregii rețele a unei companii, ajutând organizațiile să identifice anomalii și să detecteze potențiale amenințări înainte să producă daune. De asemenea, astfel de servicii gestionate pot fi contractate printr-un furnizor specializat, asigurând protecție continuă, 24/7, la nivel global.

Serviciile gestionate, precum ESET MDR, pot oferi securitate non-stop, reducând riscurile asociate soluțiilor de tip EDR, mai ales atunci când un producător dispune de personal de securitate insuficient sau insuficient calificat. Toate acestea sunt realizate fără a fi necesare investiții majore în resurse interne, menținând totodată eficiența producției.

Presiunea standardelor de conformitate

Dincolo de amenințarea exploatării externe, există diverse reglementări și standarde de conformitate care pot atrage penalități în cazul unei breșe de securitate, mai ales atunci când putea fi evitată.

Reglementări precum NIS2 sau Regulamentul privind utilajele 2023/1230 din Uniunea Europeană stabilesc cerințe pentru sectoarele critice. Prima reglementare desemnează producția ca sector important, solicitând consolidarea securității lanțului de aprovizionare, o gestionare adecvată a riscurilor și respectarea obligațiilor de raportare. Cea de-a doua este însă mai specifică, deoarece Regulamentul privind utilajele obligă producătorii să elaboreze concepte adecvate de securitate industrială, cu un accent principal pe securitatea cibernetică, incluzând și o referire la Legea UE privind securitatea cibernetică, în cazul în care un utilaj include elemente și conexiuni digitale.

De cealaltă parte a Atlanticului, există seria de standarde ISA/IEC 62443, care stabilește cerințe pentru menținerea securității sistemelor de automatizare și control industrial. Pentru producătorii de dispozitive medicale, Consolidated Appropriations Act, 2023, în secțiunea 524B, impune evaluări riguroase care să asigure că dispozitivele conectate respectă standardele de securitate cibernetică, precum aplicarea patch-urilor de vulnerabilitate. Având în vedere că guvernele vor trebui să își mențină atenția asupra unei reziliențe cibernetice fiabile, putem presupune că vor urma și alte standarde de conformitate pentru industriile critice.

Soluții practice pentru producători

Pentru a reduce riscurile generate de sistemele vechi, producătorii trebuie să implementeze strategii solide de prevenție, precum air gapping sau segmentarea rețelei.

Air gapping presupune izolarea completă a sistemelor critice de rețea, prevenind accesul neautorizat. Simplificat, în afară de scenariul introducerii în sistem a unui mediu conectabil USB, infectat, actorii rău intenționați ar avea mult mai dificil acces la aceste sisteme. Totuși, situația se schimbă, așa cum arată cercetările recente ESET. Având în vedere interconectivitatea tot mai mare, air gapping nu poate fi singura strategie de reziliență cibernetică pentru mediile OT, mai ales atunci când este vorba de protejarea infrastructurilor critice. De aceea, securitatea suplimentară, precum segmentarea rețelei, care împarte rețeaua în zone mai mici și izolate, poate ajuta la limitarea mai eficientă a eventualelor breșe.

În esență, prin măsurile menționate puteți avea siguranța că, chiar dacă o parte a sistemului este compromisă, atacatorii nu pot accesa și alte zone. În mod similar, un grad înalt de protecție poate fi obținut printr-un serviciu de tip managed detection and response, precum ESET MDR, prevenind astfel ca amenințările sofisticate să afecteze procesele de producție încă de la început.

Mark Szabo September 18, 2025

Lasa un comentariu