Przez lata air gap w OT był uznawany za najprostszy i najskuteczniejszy sposób ochrony systemów przemysłowych, szczególnie w kontekście bezpieczeństwa OT i ICS.
Dziś jednak rozwój cyberbezpieczeństwa SCADA PLC, integracji IT/OT oraz rosnąca rola segmentacji sieci przemysłowych sprawiają, że środowiska te są coraz bardziej połączone i złożone.
Efekt to rosnąca liczba incydentów oraz sytuacji, w których architektura bezpieczeństwa OT oparta wyłącznie na izolacji przestaje działać w praktyce. Możesz to zobaczyć w analizach SANS ICS, które pokazują, że założenia izolacji coraz częściej rozmijają się z rzeczywistością operacyjną środowisk przemysłowych.
Co to znaczy w praktyce
W środowisku OT air gap w OT oznacza brak bezpośredniego połączenia sieciowego z innymi systemami, szczególnie z IT i internetem. W teorii takie podejście miało stanowić fundament bezpieczeństwa OT i ICS, zakładając, że systemy SCADA, PLC lub DCS działają w całkowicie zamkniętym obiegu i nie przyjmują żadnego ruchu z zewnątrz.
W praktyce jednak nowoczesne środowiska przemysłowe funkcjonują zupełnie inaczej. Dane procesowe są przesyłane do systemów MES i ERP, coraz częściej także do platform analitycznych lub chmury. Pojawia się potrzeba zdalnego dostępu dla inżynierów, integracji z systemami biznesowymi oraz ciągłej diagnostyki realizowanej przez vendorów. W efekcie nawet jeśli formalnie istnieje izolacja, rzeczywista architektura bezpieczeństwa OT opiera się na licznych wyjątkach i obejściach.
Właśnie w tych punktach styku powstaje największe ryzyko. Brak kontroli nad przepływami danych sprawia, że klasyczne podejście do izolacji przestaje być skuteczne, a zamiast realnego zabezpieczenia pojawia się jedynie jego iluzja. Dlatego w praktyce coraz większą rolę odgrywa segmentacja sieci przemysłowych, która pozwala kontrolować komunikację zamiast próbować ją całkowicie eliminować.
Co istotne, rozwój technologii oraz rosnąca powierzchnia ataku powodują, że cyberbezpieczeństwo SCADA PLC nie może już opierać się wyłącznie na założeniu braku połączenia. Systemy te komunikują się w oparciu o protokoły przemysłowe, które często nie posiadają natywnych mechanizmów bezpieczeństwa, co dodatkowo zwiększa ryzyko w przypadku nawet minimalnego naruszenia izolacji.
W efekcie air gap przestaje być realnym mechanizmem ochrony, a staje się trudnym do utrzymania założeniem architektonicznym, które nie odpowiada na wyzwania współczesnego bezpieczeństwa OT.
Gdzie leży problem
Problem nie wynika z samej koncepcji, ale z jej implementacji w realnym środowisku przemysłowym. W teorii air gap w OT ma zapewniać pełną izolację, jednak w praktyce nie jest spójny z wymaganiami operacyjnymi ani z tym, jak dziś wygląda bezpieczeństwo OT i ICS. Systemy muszą się komunikować, integrować i być dostępne, a to automatycznie tworzy punkty styku z innymi sieciami.
Najczęściej spotykane luki:
• dostęp serwisowy omijający założenia architektury bezpieczeństwa OT, często realizowany przez niekontrolowane kanały zdalne
• urządzenia IIoT komunikujące się poza kontrolą OT, wprowadzające dodatkową powierzchnię ataku do cyberbezpieczeństwa SCADA PLC
• brak kontroli nośników USB oraz integralności firmware, co umożliwia przenoszenie zagrożeń do systemów teoretycznie odizolowanych
• integracje IT OT utrzymywane latami jako rozwiązania tymczasowe, bez uwzględnienia zasad segmentacji sieci przemysłowych
• brak widoczności ruchu w sieci OT, co uniemożliwia wykrycie anomalii i incydentów
• współdzielone zasoby między IT i OT, które łamią założenia izolacji i tworzą niekontrolowane ścieżki komunikacji
Każdy z tych elementów tworzy ukryty kanał komunikacji, który nie jest objęty realną kontrolą. W efekcie system, który miał być odizolowany, funkcjonuje jako środowisko częściowo otwarte, bez pełnej świadomości przepływów danych. To właśnie tutaj pojawia się największa luka w bezpieczeństwie OT, ponieważ organizacja operuje na założeniu izolacji, podczas gdy faktyczna architektura bezpieczeństwa OT nie zapewnia ani kontroli, ani widoczności.
W praktyce oznacza to, że air gap nie jest łamany w sposób spektakularny, lecz stopniowo eroduje przez kolejne wyjątki operacyjne. Każdy taki wyjątek zwiększa ryzyko skutecznego ataku na systemy ICS.
Dlaczego to nie działa w realnym OT
Koncepcja air gap w OT nie uwzględnia rzeczywistej specyfiki środowisk przemysłowych, w których priorytetem jest ciągłość działania i bezpieczeństwo procesu, a nie czysto teoretyczne modele izolacji. W praktyce bezpieczeństwo OT i ICS musi funkcjonować w warunkach ograniczeń technologicznych, organizacyjnych i operacyjnych, które powodują, że pełna izolacja staje się niemożliwa do utrzymania.
W wielu zakładach nadal funkcjonują systemy legacy, które nie były projektowane z myślą o cyberbezpieczeństwie. Sterowniki PLC, systemy SCADA czy DCS działają często przez kilkanaście lub kilkadziesiąt lat bez aktualizacji i nie wspierają podstawowych mechanizmów ochrony, takich jak uwierzytelnianie użytkowników czy szyfrowanie komunikacji. W takim środowisku nawet częściowe naruszenie izolacji może prowadzić do pełnej kompromitacji systemu, ponieważ cyberbezpieczeństwo SCADA PLC nie posiada wbudowanych mechanizmów obronnych.
Dodatkowo aktywne podejście do bezpieczeństwa, typowe dla IT, nie sprawdza się w OT. Skanowanie podatności, testy penetracyjne czy dynamiczna analiza ruchu mogą zakłócić proces technologiczny, a nawet doprowadzić do jego zatrzymania. W efekcie organizacje ograniczają działania diagnostyczne do minimum, co znacząco zmniejsza widoczność zagrożeń. Brak tej widoczności powoduje, że architektura bezpieczeństwa OT oparta na izolacji nie tylko nie wykrywa incydentów, ale wręcz maskuje ich obecność.
Kolejnym istotnym czynnikiem są zależności procesowe. Systemy OT są bezpośrednio powiązane z fizycznym procesem produkcyjnym. PLC steruje urządzeniami, których działanie wpływa na bezpieczeństwo ludzi, instalacji i środowiska. Każda zmiana w komunikacji, nawet wynikająca z działań zabezpieczających, może zaburzyć stabilność procesu. To sprawia, że klasyczne podejście do izolacji musi ustąpić miejsca kontrolowanej komunikacji, opartej np. o segmentację sieci przemysłowych, która pozwala ograniczyć ryzyko bez ingerencji w działanie systemu.
Do tego dochodzą ograniczenia organizacyjne. OT i IT funkcjonują w odrębnych strukturach, często bez wspólnego modelu zarządzania ryzykiem. IT koncentruje się na poufności danych, podczas gdy OT skupia się na dostępności i safety. W takim układzie air gap staje się kompromisem zapisanym w dokumentacji, ale nieprzekładającym się na realne bezpieczeństwo OT. Bez spójnej strategii i integracji podejść, izolacja pozostaje tylko założeniem, które nie odpowiada na współczesne zagrożenia.
Jak to wygląda w praktyce
W zakładzie produkcyjnym system SCADA formalnie nie ma dostępu do internetu, a air gap w OT widnieje jako jeden z kluczowych elementów architektury bezpieczeństwa OT. Dokumentacja wskazuje na pełną izolację, zgodną z założeniami bezpieczeństwa OT i ICS, jednak rzeczywisty obraz środowiska jest znacznie bardziej złożony.
W praktyce:
Inżynier utrzymania ruchu korzysta z laptopa, który wcześniej był podłączony do sieci firmowej. Urządzenie to nie jest objęte pełną kontrolą bezpieczeństwa, a mimo to zostaje podłączone bezpośrednio do sieci OT w celu wgrania konfiguracji do PLC. W tym momencie potencjalne zagrożenia z IT przenikają do środowiska, które miało być odizolowane, co bezpośrednio wpływa na cyberbezpieczeństwo SCADA PLC.
Jednocześnie system raportowy przesyła dane produkcyjne do centralnej bazy w IT. Kanał komunikacji nie jest formalnie uwzględniony w architekturze i nie podlega zasadom segmentacji sieci przemysłowych. W efekcie powstaje niekontrolowana ścieżka wymiany danych między OT a IT, która omija mechanizmy bezpieczeństwa.
Dodatkowo vendor posiada dostęp zdalny realizowany przez modem LTE, zainstalowany kilka lat wcześniej na potrzeby diagnostyki. Rozwiązanie to funkcjonuje poza standardową infrastrukturą i nie jest objęte centralnym nadzorem. Tworzy to niezależny punkt wejścia do systemu, całkowicie poza kontrolą organizacji.
Z perspektywy dokumentacji wszystko pozostaje zgodne z założeniami. Jednak z perspektywy realnego bezpieczeństwa OT środowisko jest otwarte na kilka równoległych wektorów ataku. W efekcie air gap w OT nie przestaje istnieć formalnie, ale przestaje mieć znaczenie operacyjne, ponieważ nie zapewnia kontroli nad rzeczywistymi przepływami i dostępem do systemów ICS.
Konsekwencje
Operacyjne
Zakłócenie procesu technologicznego, błędne sterowanie, nieplanowane przestoje oraz degradacja jakości produkcji. W praktyce nawet krótkotrwała anomalia w komunikacji PLC może przełożyć się na utratę stabilności całego procesu, szczególnie w środowiskach ciągłych. Dodatkowo brak kontroli nad przepływami danych w ramach bezpieczeństwa OT utrudnia szybkie przywrócenie systemu do stanu nominalnego.
Bezpieczeństwa
Nieautoryzowany dostęp do PLC i SCADA, możliwość manipulacji procesem oraz trudność w wykryciu incydentu ze względu na brak monitoringu. W środowiskach, gdzie cyberbezpieczeństwo SCADA PLC nie jest wspierane przez odpowiednie mechanizmy detekcji, atak może pozostać niewykryty przez długi czas. Co więcej, brak segmentacji i widoczności w ramach bezpieczeństwa OT i ICS powoduje, że intruz może poruszać się między systemami bez istotnych ograniczeń.
Biznesowe
Straty finansowe, utrata ciągłości działania, ryzyko kar regulacyjnych oraz spadek zaufania klientów i partnerów. Incydenty w środowiskach przemysłowych coraz częściej podlegają raportowaniu w ramach regulacji takich jak NIS2, co bezpośrednio przekłada się na odpowiedzialność zarządczą. Dodatkowo brak spójnej architektury bezpieczeństwa OT może skutkować nie tylko kosztami operacyjnymi, ale również długoterminowym wpływem na reputację organizacji i jej pozycję rynkową.
Jak podejść do tego realistycznie
Zamiast polegać wyłącznie na izolacji, która w praktyce często zawodzi, należy przyjąć podejście warstwowe i kontrolowane, dopasowane do realiów bezpieczeństwa OT i ICS. Oznacza to odejście od myślenia w kategoriach pełnego odcięcia na rzecz zarządzania przepływami, widoczności i kontroli dostępu w ramach spójnej architektury bezpieczeństwa OT.
Kluczowe kierunki:
• segmentacja sieci zgodna z IEC 62443 i kontrola przepływów, która pozwala ograniczyć propagację zagrożeń i stanowi realną alternatywę dla podejścia typu air gap w OT
• monitoring ruchu OT i detekcja anomalii, umożliwiające identyfikację nieautoryzowanych działań w ramach cyberbezpieczeństwa SCADA PLC bez ingerencji w proces technologiczny
• wdrożenie zasad zero trust dla dostępu i komunikacji, gdzie każde połączenie jest weryfikowane, a dostęp ograniczony do minimum niezbędnego operacyjnie
• kontrola punktów fizycznych, w tym USB i firmware, co eliminuje jedne z najczęstszych wektorów ataku w środowiskach przemysłowych
• budowanie świadomości personelu i rozwój procedur operacyjnych, które wspierają codzienne funkcjonowanie systemów i redukują ryzyko błędów ludzkich
Takie podejście wpisuje się w nowoczesne rozumienie bezpieczeństwa OT, gdzie kluczowe znaczenie ma nie izolacja, lecz kontrola i zarządzanie ryzykiem. W praktyce oznacza to integrację technologii, procesów i kompetencji w sposób, który pozwala reagować na zagrożenia bez wpływu na ciągłość działania.
To podejście nie eliminuje ryzyka całkowicie, ale pozwala je świadomie kontrolować, ograniczać jego skutki oraz budować odporność organizacji na incydenty w środowiskach OT.
Kluczowy wniosek
Air gap w OT nie zapewnia realnego poziomu ochrony, jeśli nie jest wsparty kontrolą przepływów oraz pełną widocznością środowiska. W praktyce oznacza to, że samo odizolowanie systemów nie spełnia już wymagań, jakie stawia współczesne bezpieczeństwo OT i ICS, szczególnie w złożonych i połączonych środowiskach przemysłowych.
Nowoczesne bezpieczeństwo OT nie może opierać się na założeniu braku komunikacji, lecz na jej kontroli. Kluczowe znaczenie ma tutaj świadomie zaprojektowana architektura bezpieczeństwa OT, która uwzględnia segmentację, monitoring oraz zarządzanie dostępem do systemów SCADA i PLC. Bez tych elementów nawet formalnie istniejący air gap w OT pozostaje jedynie koncepcją, która nie przekłada się na realną ochronę.
Dodatkowo brak widoczności i mechanizmów detekcji sprawia, że cyberbezpieczeństwo SCADA PLC staje się reaktywne, a nie proaktywne. Organizacja nie ma wiedzy o tym, co dzieje się w jej infrastrukturze, co znacząco zwiększa ryzyko nieautoryzowanego dostępu i manipulacji procesem.
W efekcie skuteczne podejście do bezpieczeństwa OT i ICS wymaga odejścia od izolacji jako głównego mechanizmu i przejścia w kierunku modelu opartego na kontroli, segmentacji oraz ciągłym monitoringu. Tylko takie podejście pozwala osiągnąć rzeczywisty poziom bezpieczeństwa w nowoczesnych środowiskach przemysłowych.
FAQ
Czy air gap całkowicie przestał mieć sens?
Nie, nadal może ograniczać powierzchnię ataku, ale nie powinien być jedynym mechanizmem ochrony.
Czy można utrzymać pełną izolację w nowoczesnym zakładzie?
W praktyce jest to bardzo trudne ze względu na wymagania biznesowe i integracje systemów.
Jakie jest największe ryzyko związane z air gap?
Fałszywe poczucie bezpieczeństwa i brak monitoringu.
Od czego zacząć poprawę bezpieczeństwa OT?
Od inwentaryzacji zasobów i mapowania przepływów danych.
Czy segmentacja zastępuje air gap?
Nie zastępuje, ale jest znacznie bardziej efektywna w realnych warunkach.
Powiązane artykuły
- Segmentacja IT OT dlaczego Purdue nie działa w praktyce
- DMZ w OT 7 kluczowych zasad bezpieczeństwa
- Najczęstsze błędy w OT security wynikające z braku kontekstu
