De quoi l'industrie numérique doit-elle être protégée

Dans l'industrie moderne, le nombre et la prévalence d'appareils IoT / IIoT, de machines intelligentes et d'autres équipements connectés à Internet augmentent progressivement. Le micrologiciel sur lequel ils opèrent peut potentiellement contenir des erreurs et des vulnérabilités qui peuvent être utilisées à diverses fins, y compris le nouveau luddisme et simplement l'extorsion. Nous analyserons les principales vulnérabilités de l'industrie «intelligente», envisagerons quelques scénarios de cyberattaques sur celle-ci, ainsi que des recommandations techniques de protection.

À la fin du mois de mai 2019, elle a pris connaissance de la feuille de route préparée pour la technologie Internet industrielle de bout en bout en Russie. Selon les prévisions, l'introduction de l'IIoT dans les entreprises de la Fédération de Russie d'ici 2024 donnera un effet économique d'au moins 5,5 billions de roubles. La plus grande valeur sera fournie par l'introduction de l'industrie non primaire et de l'exploitation minière - plus de 1 billion de roubles pour chaque industrie. Dans l'agriculture, l'électricité et la logistique, l'effet dépassera 500 milliards de roubles.

Les résultats de mises en œuvre réelles de solutions IIoT dans le monde indiquent que les prévisions décrites ci-dessus sont bien réelles. Ainsi, l'introduction de composants intelligents à la centrale nucléaire de Smolensk a permis de réduire de 20 fois le temps d'aller-retour et d'augmenter la qualité des observations , l'effet économique étant d'environ 45 millions de roubles par an. L'ingénierie radio de la Techengineering a réalisé 4% d'économies en 4 mois en installant des capteurs et des compteurs sans fil pour l'électricité, la chaleur et les fuites. L'effet positif de l'introduction ne se mesure pas seulement en argent - disons, Harley Davidson a équipé toutes ses machines et pièces d'étiquettes RFID pour accélérer la production de modèles de motos personnalisés. Grâce à l'introduction de l'IIoT, le cycle de production est passé de 21 jours à 6 heures .

En 2017, McKinsey et Pricewaterhouse Coopers ont appelé des indicateurs de performance comparables pour la mise en œuvre de l'IIoT dans la Fédération de Russie: leurs prévisions montrent un effet annuel de 0,4 à 1,4 billion de roubles, ainsi qu'un effet total de 2,8 billions de roubles d'ici 2025.

Ainsi, les exemples nationaux et étrangers, ainsi que les perspectives financières de l'introduction massive de l'IIoT, indiquent que l'industrie 4.0 devient une pratique très réelle dans l'industrie actuelle.

Vulnérabilités de l'industrie intelligente

L'industrie 4.0 implique l'automatisation complète de la production et la connexion de tout à Internet. Dans le même temps, les équipements de ces entreprises «communiquent» entre eux et l'intelligence artificielle qui contrôle les processus recueille des données pour contrôler les étapes de la production, ce qui permet de produire de meilleurs produits de la manière la plus flexible et la plus économe en ressources.

De toute évidence, plus le niveau d'automatisation est élevé, plus le code logiciel du logiciel de l'équipement est élevé et plus il est probable qu'il présente des vulnérabilités. Le micrologiciel n'est bien sûr pas la seule source de problèmes de sécurité pour les usines intelligentes de l'industrie 4.0. Il y a des problèmes bien plus réels. En voici quelques uns.

Composants vulnérables
Aujourd'hui, c'est un gros problème, car une partie importante de ces appareils a été développée sans tenir compte des exigences de sécurité des entreprises intelligentes. Selon des sondages auprès des employés, les équipements obsolètes sont le principal obstacle à la mise en œuvre de solutions IoT industrielles. Les tentatives de construction de nouveaux systèmes sur la base d'anciens appareils rencontrent des problèmes pour fournir un niveau de protection approprié.

Protocoles vulnérables
De nombreux protocoles ont été créés il y a de nombreuses années et sont utilisés presque inchangés à ce jour. Cependant, lorsqu'ils ont été développés, la menace moderne n'était pas très présente et les réseaux d'entreprises étaient isolés. Résultat: selon les recherches, 4 des 5 protocoles les moins sécurisés sont des protocoles de contrôle industriels.

Opérateurs vulnérables
Dans les entreprises de l'industrie, 4,0 personnes sont beaucoup moins nombreuses, ce qui réduit proportionnellement le nombre de cibles possibles. Cependant, l'introduction de nouvelles technologies suggère qu'un certain nombre d'employés restants devront encore travailler avec de nouveaux programmes et types de données. Dans des conditions où vous devez apprendre quelque chose de nouveau, une personne devient particulièrement vulnérable à l'ingénierie sociale, en particulier aux attaques de phishing.

Chaîne d'approvisionnement vulnérable
Plusieurs entreprises participent à la chaîne de production. Par conséquent, afin de protéger une entreprise, la sécurité de toutes les installations de production qui lui sont connectées, ainsi que de toutes les usines qui lui sont associées, doit être assurée. Mais comme il est presque impossible de contrôler toutes les communications, le niveau de sécurité final sera donc au niveau du maillon le plus faible.

Processus informatiques vulnérables
Dans de nombreux cas, l'installation des mises à jour sur les appareils IIoT n'est pas une tâche facile, car certains d'entre eux peuvent tout simplement ne pas avoir de mécanisme d'installation de mise à jour. Une autre difficulté est le nombre énorme d'appareils, il y a donc un risque de manquer un ou deux capteurs. Un autre problème en termes de mise à jour concerne les entreprises à cycle continu, car dans ce cas, il est impossible d'arrêter le processus technologique et de télécharger des correctifs sur les capteurs IIoT .

L'équipement industriel vous permet d'effectuer un grand nombre d'opérations différentes. De plus, toute la richesse des opportunités n'est souvent pas nécessaire. Dans l'industrie 4.0, la présence de fonctionnalités inutilisées dans les équipements étend les capacités d'attaque des attaquants et garantit sa furtivité: puisque la fonctionnalité n'est pas utilisée, personne ne contrôle le fonctionnement des équipements dans cette partie, et la pénétration peut passer inaperçue.

Cyberattaques majeures contre les entreprises intelligentes

L'agence de sécurité des réseaux et de l'information de l'UE (ENISA) a mené l'année dernière une étude dans laquelle les auteurs ont interviewé des experts en cybersécurité et identifié 12 principaux scénarios de cyberattaque pour les appareils IIoT, ainsi que des mesures de sécurité formulées pour les appareils IoT dans le contexte des entreprises intelligentes de l'industrie 4.0. Tout d'abord, parlons des scénarios d'attaque. Dans le tableau ci-dessous, chaque type d'incident possible se voit attribuer le degré de risque qu'il comporte pour une entreprise intelligente.



Considérez certaines de ces attaques:

- Attaque sur la connexion entre les contrôleurs et les appareils exécutifs: un attaquant injecte et lance du code malveillant dans le système, manipulant les données transmises entre le contrôleur et la machine.
Impact : perte de contrôle des processus technologiques, endommagement d'un lot de produits et / ou d'infrastructures.
Menaces associées : sabotage interne et externe, manipulations avec logiciel et matériel, changements dans la configuration des dispositifs de contrôle.

- Attaques sur les capteurs: après avoir craqué un capteur, un attaquant peut modifier son firmware ou sa configuration, puis modifier les données que le capteur envoie aux équipements de contrôle.
Impact : prendre de mauvaises décisions sur la base de fausses données, effectuer un processus basé sur des mesures incorrectes.
Menaces associées : modification des informations, sabotage, manipulations avec logiciel et matériel.

- Attaque de télécommandes (pupitres opérateurs, smartphones): un attaquant peut pirater des télécommandes, généralement conçues pour effectuer des opérations de maintenance et qui ne sont pas utilisées en permanence. Pendant ce temps, ils constituent une menace directe pour le réseau, car leur rupture peut causer des dommages importants et il est assez difficile de l'identifier.
Impact : obtenir un accès complet au système avec la possibilité de modifier tous les paramètres.
Menaces associées : attaques par mot de passe, exploitation de vulnérabilités logicielles, détournement de session, fuite d'informations.

- Logiciels malveillants répandus sur le réseau: ils utilisent des vulnérabilités dans les micrologiciels et les systèmes d'exploitation pour la pénétration. Vous pouvez vous protéger en mettant à jour en temps opportun les appareils et programmes vulnérables, mais, comme mentionné ci-dessus, dans le cas de l'IIoT, la mise à jour n'est pas toujours possible.
Impact : l' IIoT offre un riche éventail de possibilités aux attaquants - en prenant le contrôle d'un thermostat intelligent, ils peuvent couper le chauffage de l'hôpital, mettant en danger la sécurité des personnes, le dysfonctionnement des thermostats dans une usine métallurgique peut arrêter un haut fourneau et simplement le désactiver.
Menaces associées : packs d'exploitation, DDoS, attaques par mot de passe.

- Les erreurs humaines et l'ingénierie sociale, en règle générale, constituent la première étape pour exécuter d'autres types d'attaques: les erreurs humaines et les fonctionnalités de la psyché humaine vous permettent d'obtenir un accès privilégié non autorisé au système pour installer des portes dérobées, d'autres programmes malveillants ou un accès physique aux appareils. Les attaques contre les personnes sont plus difficiles à détecter, car des méthodes psychologiques plutôt que techniques sont utilisées pour les mener à bien. Pour améliorer la reconnaissance de ce type d'attaque, les employés doivent suivre une formation appropriée.
Impact : en cas de succès, l'attaquant obtient un accès privilégié au système ou aux données nécessaires à d'autres types d'attaques.
Menaces concomitantes : utilisation abusive de l'autorité administrative, mauvaise administration ou configuration du système, dommages physiques à l'équipement, vol de la propriété intellectuelle de l'entreprise.

Ce qui est proposé pour fournir une usine intelligente

Dans le cadre de l'étude ENISA, une analyse des principaux thèmes de sécurité de l'IIoT a été réalisée, divisée en trois groupes:

• politique
• activités organisationnelles
• activités techniques.

Nous examinerons les principales recommandations techniques, et le texte complet se trouve dans l' ouvrage original :

Gestion de la confiance et de l'intégrité

Mesures de sécurité qui garantissent l'intégrité et la fiabilité des données, ainsi que des critères de confiance pour les appareils:

• vérifier l'intégrité du logiciel avant de l'exécuter, assurez-vous qu'il est obtenu de manière sûre à partir d'une source fiable et dispose d'une signature numérique valide du fournisseur;
• autoriser tous les appareils IIoT du réseau d'entreprise à l'aide de certificats numériques et de PKI;
• Définissez les canaux de communication entre les appareils IIoT sous forme de liste blanche. si possible, sélectionnez uniquement les canaux sûrs;
• implémentez des listes blanches d'applications et passez en revue chaque fois que vous changez le système, mais au moins une fois par an.

Sécurité de machine à machine

Définit le stockage des clés, le chiffrement, la validation des entrées et les problèmes de sécurité:

• stocker les clés de chiffrement des services, à l'exception des clés publiques sur des serveurs spéciaux avec des modules de chiffrement matériel;
• Utilisez des algorithmes cryptographiques éprouvés et sécurisés pour l'interaction entre les objets avec vérification d'intégrité et authentification mutuelle;
• choisir des protocoles de communication avec protection contre les attaques de rejeu (attaques sur la relecture d'anciens messages);
• Utilisez des feuilles blanches pour vérifier l'entrée et la protection contre les scripts intersites et l'injection de code.

Protection des données

Définit des mesures pour protéger les données confidentielles et contrôler leur accès:

• choisir les méthodes de protection des informations en mémoire non volatile et non volatile, ainsi que lors de la transmission et de l'utilisation;
• analyser les risques et évaluer la criticité des différents types de données, sur la base de l'analyse, déterminer les mesures de sécurité nécessaires;
• fournir le minimum d'accès nécessaire à l'information, documenter tous les droits accordés;
• pour les données les plus sensibles, utilisez le cryptage afin que seules les personnes autorisées puissent y accéder;
• Usurper l'identité et protéger les données personnelles lors du traitement au sein de l'entreprise; utiliser le chiffrement et le contrôle d'accès, tenir compte des risques juridiques.

Réseaux, protocoles et cryptage

Mesures de sécurité qui assurent la sécurité en choisissant les bons protocoles, le chiffrement et la segmentation du réseau:

• si possible, utilisez des canaux de communication sécurisés et un cryptage pour interagir avec IIoT;
• diviser le réseau d'entreprise en segments, créer des zones démilitarisées et contrôler le trafic entre les segments;
• appliquer la micro-segmentation pour créer de petits groupes de composants sur le même réseau qui communiquent. Contrôlez le trafic entre les microsegments.
• si possible, séparer les segments de réseau avec des exigences de sécurité élevées des réseaux commerciaux et de gestion;
• Utilisez des solutions IIoT avec un niveau de sécurité éprouvé, évitez d'acquérir et d'utiliser des appareils présentant des vulnérabilités fatales connues;
• assurez-vous que les appareils sont compatibles et sécurisés lorsque vous utilisez différents protocoles.

Etc.

Pourquoi tout cela?

La quatrième révolution industrielle apportera non seulement de nouvelles opportunités, mais aussi de nouveaux risques. Lors du calcul des économies réalisées grâce à l'introduction d'entreprises entièrement automatisées, il est impératif de tenir compte des coûts de la cybersécurité. La vulnérabilité dans un seul appareil IIoT peut être une source de problèmes pour une usine entière. Dans des conditions où il n'y a même pas des centaines de tels appareils, mais des dizaines et des centaines de milliers, la tâche de les protéger devient stratégique.