Dalam industri modern, jumlah dan prevalensi perangkat IoT / IIoT, mesin pintar dan peralatan lain yang terhubung ke Internet secara bertahap meningkat. Firmware tempat mereka beroperasi berpotensi mengandung kesalahan dan kerentanan yang dapat digunakan untuk berbagai keperluan, termasuk untuk Luddisme Baru dan sekadar pemerasan. Kami akan menganalisis kerentanan utama industri "pintar", mempertimbangkan beberapa skenario serangan siber di dalamnya, serta rekomendasi teknis untuk perlindungan.
Pada akhir Mei 2019, diketahui tentang peta jalan yang disiapkan untuk teknologi Internet Industri end-to-end di Rusia. Menurut perkiraan, pengenalan IIoT di perusahaan-perusahaan Federasi Rusia pada tahun 2024 akan memberikan efek ekonomi setidaknya 5,5 triliun rubel. Nilai terbesar akan diberikan oleh pengenalan industri non-primer dan pertambangan - lebih dari 1 triliun rubel untuk setiap industri. Di bidang pertanian, listrik, dan logistik, pengaruhnya akan melebihi 500 miliar rubel.
Hasil implementasi nyata dari solusi IIoT di dunia menunjukkan bahwa perkiraan yang dijelaskan di atas cukup nyata. Dengan demikian, pengenalan komponen cerdas di PLTN Smolensk memungkinkan
pengurangan 20 kali lipat dalam waktu perjalanan dan peningkatan kualitas pengamatan , efek ekonomi sekitar 45 juta rubel per tahun. Techengineering Radio Engineering Plant
menerima penghematan 4% selama 4 bulan dengan memasang sensor nirkabel dan meteran untuk listrik, panas, dan kebocoran. Efek positif dari pengenalan tidak hanya diukur dalam uang - katakanlah, Harley Davidson melengkapi semua mesin dan bagiannya dengan tag RFID untuk mempercepat produksi model sepeda motor khusus.
Sebagai hasil dari pengenalan IIoT, siklus produksi berkurang dari 21 hari menjadi 6 jam .
Pada 2017, McKinsey dan Pricewaterhouse Coopers menyebut indikator kinerja yang sebanding untuk penerapan IIoT di Federasi Rusia: perkiraan mereka menunjukkan efek tahunan 0,4 hingga 1,4 triliun rubel, serta total efek 2,8 triliun rubel pada tahun 2025.
Jadi, contoh domestik dan asing, serta prospek keuangan dari pengenalan massal IIoT, menunjukkan bahwa industri 4.0 menjadi praktik yang sangat nyata dalam industri saat ini.
Kerentanan Industri Cerdas
Industry 4.0 melibatkan otomatisasi lengkap produksi dan koneksi segala sesuatu ke Internet. Pada saat yang sama, peralatan di perusahaan semacam itu “berkomunikasi” satu sama lain, dan kecerdasan buatan yang mengontrol proses mengumpulkan data untuk mengontrol tahapan produksi, yang memungkinkan untuk menghasilkan produk yang lebih baik dengan cara yang paling fleksibel dan hemat sumber daya.
Jelas, semakin tinggi tingkat otomatisasi, semakin banyak kode perangkat lunak yang terkandung dalam firmware peralatan dan semakin besar kemungkinan mereka memiliki kerentanan. Firmware, tentu saja, bukan satu-satunya sumber masalah keamanan untuk pabrik pintar di industri 4.0. Ada banyak masalah nyata. Ini beberapa di antaranya.
Komponen yang rentanSaat ini, ini adalah masalah besar, karena sebagian besar perangkat ini dikembangkan tanpa mempertimbangkan persyaratan keamanan perusahaan pintar. Menurut survei karyawan, peralatan usang adalah hambatan utama untuk penerapan solusi IOT industri. Upaya untuk membangun sistem baru berdasarkan perangkat lama menghadapi masalah dalam memberikan tingkat perlindungan yang sesuai.
Protokol yang RentanBanyak protokol dibuat bertahun-tahun yang lalu dan digunakan hampir tidak berubah hingga hari ini. Namun, ketika dikembangkan, tidak ada banyak ancaman modern dan jaringan perusahaan terisolasi. Akibatnya: menurut penelitian, 4 dari 5 protokol paling tidak aman adalah protokol kontrol industri.
Operator yang RentanDi perusahaan industri, 4,0 orang jauh lebih sedikit, yang secara proporsional mengurangi jumlah target yang mungkin. Namun, pengenalan teknologi baru menunjukkan bahwa sejumlah karyawan yang tersisa masih harus bekerja dengan program dan tipe data baru. Dalam kondisi ketika Anda harus mempelajari sesuatu yang baru, seseorang menjadi sangat rentan terhadap rekayasa sosial, khususnya, terhadap serangan phishing.
Rantai Pasokan RentanBeberapa perusahaan berpartisipasi dalam rantai produksi. Oleh karena itu, untuk melindungi satu perusahaan, keselamatan semua fasilitas produksi yang terhubung dengannya, serta semua pabrik yang terkait dengannya, harus dipastikan. Tetapi karena hampir tidak mungkin untuk mengendalikan semua komunikasi, akibatnya, tingkat keamanan akhir akan berada pada level mata rantai terlemah.
Proses TI yang RentanDalam banyak kasus, menginstal pembaruan pada perangkat IIoT bukanlah tugas yang mudah, karena beberapa di antaranya mungkin tidak memiliki mekanisme instalasi pembaruan. Kesulitan lain adalah sejumlah besar perangkat, sehingga ada risiko kehilangan satu atau dua sensor. Masalah lain dalam hal pembaruan adalah perusahaan siklus berkelanjutan, karena dalam hal ini tidak mungkin untuk menghentikan proses teknologi dan mengunggah tambalan ke sensor IIoT
.Peralatan industri memungkinkan Anda untuk melakukan sejumlah besar operasi yang berbeda. Terlebih lagi, semua kekayaan peluang seringkali tidak diperlukan. Dalam industri 4.0, kehadiran fungsionalitas yang tidak digunakan dalam peralatan memperluas kemampuan penyerang untuk menyerang, dan memastikan silumannya: karena fungsionalitas tidak digunakan, tidak ada yang mengontrol operasi peralatan di bagian ini, dan penetrasi mungkin tidak diperhatikan.
Serangan cyber besar terhadap perusahaan pintar
Badan Keamanan Informasi dan Jaringan UE (ENISA) melakukan
penelitian tahun lalu, di mana penulis mewawancarai pakar keamanan siber dan mengidentifikasi 12 skenario serangan cyber utama untuk perangkat IIoT, serta merumuskan langkah-langkah keamanan untuk perangkat IoT dalam konteks perusahaan pintar di industri 4.0. Pertama, mari kita bicara tentang skenario serangan. Dalam tabel di bawah ini, setiap jenis insiden yang mungkin diberikan memiliki tingkat risiko yang ditanggungnya untuk perusahaan yang cerdas.
Pertimbangkan beberapa serangan ini:
- Serangan pada koneksi antara pengontrol dan perangkat eksekutif: penyerang menyuntikkan dan meluncurkan kode berbahaya dalam sistem, memanipulasi data yang dikirim antara pengontrol dan mesin.
Dampak : kehilangan kendali atas proses teknologi, kerusakan pada sejumlah produk dan / atau infrastruktur.
Ancaman terkait : sabotase internal dan eksternal, manipulasi dengan perangkat lunak dan perangkat keras, perubahan konfigurasi perangkat kontrol.
- Serangan pada sensor: setelah memecahkan sensor, penyerang dapat mengubah firmware atau konfigurasinya, dan kemudian mengubah data yang dikirim sensor ke peralatan kontrol.
Dampak : membuat keputusan yang salah berdasarkan data yang salah, melakukan proses berdasarkan pengukuran yang salah.
Ancaman terkait : modifikasi informasi, sabotase, manipulasi dengan perangkat lunak dan perangkat keras.
- Serangan pada perangkat remote control (panel operator, smartphone): penyerang dapat meretas perangkat remote control, yang biasanya dirancang untuk melakukan pemeliharaan dan tidak digunakan terus-menerus. Sementara itu, mereka menimbulkan ancaman langsung ke jaringan, karena memecahnya dapat menyebabkan kerusakan yang signifikan, dan cukup sulit untuk mengidentifikasinya.
Dampak : mendapatkan akses penuh ke sistem dengan kemampuan untuk mengubah semua parameter.
Ancaman terkait : serangan kata sandi, eksploitasi kerentanan perangkat lunak, pembajakan sesi, kebocoran informasi.
- Perangkat lunak berbahaya yang menyebar melalui jaringan: mereka menggunakan kerentanan dalam firmware dan sistem operasi untuk penetrasi. Anda dapat melindungi diri sendiri dengan memperbarui perangkat dan program yang rentan secara tepat waktu, tetapi, seperti disebutkan di atas, dalam kasus IIoT, memperbarui tidak selalu memungkinkan.
Dampak : IIoT memberikan banyak peluang bagi penyerang - mengendalikan termostat cerdas, mereka dapat mematikan pemanas di rumah sakit, membahayakan keselamatan orang, kerusakan termostat di pabrik metalurgi dapat menghentikan blast furnace dan cukup menonaktifkannya.
Ancaman terkait : eksploit paket, DDoS, serangan kata sandi.
- Kesalahan manusia dan rekayasa sosial, sebagai aturan, berfungsi sebagai langkah pertama untuk melakukan jenis serangan lain: kesalahan manusia dan fitur jiwa manusia memungkinkan Anda untuk mendapatkan akses istimewa yang tidak sah ke sistem untuk menginstal backdoors, program jahat lainnya, atau akses fisik ke perangkat. Serangan pada orang lebih sulit untuk dideteksi, karena metode psikologis, daripada teknis, digunakan untuk melaksanakannya. Untuk meningkatkan pengenalan jenis serangan ini, karyawan perlu menjalani pelatihan yang sesuai.
Dampak : Jika berhasil, penyerang memperoleh akses istimewa ke sistem atau data yang diperlukan untuk jenis serangan lainnya.
Ancaman yang menyertai : penyalahgunaan wewenang administratif, administrasi yang tidak tepat atau konfigurasi sistem, kerusakan fisik pada peralatan, pencurian kekayaan intelektual perusahaan.
Apa yang diusulkan untuk menyediakan pabrik yang cerdas
Sebagai bagian dari studi ENISA, analisis topik keamanan IIoT utama dilakukan, yang dibagi menjadi tiga kelompok:
- politik
- kegiatan organisasi
- kegiatan teknis.
Kami akan mempertimbangkan rekomendasi teknis utama, dan teks lengkap dapat ditemukan di
karya asli :
Manajemen Kepercayaan dan IntegritasLangkah-langkah keamanan yang memastikan integritas dan keandalan data, serta menetapkan kriteria untuk perangkat kepercayaan:
- periksa integritas perangkat lunak sebelum menjalankannya, pastikan diperoleh dengan cara yang aman dari sumber yang dapat diandalkan dan memiliki tanda tangan digital yang valid dari pemasok;
- otorisasi semua perangkat IIoT dalam jaringan perusahaan menggunakan sertifikat digital dan PKI;
- Atur saluran komunikasi antara perangkat IIoT sebagai daftar putih. jika memungkinkan, pilih hanya saluran yang aman;
- mengimplementasikan daftar putih aplikasi dan tinjau setiap kali Anda mengubah sistem, tetapi setidaknya setahun sekali.
Keamanan mesin-ke-mesinMenentukan penyimpanan utama, enkripsi, validasi input, dan masalah keamanan:
- menyimpan kunci enkripsi layanan, kecuali kunci publik di server khusus dengan modul perangkat keras kripto;
- Gunakan algoritma kriptografi yang terbukti dan aman untuk interaksi antara objek dengan pemeriksaan integritas dan otentikasi bersama;
- pilih protokol komunikasi dengan perlindungan terhadap serangan replay (serangan pada replay pesan lama);
- Gunakan white sheet untuk memverifikasi input dan perlindungan terhadap skrip lintas situs dan injeksi kode.
Perlindungan dataMenentukan langkah-langkah untuk melindungi data rahasia dan mengontrol akses ke data tersebut:
- pilih metode perlindungan informasi dalam memori yang tidak mudah menguap dan tidak mudah menguap, serta selama transmisi dan penggunaan;
- menganalisis risiko dan menilai kekritisan berbagai jenis data, berdasarkan analisis, menentukan langkah-langkah keamanan yang diperlukan;
- memberikan akses minimum yang diperlukan ke informasi, mendokumentasikan semua hak yang diberikan;
- untuk data yang paling sensitif, gunakan enkripsi sehingga hanya orang yang berwenang yang dapat mengaksesnya;
- Meniru dan melindungi data pribadi saat memproses dalam perusahaan; menggunakan enkripsi dan kontrol akses, pertimbangkan risiko hukum.
Jaringan, Protokol, dan EnkripsiLangkah-langkah keamanan yang memberikan keamanan dengan memilih protokol, enkripsi, dan segmentasi jaringan yang tepat:
- jika memungkinkan, gunakan saluran komunikasi yang aman dan enkripsi untuk berinteraksi dengan IIoT;
- membagi jaringan perusahaan menjadi segmen-segmen, menciptakan zona-zona demiliterisasi dan mengendalikan lalu lintas antar segmen;
- menerapkan segmentasi mikro untuk membuat grup kecil komponen pada jaringan yang sama yang berkomunikasi. Kontrol lalu lintas antar mikro.
- jika mungkin, pisahkan segmen jaringan dengan persyaratan keamanan tinggi dari jaringan bisnis dan manajemen;
- Gunakan solusi IIoT dengan tingkat keamanan yang terbukti, hindari membeli dan menggunakan perangkat dengan kerentanan fatal yang diketahui;
- pastikan bahwa perangkat kompatibel dan aman saat menggunakan protokol yang berbeda.
Dll
Kenapa ini semua?
Revolusi industri keempat tidak hanya akan membawa peluang baru, tetapi juga risiko baru. Ketika menghitung penghematan dari memperkenalkan perusahaan yang sepenuhnya otomatis, sangat penting untuk mempertimbangkan biaya keamanan siber. Kerentanan hanya dalam satu perangkat IIoT dapat menjadi sumber masalah bagi seluruh pabrik. Dalam kondisi ketika tidak ada bahkan ratusan perangkat seperti itu, tetapi puluhan dan ratusan ribu, tugas melindungi mereka menjadi strategis.