Do Projektu iAutomatyka dołączyli:

https://iautomatyka.pl/wp-content/uploads/2019/07/bezpieczenstwo-w-przemysle-iautomatyka-cyberpezpieczenstwo-security-all-rights-reserved-.jpg

Bezpieczeństwo sieci w przemyśle – czyli co wolno kiedy nic nie wolno?


Wiele mówi się o przepisach BHP w przemyśle – czy to fabrykach, czy mniejszych zakładach. Ogólnie zawsze tam, gdzie człowiekowi może zagrażać najmniejsze nawet niebezpieczeństwo istnieje cała masa przepisów, systemów zabezpieczeń, protokołów postępowania itp. Nikogo to nie dziwi. Życie ludzkie jest najcenniejsze. Jednakże bardzo niewiele mówi się o bezpieczeństwie danych i sieci teleinformatycznych wykorzystywanych przecież coraz mocniej w automatyce. W dzisiejszych czasach dąży się do pełnej automatyzacji procesów, do mobilności rozwiązań, wykorzystania informatyki w systemach automatyki, rozwiązania IoT oraz IIOT i wiele, wiele innych.

Sterowanie wytopem poprzez tablet przemysłowy i to bezprzewodowo!… czy ogromną koparką, która pracuje kilkadziesiąt kilometrów dalej to już nie rocket science 😛 W branży IT na porządku dziennym inżynierowie borykają się z problemami zabezpieczenia sieci i danych przed wyciekami lub atakami z zewnątrz. Ale czy to znaczy, że problem nie dotyczy branży automatycznej?


Początkowo urządzenia komunikowały się w sieci wewnętrznej czy to poprzez Modbus, Can, DeviceNet czy Profibus, w standardach RS-232 czy RS-485 itd. Właściwie nadal tak jest, a same protokoły pod względem zabezpieczeń nie zmieniły się zbytnio od lat 70 tych. Dostęp z zewnątrz do takich urządzeń był praktycznie niemożliwy spoza obiektu. Jedynym zagrożeniem była ingerencja osób trzecich w wewnętrzną sieć firmową dopiero po fizycznym do niej podłączeniu lub zaniedbania pracowników. Do czasu…


Dziś, kiedy często korzystamy z dostępu zdalnego, komunikacji poprzez sieć Internet praktycznie każde urządzenie sieciowe narażone jest na atak. Niestety (i stety) dziś ciężko wyobrazić sobie pracę systemów przemysłowych bez wykorzystania rozległych sieci teleinformatycznych. Większa wydajność pracy, dostęp do znakomicie większej ilości urządzeń jednocześnie z jednego punktu końcowego jakim może być pracownik UR, programista, znacznie szybsze rozwiązywanie awarii czy chociażby monitoring parametrów wydajnościowych i statusów urządzeń. To tylko kilka plusów pracy automatyki przemysłowej w rozległych sieciach teleinformatycznych.

Z wielka mocą wiąże się wielka odpowiedzialność…  🙂

Wystarczy przecież, że sterownik będzie podłączony do switcha, switch do kolejnego switcha, gdzieś po drodze znajdzie się Hub, może jakiś mediakonwerter, jeden router, serwerownia, a finalnie router brzegowy i sieć ogólnodostępna. Możemy też komunikować się z biura lub domu z PLC poprzez modem GSM.. (bo czemu nie?).

Bez dobrej polityki bezpieczeństwa i szeregu zabezpieczeń nasza sieć nigdy nie będzie bezpieczna.

Wpis gościnny od WAGO: „Linux w zakresie bezpieczeństwa”
Do niedawna zakładano, że za bezpieczeństwo teleinformatyczne urządzeń w sieci firmowej odpowiadają wyłącznie działy IT. W efekcie sterowniki PLC i inne urządzenia technologiczne pozostawały często bez ochrony. Dlatego w najnowszej rodzinie sterowników programowalnych PFC100 i PFC200 firma WAGO zdecydowała się na wykorzystanie możliwości systemu operacyjnego Linux w zakresie cyberbezpieczeństwa. Linux jest powszechnie wykorzystywany w urządzeniach odpowiedzialnych za bezpieczeństwo sieciowe, pozwala na łatwą integrację sterownika z istniejącymi strukturami w sieciach korporacyjnych. Otwartość tego systemu daje też dostęp do najnowszych narzędzi związanych z bezpieczeństwem sieciowym, szybkie wykrywanie potencjalnych luk bezpieczeństwa i równie sprawne ich „łatanie”. Na stronie WAGO dostępny jest przewodnik po regułach projektowania bezpiecznych sieci przemysłowych oraz na bieżąco aktualizowana lista wykrytych problemów wraz z ich rozwiązaniami. Jest to cenne źródło informacji zarówno dla projektantów jak i programistów i działów IT.

Krzysztof Nosal
Specjalista ds. systemów przemysłowych
WAGO

Więcej na stronie: WAGO

 

Zagrożenia

W 2010 roku w irańskich systemach przemysłowych (między innymi Libia i Natanz) wykryto robaka, który infekował oprogramowanie PLC. Nosił on nazwę Stuxnet. Do „rozpoznania terenu” wykorzystano inny rodzaj oprogramowania infekującego. Stuxnet sprawdzał i rozpoznawał, czy do zainfekowanego komputera podłączone są urządzenia firmy Siemens (głównie S300/S400, falowniki oraz SCADA Siemens). W efekcie zmieniał stopniowo nastawy parametrów pracy wirówek przez co z czasem prowadziło to do ich uszkodzenia. Robak był na tyle inteligentny, że usypiał alarmy i powiadomienia systemów, przez co stawał się prawie niewidoczny. Dodatkowo okresowo usypiał sam siebie stając się jeszcze bardziej niewykrywalny.

Jak doszło do zainfekowania? Prawdopodobnie poprzez zaniedbania pracowników, brak zabezpieczeń i rutynę…. Jakie były następstwa Stuxneta? Niekiedy mówi się o zniszczeniach w irańskich zakładach wzbogacania uranu oraz o opóźnieniach samego programu atomowego. Inżynierowie nie potrafiąc zidentyfikować problemu niejednokrotnie byli zmuszani do wymiany zestawów uszkodzonych urządzeń.

Przykład urządzenia zapewniającego bezpieczeństwo dostępu do sieci:
Seria mGuard od Phoenix Contact to routery i zapory sieciowe w jednej obudowie. Służą do rozproszonego zabezpieczenia i bezpiecznego, zdalnego serwisowania stacji produkcyjnych lub pojedynczych maszyn.
TC MGUARD RS4000 4G VPN to urządzenie zabezpieczające z interfejsem WAN i możliwością korzystania z sieci komórkowej (2 sloty na karty SIM) z prędkością 4G. Wyposażony w 4- portowy switch zarządzalny, slot na kartę SD, 10 tuneli VPN (opcjonalnie do 250 tuneli), inteligentną zaporę sieciową z pełnym zakresem funkcji oraz router z NAT/1:1-NAT niezawodnie chroni zarówno małe, jak i duże sieci produkcyjne. Gwarantuje najwyższy poziom bezpieczeństwa dzięki zastosowaniu protokołu IPsec w warstwie 3.

Więcej na stronie: Phoenix Contact 

Wyobrażacie sobie jakie konsekwencje może nieść ze sobą wariujące, zawirusowane sterowanie wielkimi systemami automatyki przemysłowej? Sceny może nie były by tak epickie jak bunt maszyn w serii „Terminator”, ale zniszczenia mogły by być poważne.

W latach późniejszych pojawiło się też kilka wersji szkodliwego oprogramowania jak na przykład: Flame, Gauss czy Duqu. Według najnowszych danych każdego roku dochodzi do kilkudziesięciu tysięcy nieautoryzowanych dostępów/włamań do systemów sterowania procesami przemysłowymi. Nierzadko okazuje się, że ataki tego rodzaju są wykrywane bardzo późno lub wcale. Według badań firmy Cisco średni czas wykrycia incydentu bezpieczeństwa od jego wystąpienia to aż… uwag: 400 dni!

Firma CyberX [1] podjęła się analizy stanu bezpieczeństwa sieci przemysłowych, z której wynika, że:

  • Jedna trzecia zakładów przemysłowych jest podłączona do Internetu -> co nie wymaga dodatkowego wyjaśnienia jakim łatwym celem stają się takie sieci;
  • W 3 na 4 zakładach przemysłowych pracują niewspierane systemy operacyjne Windows, takie XP i 2000 -> takie systemy nie są już aktualizowane, brak nowych polityk bezpieczeństwa, przez co system nie rozpozna już nowych zagrożeń;
  • Niemal 3 na 5 zakładów stosuje nieszyfrowane hasła w postaci zwykłego tekstu zezwalające na dostęp i przemieszczanie się w obrębie sieci OT -> nie jest nowością, ze hasła dostępu pisane są markerami na obudowach urządzeń bądź przyklejane na kartki samoprzylepne;
  • Połowa obiektów przemysłowych nie korzysta z żadnej ochrony antywirusowej;
  • Prawie połowa firm ma przynajmniej jedno nieznane lub obce urządzenie, a 20% wyposażona jest w bezprzewodowe punkty dostępowe (WAP) -> znacznie łatwiej dostać się do sieci bezprzewodowej;
  • Średnio prawie jedna trzecia urządzeń (28%) w każdym z zakładów jest podatna;
  •  82% obiektów przemysłowych korzysta z protokołów służących do zdalnego połączenia: RDP, VNC i SSH;

[1] Źródło: ASTOR, Raport Specjalny CyberX: Jak chronić sieci przemysłowe przed cyberatakami2017; link

Chronić i zapobiegać

Podstawowym sposobem walki z atakami jest odpowiednie zaprojektowania całej sieci teleinformatycznej. Najważniejsza staje się odpowiednia segmentacja i separacja sieci.

W pierwszej kolejności sieć należy podzielić na podsieci w zależności od przeznaczenia. W osobnej grupie znaleźć powinna się sieć biurowa, w innej sieć przemysłowa i sieć ogólnodostępna. Każdą z nadrzędnych grup koniecznie podzielić należy na odpowiednie wydziały naszego zakładu, te z kolei na podsieci w zależności od typu urządzeń. Przykład: sterowniki PLC powinny znaleźć się w innej sieci niż chociażby VoIP.

Dodatkowo konieczne jest stosowanie urządzeń z wbudowanymi zaporami sieciowymi. Ważnym elementem separacji sieci jest jej podział na VLAN-y. Pozwala to logicznie oddzielać różne segmenty w trzeciej warstwie TCP modelu OSI. Ruch wejściowy i wyjściowy kontrolowany powinien być poprzez listy kontroli dostępu ACL definiowane na poziomie urządzeń. Najlepszym rozwiązaniem zapewnienia mocnej zapory sieciowej prócz ustawiania jej na poszczególnych urządzeniach jest dołączenie do sieci osobnego urządzenia nadzorującego ruch i bezpieczeństwo jakim są serwery Firewall lub UTM. Te ostatnie to bardzo pomocne zapory sieciowe umieszczone w jednym urządzeniu podobnym do przełącznika. Możliwe jest również ustawianie zapory sieciowej na warstwie aplikacji modelu OSI, co niektórzy uznać mogą już za przesadę w sieciach przemysłowych, ale wspomnieć o tym również należy.

Dobrą i chyba najlogiczniejszą praktyką ochrony jest odłączanie od sieci Internet urządzeń, które najzwyczajniej tego nie potrzebują. Chociażby operatorzy powinny mieć dostęp tylko do segmentu sieci przemysłowej, w której działa PLC komunikujący się z HMI tak, aby pracownicy mięli dostęp do sterowania i parametrów procesu, a nie do najnowszego sezonu Gry o Tron :D.

Cała sieć powinna być dokładnie monitorowana. Bardzo łatwo pozyskać dane posiadając zbyt duże uprawnienia, dlatego do administracji zasobami i dbaniem o sieć teleinformatyczną powinny być wyznaczone przeszkolone i kompetentne osoby posiadające na wyłączność uprawnienia również chronione przed osobami trzecimi. Często spotykałem się z sytuacją, kiedy po podłączeniu poprzez VPN do sieci klienta mój komputer był skanowany przez antywirus i musiał spełnić pewnego rodzaju standardy bezpieczeństwa (między innymi aktualny system operacyjny, aktywna zapora sieciowa, legalne oprogramowanie etc.). Osobiście było to bardzo irytujące, ale w gruncie rzeczy podnosiło znacząco bezpieczeństwo.

Wpis gościnny od PILZ: 
Bezpieczeństwo IT sieci przemysłowych staje się coraz ważniejszą kwestią w związku z rosnącym wpływem Przemysłu 4.0 i powiązanym z nim otwarciem sieci na komunikację ze światem zewnętrznym. Do tej pory zagrożenia te były utożsamiane z bezpieczeństwem IT (information technology) sieci komputerowych. Wraz z rozwojem nowych technologii, takich jak IoT, BigData, Cloud w sieciach przemysłowych pojawiła się konieczność ochrony systemu już na poziomie najniższym OT (operational technology). Specyficzne wymagania dotyczące OT nie są jeszcze opisane w postaci wymagań prawnych i normatywnych, ale powstają pierwsze założenia wykorzystujące normy z szeregu IEC 62443. Normy te można podzielić na 3 grupy, adresowane do różnych grup realizujących „defence in depth”: producentów komponentów, integratorów oraz użytkowników. Takie wielopoziomowe podejście umożliwia ochronę wg pożądanego SL (Security Level) według określonych zagrożeń wykrytych w czasie analizy ryzyka bezpieczeństwa OT.

Urządzeniem stworzonym specjalnie na potrzeby zapewnienia bezpieczeństwa OT jest moduł SecurityBridge firmy Pilz służący do ochrony urządzeń wykonawczych. Steruje on ruchem danych procesu i monitoruje nienaruszalność systemu bezpieczeństwa.

Więcej na stronie: PILZ

Jeżeli chodzi o połączenia zdalne i VPN to konieczne wręcz staje się korzystanie z protokołów szyfrowania transmisji, z dobrze znanego systemu poświadczeń PKI oraz z pozostałych certyfikatów bezpieczeństwa. Ponadto wszystkie certyfikaty winny być aktualne, okresowo odnawiane. Bardzo ważne jest, aby klucze prywatne każdego z użytkowników przechowywane były na nośnikach niedostępnych dla osób postronnych i chronione dodatkowymi zabezpieczeniami.

A co z nowymi urządzeniami?

Nasi administratorzy sieciowi powinni mieć kontrolę nad wszystkimi urządzeniami w sieci. Pozostali pracownicy bądź firmy wykonawcze chcące podłączyć nowe urządzenia do sieci bądź pozyskać adresy IP winni być odpowiednio przeszkoleni, cała historia zmian i dostępów powinna być zapisywana i gromadzona w systemie a urządzenia powinny być dokładnie sprawdzone pod względem bezpieczeństwa i zgodności.

Samowolka nie wchodzi w grę!

Kolejną kwestią jest chyba przesyłanie danych, zapisywanie haseł. Konieczne jest korzystanie z szyfrowanych transmisji danych wrażliwych tj. hasła, konfiguracje urządzeń itd. Nie wolno dopuścić do sytuacji w które hasło wysyłane jest drogą mailową bądź pisane na kartce papieru i „podawane dalej” (znana praktyka).

Najbardziej doraźną metodą ochrony jest zabezpieczenie samych urządzeń i infrastruktury fizycznie. Mam tu na myśli kontrolę i zabezpieczenia szaf sterowniczych, pomieszczeń, serwerowni i haseł dostępu czy magazynów danych w postaci:

  • czytników i kart RFID,
  • używania trudnych do złamania haseł odświeżanych cyklicznie,
  • zabezpieczenia mechaniczne urządzeń i pomieszczeń (kłódki, zamki elektroniczne etc.),
  • podwyższona kontrola osób uprawnionych – mam tu na myśli zasadę ograniczonego zaufania. Niejednokrotnie miałem okazję mieć dostęp zupełnie do wszystkiego na obiekcie i robić z sieciami cokolwiek chcę, bo nikt nie zainteresował się tym co ja tu właściwie robię,
  • szkolenia dla personelu podnoszące świadomość bezpieczeństwa,
  • wykonywanie audytów bezpieczeństwa.

Gdzie szukać wiadomości

Powyższe porady są bardzo ogólne i biorą się przede wszystkim z własnego doświadczenia. Gdzie zatem szukać dodatkowej wiedzy? Poniżej kilka najważniejszych przykładów:

  • NIST SP 800-82

jest to amerykański dokument w pigułce opisujący proces tworzenia i zabezpieczania systemów automatyki przemysłowej. Wprowadza nas do tematyki sterowników PLC, terminów automatyki i systemów SCADA, DSC, DCS, a następnie przeprowadza poprzez ocenę ryzyka systemów i ich przygotowywania a skończywszy na szczegółowych wytycznych co do realizacji.

  • SANS TOP 20
  • Black Hat Briefings

Jest to znana na całym świecie konferencja na temat bezpieczeństwa w cyberprzestrzeni.

  • NERC CIP

Bardziej szczegółowe i restrykcyjne wymagania dotyczące wdrażania i zachowania systemów bezpieczeństwa.

  • Digital Bond

Od strony sprzętowej warto polecić portal Digital Bond. Znajdziemy tam między innymi wstępną wiedzę o systemach automatyki przemysłowej, dane dotyczące integracji i adaptacji systemów IDS w monitoringu sieci przemysłowych oraz wiele innych

  • Bezpieczeństwo sieci. Biblia – Eric Cole, Ronald L. Krutz, James Conley

Bardzo ciekawa pozycja zawierająca niezbędne porady i wiedzę na temat zabezpieczania sieci komputerowej i systemów rodziny Windows oraz Linux


Podsumowanie

Jak widać bezpieczeństwo w sieciach przemysłowych jest bardzo ważne a według wielu ważniejsze niż w sieciach informatycznych. Będąc właścicielem zakładu przemysłowego warto zastanowić się jak polepszyć zabezpieczenia w swojej sieci. Jak wiadomo lepiej zapobiegać niż leczyć. Warto pomyśleć o szkoleniach dla pracowników, audytach bezpieczeństwa, wprowadzeniem wewnętrznych protokołów i polityk zabezpieczeń. Praktycznie niezbędne staje się rozbudowanie działu IT własnej firmy o dział bezpieczeństwa. Pozwoli to w bardzo krótkim czasie wykryć i zapobiedz atakom na naszą sieć a w konsekwencji zaoszczędzić czas, pracę i stres nad naprawami awarii i ewentualnymi postojami linii.

Wpis gościnny od Mitsubishi Electric: 
Znaczenie IT w przemyśle rośnie równie dynamiczne co rozwój samych technologii informatycznych. Dzisiaj to już dział IT definiuje co wolno a czego nie wolno robić nie tylko w sieci zakładowej, ale na naszych komputerach. Oczywiście zdanie jest trochę przesadzone, ale tylko trochę. Co to oznacza? Bezpieczeństwo jest priorytetem. Kiedyś fabryka była podłączona kablem telefonicznym. Maszyny nie były połączone ze sobą, królował papier i Excel, a narzędziem podejrzanym była dyskietka. Dzisiaj mamy erę IoT. Łączymy wszystko. Wyzwaniem jest dostosowanie nowych technologii do wymogów przemysłu. Determinizm komunikacji i bezpieczeństwo danych stoją w jednym rzędzie. Standaryzacja komunikacji jest koniecznością i integralną częścią Industry 4.0. Dlatego też Mitsubishi Electric zdecydowało o zastosowaniu w swoich urządzeniach dwóch kluczowych standardów. Pierwszy to deterministyczny Etherent, czyli TSN (Time Sensitive Network), a drugi to OPC UA. Sieć przemysłowa CC-Link IE TSN będzie zintegrowana w każdym naszym urządzeniu wymagającym komunikacji. Mitsubishi Electric jako pierwsza powszechnie adoptuje technologię TSN w swoich produktach. Natomiast priorytetem OPC UA jest bezpieczne, szyfrowane przesyłanie elastycznych struktur danych opartych między innymi na formacie XML.

Andrzej Górczak
Product Manager for CEE (Modular PLC, Network)
Mob.: +48 691 103 083

Więcej o CC-Link IE TSN
Więcej o Serwer OPC UA

 

Artykuł został nagrodzony w Konkursie iAutomatyka – edycja Lipiec 2019

Nagrodę Voucher na szkolenie + kubek termiczny + zestaw gadżetów dostarcza ambasador konkursu, firma Mitsubishi Electric.



Utworzono: / Kategoria: , , ,

Reklama

Newsletter

Zapisz się i jako pierwszy otrzymuj nowości!



PRZECZYTAJ RÓWNIEŻ



NAJNOWSZE PUBLIKACJE OD UŻYTKOWNIKÓW I FIRM

Reklama



POLECANE FIRMY I PRODUKTY
  • Zaprojektowane, aby zwiększyć wydajność Sterowniki FX5U/FX5UC zapewniają rodzinie FX wyższą wydajność oraz dodają nowe cechy, które wyznaczają standardy w klasie kompaktowych sterowników PLC. Pozwala to użytkownikom na tworzenie bardziej zł...
  • ITP14 to uniwersalny wyświetlacz procesowy do monitorowania i kontroli procesów przemysłowych. To urządzenie ma zwartą, znormalizowaną konstrukcję i pasuje do standardowego otworu montażowego ⌀22,5 mm na lampy sygnalizacyjne. Zapewnia to sz...
  •   Sterowniki FX5U zapewniają rodzinie FX wyższą wydajność oraz dodają nowe cechy, które wyznaczają standardy w klasie kompaktowych sterowników PLC. Pozwala to użytkownikom na tworzenie bardziej złożonych i zaawansowanych systemów automatyki...
  • Rozwiązania wizyjne nadają się idealnie do zautomatyzowanych zadań kontrolnych i pomiarowych. Kamery wizyjne 2D i 3D firmy SICK sprawdzają się w ogromnej ilości aplikacji, polegających na pomiarze, lokalizacji, kontroli i identyfikacji. Nas...
  • ÖLFLEX® CLASSIC 110 – elastyczny przewód sterowniczy do różnych zastosowań, w płaszczu z PVC, aprobata VDE, odporność na oleje, 300/500 V, również do YSLY lub YY CPR: informacje pod adresem www.lapppolska.pl Certyfikat zgodności VDE z...
  • W trybie refleksyjnym sygnał ultradźwiękowy jest nieustannie odbijany przez zamontowany na stałe element odbijający wiązkę, tzw. element odniesienia. Jako elementu odbijającego wiązkę można używać odpowiednio ustawionego panelu z plastiku l...