Produkcja i maszyny
Bezpieczeństwo Cybernetyczne w Farmacji: Wyzwania i Strategie Ochrony Infrastruktury Przemysłowej
Ataki na systemy automatyki przemysłowej (ICS/OT) w różnych gałęziach gospodarki stały się faktem i niemal codziennie obnażają braki w ich zabezpieczeniach. Atakowane są systemy infrastruktury krytycznej, ale celem stają się również te wykorzystywane w przemyśle farmaceutycznym oraz służące w badaniach nad nowymi lekami.
Atakujący wykorzystują różnorodne metody, w tym źle zaimplementowane narzędzia stosowane w pracy zdalnej, a także podatność pracowników na ataki socjotechniczne. Szczególnie wymownym przykładem tego zjawiska jest atak, który miał miejsce w grudniu 2020 r., gdy Europejska Agencja Leków padła celem hakerów. W wyniku tego incydentu wykradziono korespondencję dotyczącą szczepionki, a atakujący przed jej opublikowaniem dokonali manipulacji informacjami, mającymi na celu podważenie zaufania do szczepionek [1].
Wspomniany atak nie tylko skupiał się na sianiu dezinformacji, ale także ilustruje różnorodność narzędzi w arsenale cyberprzestępców. Złośliwe oprogramowanie, najczęściej dostarczane za pomocą ataków phishingowych i przez pocztę e-mail, stanowi jedno z podstawowych narzędzi atakujących. Przykładowo, w październiku 2020 roku, indyjska firma Dr. Reddy’s padła ofiarą ataku ransomware, tuż po uzyskaniu zezwolenia na przeprowadzenie badań klinicznych szczepionki Sputnik V. Skutkiem tego ataku było konieczne czasowe wyłączenie części zakładów produkcyjnych firmy [2].
Warto zauważyć, że motywacje atakujących są zróżnicowane, co sprawia, że skutki ich działań dla organizacji oraz odbiorców produktów mogą być znacząco dotkliwe. Dlatego też w obliczu dynamicznie rozwijającego się krajobrazu cyberzagrożeń, organizacje muszą nie tylko skupić się na zapobieganiu atakom, ale także na szybkiej reakcji i skutecznej ochronie przed potencjalnymi konsekwencjami ataków.
Czy w takim razie jesteśmy w stanie skutecznie chronić infrastrukturę produkcyjną?
Niestety, nie istnieje jedno uniwersalne rozwiązanie ani pojedyncze urządzenie, które po zainstalowaniu zapewniłoby pełną ochronę naszej sieci i systemów. Bezpieczeństwo cybernetyczne w organizacji wymaga uruchomienia ciągłego procesu oraz zastosowania adekwatnych zabezpieczeń dostosowanych do określonego poziomu ryzyka. Ze względu na ograniczenia długości opracowania, niemożliwe jest omówienie wszystkich możliwych środków obronnych. Jednakże istotne jest podkreślenie, że te środki powinny być wdrożone zgodnie z zasadą "defence-in-depth", co oznacza stosowanie różnorodnych środków zaradczych, tworzących kolejne bariery dla działań hakera.
W kontekście ochrony sieci, kluczowe jest właściwe zaprojektowanie architektury. Ponieważ większość ataków na sieci obsługujące procesy technologiczne (OT) ma swoje źródło w biurowych sieciach korporacyjnych (IT), pierwszym krokiem jest odpowiednia segmentacja i separacja tych sieci. Bezpieczna wymiana danych między IT a OT powinna być zapewniona poprzez zastosowanie strefy DMZ-ICS, opartej na firewallach egzekwujących polityki bezpieczeństwa oraz serwerach wymiany danych. Należy unikać bezpośredniego dostępu z sieci IT do OT. Ochrona firewallem jedynie na brzegu sieci przy kontakcie z internetem już dawno przestała być wystarczająca w obliczu rozwijających się ataków. Standard IEC-62443 zaleca podzielenie sieci OT na strefy bezpieczeństwa, grupujące odpowiednio urządzenia, oraz określenie kanałów komunikacji między strefami. W celu egzekwowania reguł bezpieczeństwa w sieci OT, należy zastosować specjalne firewalle dostosowane do używanych protokołów przemysłowych, takich jak Modbus, S7, OPC czy Profinet. Te urządzenia, wyposażone w funkcję głębokiej analizy pakietów (DPI), umożliwiają precyzyjne tworzenie reguł filtrowania, przepuszczających jedynie właściwe komendy i ewentualne wartości ustawień do kontrolerów.
Jak zapobiec zagrożeniu
Implementacja skutecznych zabezpieczeń powinna poprzedzać analizę i precyzyjne zrozumienie, jakie elementy komunikują się w sieci oraz w jaki sposób to się odbywa. W tej kwestii pomocne są pasywne systemy ciągłego monitorowania, które nie tylko wykrywają potencjalne zagrożenia, lecz także dostarczają pełną widoczność sieci oraz bieżącą inwentaryzację zasobów. Otrzymujemy wówczas informacje dotyczące wszystkich urządzeń aktywnych w sieci, logicznych połączeń między nimi i używanych protokołach. Ta zgromadzona wiedza stanowi fundament analizy ryzyka i planowania skutecznych środków bezpieczeństwa – zabezpieczanie sieci wymaga świadomości tego, co w niej istnieje. Sprawdzone rozwiązania w tej dziedzinie generują gotowy zestaw reguł filtrowania dla firewalli, co umożliwia bezpieczne wdrożenie bez zakłócania procesu technologicznego.
Odpowiednio dobrany system ciągłego monitorowania sieci przynosi natychmiastowe korzyści. Następuje istotna zmiana jakościowa – teraz mamy pełną widoczność tego, co się dzieje w sieci, co umożliwia skuteczną reakcję na różnorodne zdarzenia i incydenty. System IDS (Intrusion Detection System) analizuje kopię ruchu sieciowego dostarczaną z portów mirror przełączników LAN. Potrafi on wykrywać m.in. pojawianie się nowych urządzeń w sieci, nawiązywanie nowych połączeń, używane protokoły sieciowe, próby skanowania i rekonesansu, a także wysyłanie niedozwolonych komend protokołów OT. Atakujący, zanim przystąpi do właściwego ataku, który może prowadzić np. do zatrzymania procesu, musi przejść kilka faz przygotowawczych. Rola systemu monitorowania i detekcji ataków (IDS) polega na wykrywaniu tych działań już we wczesnych fazach oraz dostarczaniu niezbędnych danych do podjęcia adekwatnych reakcji przez zespół bezpieczeństwa (SOC).
Znaczenie systemów ciągłego monitorowania zyskuje również uznanie w ustawie o Krajowym Systemie Cyberbezpieczeństwa, która nakłada obowiązek stosowania tego typu rozwiązań wśród operatorów usług kluczowych w celu skutecznej detekcji incydentów.
Co nas czeka?
W kontekście przyszłości sektora farmaceutycznego, w obliczu rosnących zagrożeń cybernetycznych, istnieje kilka kluczowych aspektów, które będą wymagały uwagi i skutecznych działań:
• Rozwój i Innowacje w Ochronie Cybernetycznej: W miarę ewoluowania technologii cybernetycznych, sektor farmaceutyczny będzie musiał inwestować w nowoczesne i innowacyjne rozwiązania ochrony. Rozwój sztucznej inteligencji, maszynowego uczenia się oraz rozwiązań zabezpieczeń opartych na analizie behawioralnej stanie się kluczowy.
• Wzmożona Wrażliwość na Ataki Związane z Pandemiami: W kontekście globalnych wydarzeń, takich jak pandemie, ochrona przed atakami związanymi z badaniami nad lekami i szczepionkami stanie się priorytetem. Firmy farmaceutyczne będą musiały jeszcze bardziej wzmocnić swoje systemy zabezpieczeń, aby zapobiec ewentualnym manipulacjom danych czy dezinformacjom.
• Zintegrowane Bezpieczeństwo OT i IT: Ze względu na to, że wiele ataków ma swoje źródło w sieciach biurowych (IT), integracja bezpieczeństwa operacyjnego (OT) i informatycznego (IT) stanie się kluczowym wyzwaniem. Wdrożenie skutecznej segmentacji, separacji i ochrony zarówno dla systemów IT, jak i OT, będzie niezbędne.
• Edukacja i Świadomość: Zwiększenie edukacji i świadomości pracowników w zakresie cyberbezpieczeństwa będzie kluczowe dla zapobiegania atakom socjotechnicznym. Firmy farmaceutyczne będą musiały inwestować w regularne szkolenia, aby zminimalizować ryzyko ludzkiego błędu.
• Regulacje i Standardy: Oczekuje się, że będą pojawiały się bardziej restrykcyjne regulacje i standardy dotyczące cyberbezpieczeństwa w sektorze farmaceutycznym. Firmy będą zobowiązane do przestrzegania określonych norm, a niewłaściwe zabezpieczenia mogą prowadzić do konsekwencji prawnych.
• Wsparcie Rządu i Współpraca Branżowa: Wzmocnienie współpracy między sektorem prywatnym a publicznym oraz między różnymi firmami w branży farmaceutycznej może zwiększyć zdolność reagowania na zagrożenia cybernetyczne. Rządowe instytucje mogą również wspierać sektor farmaceutyczny poprzez udzielanie wsparcia w dziedzinie cyberbezpieczeństwa.
W dłuższej perspektywie, dążenie do cyberbezpieczeństwa w sektorze farmaceutycznym będzie wymagało stałego dostosowywania się do zmieniającego się krajobrazu cyberzagrożeni i inwestowania w technologie oraz praktyki, które zapewnią ochronę przed nowymi i zaawansowanymi rodzajami ataków.
Artykuł ukazał się w kwartalniku "Świat Przemysłu Farmaceutycznego" 4/2023
Dodatkowe informacje
Artykuł pojawił się na łamach kwartalnika „Świat Przemysłu Farmaceutycznego” 4/2023
Autorzy
-
Mariusz Palutkiewicz
Menedżer projektów
cyberbezpieczeństwa i usług