Mentionsy

Razem ze mną jest dzisiaj Zuzanna Wieczorek, prezes firmy Tekniska, która zajmuje się bezpieczeństwem OT.

Czym jest OT?

Powiedz mi, czym jest OT i na czym polega w ogóle bezpieczeństwo OT?

OT to jest Operational Technology, to jest termin wymyślony, z tego co pamiętam, przez Gartnera, ale używa się też innych określeń, Industrial Control Systems.

A wszystko co nas otacza jest w jakiś sposób wytworzone.

Jak się różni IT od OT, jeżeli chodzi o bezpieczeństwo?

Wiesz co, to jest też szerokie pytanie, bo ze względu na to, że te OT to jest bardzo zróżnicowana produkcja, bo możemy produkować prąd, czyli energię elektryczną.

I w zależności od tego, co produkujemy i w jaki sposób, jak wygląda sam proces fizyczny, jak wygląda system, który tym procesem steruje, z jakich elementów się składa i tak dalej, no to inaczej będą wyglądać kontrole bezpieczeństwa i cały sposób zarządzania tym OT.

Fundamentalne różnice między podejściem OT a IT są tak naprawdę głęboko zakorzenione w celach i w kulturze, która z tych celów wynika.

Ponieważ w OT wszyscy są skoncentrowani na tym, żeby ten proces utrzymać jakby dyspozycyjny, żeby on był dostępny cały czas, żeby działał i produkował, bo celem jest produkcja, wytworzenie tego czegoś, co jest tym naszym produktem.

Dobra, no to spróbuję sobie wyobrazić to w prosty sposób, że mamy w takim kraju jak Polska albo Ukraina, w którym część na przykład tych ataków się powiodła, mamy system elektroenergetyczny, który się składa z wytwarzania, czyli musi mieć jakieś elementy, które wytwarzają nam tą energię elektryczną, potem z mniejszych firm, które dystrybuują tą energię do naszych domów i z dużej firmy, która ją przesyła w skali już

energii odnawialnej, czyli fotowoltaikę, wiatraki itd.

O jakiej skali i jak potem ograniczyć ten skutek?

Ale to jest bardzo trudne, żeby wywalić stabilność całego systemu, bo on jest tym właśnie całym systemem naczyń połączonych, tak jak powiedziałam, czyli jest dużo różnych połączeń, które potrafią się przełączyć, to znaczy nie czasem automatycznie, a czasem ludzie, operatorzy to przełączają.

Czyli innymi słowy, nawet jak ktoś spowoduje, że ja nie widzę, jakie są nastawy na kotle, na jakiejś turbinie i tak dalej, bo ktoś, nie wiem, odciął mi dostęp, to nie znaczy, że to dalej nie działa poprawnie.

Musi potem to faktycznie potem z powrotem poprzełączać.

Tak sobie wyobrażam, w razie potrzeby zbić szybkę, duża wajcha i teraz jedziemy tutaj manualnie.

Spotkaliśmy się na CyberTechu, raz zaprosiłaś mnie jako speakera, raz przyjechałem tam zupełnie na jolo na deskorolce, w krótkich spodenkach.

I dotykaliśmy tam takiego tematu jak SBOM, czyli Software Bill of Materials, czyli to, że musimy wiedzieć, z czego nasz system się składa, no bo jak nie wiemy, z czego się składa, no to nie wiemy, gdzie są jakieś ryzyka i inne światy.

I ja pierwszy raz doznałem tego szoku poznawczego wtedy, kiedy posadziłaś mnie naprzeciwko ludzi z OT.

Naprawdę, te ludzie tego nie doceniają, jak bardzo ta mentalność potem wpływa na wszystkie procesy zarządcze tak naprawdę też i całą organizację tych wszystkich struktur, które tworzą potem wymagania i tak dalej, i tak dalej, i tak dalej.

Tak, dlatego to może być takie kosmiczne faktycznie zderzenie, wiesz, spotkanie takie na bardzo wysokim poziomie abstrakcji dla obydwu stron.

Tylko w momencie, kiedy przez te 15 lat technologie komunikacyjne się rozwinęły, potrzeby biznesowe się zmieniły,

Duże puzzle i w każdej tej firmie się zmieniły, bo jest rotacja jakichś ludzi.

U ciebie jest rotacja ludzi.

Jeszcze nie spotkałam się z projektem, kiedy by nie było czegoś, co było zaskoczeniem.

Wiem, jak wygląda obiekt przemysłowy, jakie są też proceduralne czasem rzeczy, które ciężko sobie wyobrazić, że na przykład nie jest wcale łatwo dotrzeć w niektóre miejsca.

Tego typu rzeczy to każda branża przemysłowa ma potem takie swoje smaczki.

Właśnie chciałem zapytać, dlaczego to jest tak w tym świecie OT, że jakaś mała zmiana, coś takiego, co się wydaje drobne, potrafi czasami kosztować miliony?

I robisz to, no bo potrzebujesz, żeby ten pacjent żył twój.

Bo nikt nie wie, nikt nie wie jak tego dotknąć.

Ani ci potem integratorzy automatyki.

Tutaj te zmiany, tak jak mówię, jeżeli jakiś system jest przewidziany na 30 lat i potem to iteruje, a mamy tam taką rozłączność, że tu są osobno automatycy, tu są osobno...

Chciałem cię zapytać o to, jak wyglądają ataki na OT, bo mamy tą granicę pomiędzy IT i OT, o której fajnie opowiedziałaś.

Bo ty musisz stworzyć tym ludziom takie cele, żeby oni mieli motywację, żeby ze sobą współpracować.

I to jest super, jak już dojrzała organizacja, to potrafi sobie tak to poukładać.

No to ma często management, który jest, siedzi zamknięty w szklanej wieży i jest niedotykalny i ciężko się z nim w ogóle umówić i zgłosić tam łapką, że coś jest może nie halo.

I masz zespół IT, który uważa, że moje jest mojsze i zespół OT, który uważa tak samo, tylko że niestety ciągną często w dwóch różnych kierunkach.

A zespół OT mówi, że nie może aktualizować i też w sensie obiektywnym ma rację.

Bo tak jak powiedziałeś, to jest takie, wiesz, przed wyruszeniem w drogę zebrać drużynę, należy i mieć odpowiednich interesariuszy, którzy potrafią się ze sobą dogadać i wtedy to działa.

Natomiast ze względu na to, że są tu zgrzyty, są tu różne grupy interesów, a zróbmy to taniej, chciałbym tak dotknąć paru takich typowych wektorów ataku, bo pięknie to opisał

Potwierdza.

No i wydaje mi się, że dużo się ślizgamy w tym cyberbezpieczeństwie OT po powierzchni, czyli te wszystkie rekomendacje, że trzeba mieć bezpieczny zdalny dostęp, że trzeba mieć to, trzeba mieć tamto, one są dosyć oczywiste.

Skoro nie wiesz, ile tam masz setek różnych rzeczy, nie masz ich dobrze zinwentaryzowanych, to znaczy nie masz SBOM-a jakiegoś takiego swojego spisu wszystkiego, co się dzieje, no to potem zarządzać jeszcze poświadczeniami, gdzie nie masz, nie, to są tylko moje rzeczy, ale powiedzmy, że ta firma dla mnie robi to, tu jest integrator, ja jestem właścicielem jako fabryką czegoś.

Ono musi przeważać, no bo cała istota przemysłu jest taka, żeby ten proces trwał i trwał w sposób bezpieczny.

W którym testowali malware, który próbowali wygrać potem pod te systemy safety.

Czyli trochę jak w tych lotach w kosmo, że głosowały przeciwko sobie tam?

Tak, jest coś takiego, ale są też dwuprocesorowe i na przykład oni mieli wersję przygotowaną na system dwuprocesorowy, a tam był 3 i dlatego im się to między innymi nie udało.

Bo one też nie wszędzie są jakby potrzebne.

No też nie zawsze jest potrzebne.

Przemysł dobrze potrafi sobie radzić z analizą ryzyka, bo robi ją według, nie wiem, dyrektywy maszynowej, według różnych norm środowiskowych, tak?

No tak, więc i tych ryzyk jest cała masa i przemysł potrafi te ryzyka jakby robić, czy tam dla safety się robi, nie wiem, hazard na przykład, no jest dużo tych metod.

Natomiast chciałbym jeszcze tego dotknąć, że dlaczego patchowanie w świecie OT jest takie trudne?

Czasem wymaga walidacji jakiejś dodatkowej, czyli testów, przeprowadzenia testów ruchomieniowych, które potrzebują dużo czasu i to nie jest tak, że ty go nie planujesz, tylko planujesz na przykład w jakiejś tam przyszłości, kiedy wyjdzie na to czas.

Jak często spotykasz się z czymś takim, że... Wiesz, to jest dla mnie taka kategoria trochę vendor-lock-in, że ty mi tutaj nic nie zmieniaj,

I sterowanie tym procesem jest zaprojektowane jako proces technologiczny, potem fizyczny, potem sterowanie i tak dalej, zabezpieczenie.

Spotkałem na CyberTeku u ciebie na konferencji parę osób, które pracują przy tam różnych elektrowniach.

No i mnie oblał pot, no bo nie można jakby wiesz, cały czas żyjemy z takim kawałkiem.

Powiedz mi, bo ja czuję się po prostu, wiesz, jak junior, który wchodzi w ten świat i patrzy z takiej perspektywy IT na OT i tu się potykam, tutaj widzę to inaczej.

Co jest takim największym błędem mentalnym ludzi z IT, którzy wchodzą do świata OT?

A teraz tak, jedni nawzajem o drugich, czyli ludzie z IT myślą o ludziach z OT, że to są ignoranci i jakby niepoważni, w ogóle nie biorą pod uwagę żadnych ryzyk i robią kardynalne błędy.

I potem się okazuje, że wszyscy mają na mnie pretensje, tam moje dzieci, mój mąż, że nie mogę nic znaleźć, tak?

Trochę to jest na takiej zasadzie, że właśnie w ten sposób security potrafi życie uprzykrzać.

Fajne jest to takie napięcie i fajnie, że wiesz, jesteś pomiędzy tym światem, który łączy z jednej strony IT i OT i różne interesy.

Natomiast wiecie, w nowoczesnej fabryce, nowo zbudowanej już tak nie będzie, już IT z OT będzie współpracować na przykład.

Sieć dystrybucyjna, czyli połączenie pomiędzy... OSD to się nazywa, czyli połączenie z tej stacji, z tej rozdzielni, która bierze tą energię z tych na przykład wietraków do tego centrum dystrybucyjnego, które potem tą energię odbiera stacja rozdzielcza, potem jest to centrum i dystrybuuje gdzieś tam dalej, tak?

To ten system też potrafi się stabilizować do pewnego momentu.

Może się wydarzyć potem Hiszpania, Portugalia i blackout taki.

Czytałem w ogóle taki dokument związany z bezpieczeństwem energetycznym przygotowanym przez Unię Europejską i oni tam określili w ogóle trzy rodzaje państw, które mówią o tym, że niektóre to są wyspy, są oddzielone od wszystkich, są lizaki i są z jednej strony połączone, ale takie półwyspy.

który faktycznie uniemożliwił funkcjonowanie tego IT, ale w ramach incident response przez to, że oni nie do końca wiedzieli co się dzieje i jaki to ma wpływ, a już na pewno utracili rozliczalność tego transportu w rurociągu, to zatrzymali proces OT.

Efekt był taki, że IT podnieśli chyba w jeden dzień, a to OT podnosili tam w kilka później, tak?

Mogę się mylić co do liczby dni, no ale na pewno trwa kilkakrotnie dłużej niż podniesienie tych systemów IT z backup.

Jaka jest temperatura, jaka wilgotność, jakie coś?

Bierzesz te informacje o procesie z tych czujników, no i potem sterujesz tym procesem, czyli masz jakiś sterownik, który, nie wiem, w pętli jakiegoś sprzężenia zwrotnego, mówi dobra, to teraz tu podniesiemy, tu zmniejszymy, tu wystawimy takie, tu i tak.

Bo w momencie, kiedy masz właśnie taką złożoność całego problemu, to najmniej ci potrzeba szumu informacyjnego i tego, że tych wszystkich doradców, wiesz, którzy ci będą o złote rady dawać, to jest najważniejsze, to jest najważniejsze, to jest najważniejsze.

Więc myślę, że potrzeba rzetelnych raportów, żeby rozumieć po pierwsze jak zmieniają się zagrożenia, żeby ich

Że właśnie no nie ma widocznie nigdy dobrego pomysłu jak zarządzać hasłami w takim stopniu złożoności, przede wszystkim umowach utrzymania, gdzie musisz szybko reagować, masz do obsłużenia x klientów, u ciebie rotują ludzie na zmianach, rotują w firmie, tak jak próbowałam pokazać i nikt nie ma technicznego i operacyjnego pomysłu jak to

A w takich incydentach jak ten, które zyskały rozgłos, co ciebie niepokoi najbardziej jako taką specjalistkę od OT właśnie?

Teraz będzie Digital Networks Act, który będzie uwalniał w ogóle rzeczy związane z częstotliwościami do użycia w całej Unii Europejskiej.

To jest udowodnione, że to jest największy motywator do tego, żeby firmy zaczęły poważnie myśleć o cyberbezpieczeństwie, żeby wkomponowały te ryzyka cyber w swoje natywne szacowanie ryzyka.

I czasem faktycznie utrudniają życie i mniejszy podmiot będzie miał może większe wyzwanie.

Myślę, że kary w kontraktach, kary w regulacjach nie są po to, żeby na nich zarabiać, tylko żeby były jednak motywatorem faktycznie, ale nie słyszałam, żeby ktoś zapłacił jakąś karę.

Miał proces SolarWinds, czyli atak, gdzie atrybowano go, jeżeli pamiętam, do Rosji, a potem jeszcze Chińczycy się podpięli, który w sumie wpłynął na bardzo wiele instytucji w Stanach Zjednoczonych, bo tam było zatrucie łańcucha dostaw i przez SolarWinds atakujący dostali się w wiele miejsc.

Natomiast w świecie, gdzie jednak nie ma tych chmurek jednorożców i tęcz tylko, to żeby to siąść i zrobić, potrzebujesz ludzi.

Potrzebujesz kompetencji, potrzebujesz odpowiednio ułożyć procesy, potrzebujesz znaleźć na wszystko finansowanie i jeszcze mieć nadzieję, że zrobisz to wszystko, powiedzmy, że zdążysz, tak?

I teraz problem tkwi też w tym, że jeżeli nie jesteś w stanie bardzo efektywnie ułożyć procesu, albo nawet jesteś, ale jednak potrzebujesz tych ludzi, a nie ma ich na przykład wystarczająco dużo na rynku.

Wyszkolonych specjalistów, to albo musisz ich wziąć z innego rynku, czy na przykład z IT i nauczyć tego OT.

To wszystko jest taka walka o kompromisy w OT.

Czyli możesz mieć jakieś powody techniczne, które ty musisz potem...

No to raczej mało prawdopodobne jest, albo to jest jakby przypadkowość pewna, że ktoś akurat przyjdzie z jakiegoś tam działu inżynieryjnego i powie, i jeszcze się dobije do tego zarządu, będzie tak zmotywowany, zdeterminowany, że się dobije do zarządu w sposób biznesowy, konkretny, w 5 minut wytłumaczy, że jest ryzyko, musimy się tym zaopiekować.

I potem w ogóle

No i potem mówię, o my tu musimy jeszcze zrobić jakiś cyber security.

No i to w zależności od tego, czy ta firma już ma kompetencje, czy nie ma, to potem dopiero czasem już post factum się orientuję, że właśnie wygrała temat, który wydawałby się, że jest taki sam jak zawsze, a jednak już nie jest taki sam.

A powiedz mi, bo dotknęłaś tego przy poprzednim pytaniu, czy ty wierzysz w certyfikacje?

Wierzę w niektóre certyfikacje produktów, ale takie, które wymuszają konkretne kontrolki czy zmianę, nie wiem, podejścia do, że nie wiem, musisz mieć Secure Boot na przykład, tak?

Ale nie wierzę w takie certyfikacje papierowe, gdzie się biurokratycznie tylko przechodzi przez jakąś masę dokumentacji i dostajesz potem tamten podpis i...

Bo jest to takie środowisko, wiesz, gdzie jak sobie wyobrażam przygotowanie takiej produkcji do czegokolwiek, mówisz integratorzy, dostawcy, firmy, właściciel, jest bardzo dużo interesariuszy.

No myślę właśnie, że to jest bardzo trudne i faktycznie i tak myślę, że względnie przy tej całej skali złożoności to nie jest tak, że to nie jest totalny bałagan, bo dużo rzeczy jest naprawdę dobrze zaprojektowanych.

I nie ma chyba gotowej recepty.

Mają dużo więcej zasobów i mają motywację, bo muszą to wszystko jeszcze sprzedać i uargumentować.

Więc mają motywację, żeby to przemyśleć.

Ten, kto ma dane, ten potrafi lepiej przewidzieć przyszłość.

I przeszedłbym do przyszłości, to znaczy do takich trendów związanych z tym, gdzie OT tak naprawdę zmierza.

Po pierwsze mamy problem z częstotliwościami, bo nie wszędzie one są tak dostępne.

Na takich, powinny być oparte na takich sieciach prywatnych, powiedzmy, telekomunikacyjnych już w wyższych częstotliwościach.

To są ogromne inwestycje, ogromne przedsięwzięcia i ogromne naprawdę takie projekty, w których jest potem... Ilość rzeczy, które mogą pójść nie tak, jest dosyć duża.

Ale potem widzą, że na tym koncie mają, w tym CRM-ie swoim mają tutaj coraz więcej informacji, coraz więcej, coraz więcej, tak?

Nie wymyśliłam tego sama, tylko jest taka pani, która się zajmuje cyberbezpieczeństwem systemów właśnie fizycznych, Marina Krotofil i ona była na którymś CyberTechu chyba dwa lata temu.

Jest gorzej w sensie szybkości, z jaką postępuje ilość potencjalnych zagrożeń nowych, z jaką rośnie.

To jeszcze tak powoli zbliżamy się do końca, ale chciałbym dotknąć geopolityki, bo wiesz, są kwestie związane z pochodzeniem sprzętu czy softu.

Powiedz mi, gdyby ktoś chciał wejść w świat OT słuchając Ciebie dzisiaj i się zachwycił i stwierdził, kurczę, ja bym chciał, tam jest tyle do zrobienia, można tyle zmienić, tyle zdziałać, to czego się uczyć i jak budować wiarygodność?

Czyli można mieć ten super motywator taki, że możesz faktycznie zrobić coś ważnego.

Zuza, powiedz mi, jeżeli ktoś chciałby cię spotkać, to gdzie można?

Jesteśmy w Gliwicach, także zapraszam też na kawę oczywiście, jeżeli ktoś się tym tematem bardzo interesuje i fascynuje albo ma potrzeby.

I tam jak najbardziej mnie też będzie można spotkać i wiele ludzi z tej społeczności OT Warriors, czyli takiej zajmującej się cyber i sieciami i systemami przemysłowymi.

Także mamy różne perspektywy i oni też czasem burzliwie dyskutują, ale staramy się z tego właśnie potem zbudować coś, co jest pragmatyczne.

Nie dość, że nie mają zespołu, który potem by siedział i patrzył w ten CM, w ogóle potrafił go obsługiwać.

No i trzecia rzecz to bardzo się cieszę, że mamy votum separatum, bo dla mnie atak się nie udał, to znaczy nie miał wpływu na nas jako na ludzi, a dla ciebie się udał, no bo miał wpływ na te systemy, które tam miały miejsce na Human Machine Interface, na RTU, więc cieszę się, że wiesz, dotknęliśmy tych różnych perspektyw na to.

Jeżeli chcecie, bo to jest jedna z takich rzeczy, która na pewno wbudzi pewne emocje, napiszcie w komentarzu, co ze świata OT przeraża was najbardziej.

Absolutnie się zgadzam i wielokrotnie to widać na tych grupach aktywistycznych, które tam publikują różne rzeczy.