Bezpieczeństwo nośników USB w sieciach ICS - zagrożenia i kontrole
Zagrożenia USB w środowiskach OT - malware, sabotaż, eksfiltracja danych. Kontrole IEC 62443, kiosk bezpieczeństwa i polityki.
11 grudnia 2017 roku, o godzinie 1:21 w nocy, pracownik nocnej zmiany w zakładzie przemysłowym na Bliskim Wschodzie podłączył pendrive do współdzielonej stacji roboczej. Chciał obejrzeć film “La La Land”, który pobrał wcześniej na nośnik USB. Nie wiedział, że wraz z filmem na stację trafiło złośliwe oprogramowanie, które rozpoczęło operację nazwaną później Operation Copperfield. Malware oparty na trojanach H-Worm (Houdini RAT) rozprzestrzenił się po sieci zakładu, zbierając dane konfiguracyjne i prowadząc rekonesans infrastruktury krytycznej.
Ten incydent nie był wyjątkiem. Nośniki wymienne pozostają jednym z najczęściej wykorzystywanych wektorów ataku na systemy OT - od Stuxneta w 2010 roku, przez Agent.BTZ w sieciach Departamentu Obrony USA, aż po współczesne kampanie wymierzone w infrastrukturę energetyczną i wodociągową. W tym artykule omawiamy aktualne dane o zagrożeniach USB, wymagania normatywne i praktyczne kontrole, które pomagają ograniczyć ryzyko.
Dlaczego USB wciąż stanowi zagrożenie w OT
Sieci OT mają specyficzną cechę, która czyni je podatnymi na ataki przez nośniki wymienne: wiele z nich jest izolowanych od internetu (air-gapped). Paradoksalnie, to właśnie ta izolacja sprawia, że USB staje się głównym kanałem transferu danych - aktualizacji firmware, plików konfiguracyjnych, logów diagnostycznych czy oprogramowania serwisowego.
Pracownicy i dostawcy zewnętrzni regularnie przynoszą do sieci OT:
- Pendrive’y z aktualizacjami oprogramowania sterowników PLC i systemów SCADA
- Laptopy serwisowe z narzędziami diagnostycznymi
- Dyski zewnętrzne z kopiami zapasowymi konfiguracji
- Nośniki z dokumentacją techniczną i schematami
Każdy z tych nośników mógł wcześniej znajdować się w sieci biurowej, domowej lub infrastrukturze innego klienta. Jeśli został zainfekowany - przeniesie malware bezpośrednio za granicę air gap, omijając firewalle, systemy IDS i segmentację sieciową.
Skala problemu - dane z raportów Honeywell
Firma Honeywell od kilku lat publikuje raporty dotyczące zagrożeń przenoszonych przez USB w środowiskach przemysłowych, oparte na danych z systemu Secure Media Exchange (SMX), który skanuje nośniki wymienne w zakładach na całym świecie.
malware zaprojektowanego pod USB (6x wzrost od 2019)
malware USB zdolnego zakłócić procesy OT
incydentów IR Honeywell powiązanych z USB
plików przeskanowanych przez SMX (2025)
Źródło: Honeywell USB Threat Report 2024, Honeywell Cyber Threat Report 2025
Dane za rok 2024 pokazują, że 51% wykrytego malware zostało celowo zaprojektowane do rozprzestrzeniania się przez nośniki USB - to sześciokrotny wzrost w porównaniu z 9% w 2019 roku. Co istotniejsze, 82% tego malware jest zdolne do zakłócenia procesów przemysłowych - poprzez utratę widoczności (loss of view) lub utratę sterowania (loss of control).
W pierwszym kwartale 2025 roku system SMX wykrył 1 826 unikalnych zagrożeń USB, w tym 124 nigdy wcześniej niewidziane warianty. Jeden na cztery incydenty obsługiwane przez zespół Honeywell Incident Response dotyczył zdarzenia typu USB plug-and-play.
Trzy scenariusze ataku przez nośniki wymienne
Poniższe scenariusze warto omawiać podczas szkoleń pracowników i dostawców zewnętrznych obsługujących instalacje OT.
Scenariusz 1: Zainfekowany nośnik z sieci biurowej lub domowej
Pracownik kopiuje na pendrive prezentację ze służbowego laptopa, a w domu używa tego samego nośnika na komputerze osobistym. Nośnik zostaje zainfekowany. Następnego dnia pracownik przynosi go do zakładu i podłącza do stacji inżynierskiej w sieci OT. Malware przenosi się za granicę air gap.
Dokładnie tak rozprzestrzeniał się Stuxnet - poprzez zainfekowane nośniki USB i pliki projektowe Step 7, przenoszone przez firmy serwisujące instalację w Natanz. Samo wyświetlenie zawartości nośnika w Eksploratorze Windows wystarczało do uruchomienia kodu wykorzystującego lukę w obsłudze plików .LNK.
Scenariusz 2: Laptop serwisowy dostawcy zewnętrznego
Integrator systemu automatyki przyjeżdża z laptopem, na którym przechowuje oprogramowanie serwisowe, pliki konfiguracyjne i narzędzia diagnostyczne. Ten sam laptop był używany u innych klientów i podłączany do różnych sieci. Jeśli został zainfekowany - przeniesie malware do każdej kolejnej instalacji, do której się podłączy.
Scenariusz 3: Spreparowane pliki projektowe lub aktualizacje
Atakujący modyfikują pliki projektowe sterowników PLC lub pakiety aktualizacji firmware, osadzając w nich złośliwy kod. Gdy technik wgrywa taki plik na kontroler, malware zyskuje bezpośredni dostęp do warstwy sterowania procesem.
WARNING
Nośniki USB to nie tylko pendrive’y. Zagrożeniem są również klawiatury z ukrytymi payloadami (BadUSB), kamery USB z osadzonym kodem, adaptery sieciowe tworzące nieautoryzowane połączenia oraz zewnętrzne dyski twarde. Każde urządzenie podłączane przez port USB jest potencjalnym wektorem ataku.
Wymagania normatywne
IEC 62443
Norma IEC 62443 bezpośrednio odnosi się do zagrożeń związanych z nośnikami wymiennymi. Kluczowe wymagania obejmują:
| Wymaganie | Opis | Odniesienie |
|---|---|---|
| Kontrola portów fizycznych | Ograniczenie dostępu do portów USB na urządzeniach w strefach krytycznych | IEC 62443-2-1, IEC 62443-3-3 |
| Skanowanie nośników | Obowiązkowe sprawdzanie nośników przed podłączeniem do sieci OT | IEC 62443-2-4 |
| Whitelisting urządzeń | Dopuszczanie tylko zarejestrowanych nośników wymiennych | IEC 62443-3-3 SR 2.3 |
| Kontrola typów plików | Ograniczenie dozwolonych formatów plików na nośnikach | IEC 62443-3-3 |
| Zasada najmniejszego przywileju | Minimalne uprawnienia dla operacji z nośnikami wymiennymi | IEC 62443-3-3 SR 2.1 |
| Logowanie i audyt | Rejestracja wszystkich operacji z nośnikami wymiennymi | IEC 62443-2-1 |
Wymagania te należy wdrożyć w kontekście stref i korytarzy (zones and conduits) - szczegóły segmentacji omawiamy w artykule o Defense in Depth w systemach DCS.
NIST SP 800-82 Rev. 3 i NIST SP 1334
NIST SP 800-82 Rev. 3 (Guide to Operational Technology Security, wrzesień 2023) zawiera nakładkę kontroli bezpieczeństwa (OT overlay) opartą na SP 800-53r5, uwzględniającą specyficzne wymagania dla nośników wymiennych w środowiskach OT.
W 2025 roku NIST opublikował dodatkowo SP 1334 “Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments” - dokument poświęcony wyłącznie bezpieczeństwu nośników przenośnych. Obejmuje cztery obszary kontroli:
- Kontrole proceduralne - polityki autoryzacji, szkolenia, procedury obsługi nośników
- Kontrole fizyczne - bezpieczne przechowywanie, etykietowanie, inwentaryzacja nośników
- Kontrole techniczne - skanowanie malware, blokowanie portów, szyfrowanie sprzętowe (FIPS)
- Transport i sanityzacja - weryfikacja integralności (hash/checksum), bezpieczne kasowanie danych
TIP
Przy transferze plików między integratorem a operatorem instalacji warto stosować weryfikację hash lub checksum. Dzięki temu można potwierdzić, że plik nie został zmodyfikowany w trakcie transportu - to proste zabezpieczenie, które znacząco utrudnia ataki typu supply chain.
Praktyczne kontrole bezpieczeństwa USB
Kiosk bezpieczeństwa (scanning kiosk)
Kiosk bezpieczeństwa to fizyczne stanowisko, na którym nośniki wymienne są skanowane przed dopuszczeniem do sieci OT. Działa jako “punkt kontrolny” - każdy nośnik musi przejść skanowanie, zanim zostanie użyty w strefie produkcyjnej.
Rozwiązania takie jak Honeywell Secure Media Exchange (SMX) składają się z czterech elementów:
- SMX Gateway - fizyczny kiosk skanujący nośniki
- Cyber Threat Engine - silnik detekcji zagrożeń
- Enterprise Threat Management Portal - portal zarządzania zagrożeniami
- SMX Client - agent wymuszający polityki na stacjach końcowych
W pierwszym kwartale 2025 roku system SMX zablokował blisko 5 000 zagrożeń, w tym prawie 700 instancji robaka Ramnit.
Checklist: wdrożenie kontroli USB w środowisku OT
Poniższa lista obejmuje kontrole, które warto wdrożyć w pierwszej kolejności:
- Przeprowadzenie inwentaryzacji wszystkich portów USB w sieci OT (więcej o inwentaryzacji)
- Wdrożenie whitelistingu nośników - tylko zarejestrowane urządzenia USB dopuszczone do użytku
- Zainstalowanie kiosku bezpieczeństwa do skanowania nośników przed wejściem do strefy OT
- Fizyczne zablokowanie nieużywanych portów USB (zaślepki, blokady lub dezaktywacja w BIOS)
- Oznaczenie nośników kolorowym kodem: oddzielne nośniki dla sieci OT, biurowej i prywatnych
- Wdrożenie szyfrowania sprzętowego na wszystkich nośnikach dopuszczonych do użytku w OT
- Wymaganie od dostawców zewnętrznych skanowania laptopów i nośników przed wejściem na teren zakładu
- Wdrożenie mechanizmów kwarantanny sieciowej dla połączeń dostawców usług zewnętrznych
- Rejestrowanie i audytowanie wszystkich operacji podłączania nośników USB w sieci OT
- Regularne szkolenia dla pracowników i dostawców obejmujące scenariusze ataków USB
Porównanie metod ochrony
| Metoda | Skuteczność | Koszt wdrożenia | Wpływ na operacje | Zastosowanie |
|---|---|---|---|---|
| Blokada fizyczna portów | Wysoka | Niski | Wysoki (utrudnia legalne użycie) | Stacje bez potrzeby USB |
| Whitelisting nośników | Wysoka | Średni | Średni | Wszystkie stacje z USB |
| Kiosk skanujący | Bardzo wysoka | Wysoki | Niski (punkt kontrolny) | Wejścia do stref OT |
| Szyfrowanie nośników | Średnia (chroni dane, nie przed malware) | Średni | Niski | Nośniki z danymi wrażliwymi |
| Dezaktywacja USB w BIOS | Bardzo wysoka | Niski | Bardzo wysoki | Systemy niewymagające USB |
| Agent endpoint (SMX Client) | Wysoka | Wysoki | Niski | Stacje robocze OT |
Przypadki ataków USB na infrastrukturę OT
| Rok | Incydent | Wektor USB | Skutek |
|---|---|---|---|
| 2008 | Agent.BTZ | Zainfekowany pendrive na parkingu bazy wojskowej | Kompromitacja sieci Departamentu Obrony USA |
| 2010 | Stuxnet | Nośniki USB i pliki Step 7 przez łańcuch dostaw | Zniszczenie ~1 000 wirówek w Natanz |
| 2017 | Operation Copperfield | Pendrive z filmem “La La Land” | Rekonesans infrastruktury krytycznej na Bliskim Wschodzie |
| 2019 | Atak na elektrownię jądrową Kudankulam (Indie) | Zainfekowany nośnik | Kompromitacja sieci administracyjnej elektrowni |
| 2024 | Kampania Ramnit | Nośniki USB w zakładach przemysłowych | 3 000% wzrost infekcji w Q4 2024 wg Honeywell |
Polityka bezpieczeństwa nośników wymiennych
Skuteczna ochrona wymaga nie tylko rozwiązań technicznych, ale przede wszystkim spójnej polityki organizacyjnej. Poniżej kluczowe elementy:
Dla pracowników:
- Zakaz używania prywatnych nośników USB w sieci OT
- Obowiązkowe skanowanie każdego nośnika przed użyciem
- Unikalne oznaczenie nośników przeznaczonych wyłącznie dla sieci OT
- Raportowanie każdego przypadku podłączenia nieznanego urządzenia
Dla dostawców zewnętrznych:
- Wymiana danych wyłącznie za pośrednictwem zatwierdzonych mechanizmów kontrolnych
- Obowiązkowe skanowanie antywirusowe laptopów i nośników przed wejściem na teren zakładu
- Pełne szyfrowanie dysków na komputerach przenośnych używanych do celów serwisowych
- Kwarantanna sieciowa dla połączeń urządzeń dostawców
NOTE
Wdrożenie kontroli USB warto powiązać z szerszym programem bezpieczeństwa OT. Inwentaryzacja portów USB jest naturalnym elementem inwentaryzacji zasobów ICS, a zasady kontroli nośników powinny być spójne z polityką segmentacji sieci OT i modelem stref i korytarzy.
Podsumowanie
Nośniki USB pozostają jednym z najpoważniejszych wektorów ataku na sieci OT. Dane Honeywell z 2024-2025 roku potwierdzają, że zagrożenie nie maleje - wręcz rośnie, zarówno pod względem wolumenu malware, jak i jego zdolności do zakłócania procesów przemysłowych.
Ochrona przed zagrożeniami USB wymaga wielowarstwowego podejścia: polityk organizacyjnych, kontroli fizycznych, rozwiązań technicznych i regularnych szkoleń. Normy IEC 62443 i wytyczne NIST SP 1334 dostarczają ram, w których można zbudować skuteczny program kontroli nośników wymiennych.
Pomagamy organizacjom przemysłowym w ocenie ryzyka związanego z nośnikami wymiennymi, projektowaniu polityk bezpieczeństwa USB zgodnych z IEC 62443 oraz wdrażaniu rozwiązań technicznych - od kiosków skanujących po systemy whitelistingu i monitoringu portów.
Źródła
- Honeywell USB Threat Report 2024 - dane o 51% malware zaprojektowanego pod USB i 82% zdolnego zakłócić operacje OT
- Honeywell 2025 Cyber Threat Report - 1 826 zagrożeń USB w Q1 2025, 31 mln przeskanowanych plików
- NIST SP 1334: Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments - wytyczne NIST dotyczące nośników przenośnych w OT
- NIST SP 800-82 Rev. 3: Guide to Operational Technology (OT) Security - przewodnik NIST po bezpieczeństwie OT
- IEC 62443 Compliance and Removable Media (Honeywell) - wymagania IEC 62443 dla nośników wymiennych
- Nyotron - Operation Copperfield - szczegóły ataku Operation Copperfield
- NIST Publishes Guide for Protecting ICS Against USB-Borne Threats (SecurityWeek) - omówienie NIST SP 1334