Coraz więcej przedsiębiorstw produkcyjnych łączy swoje maszyny i instalacje w sieć zwaną Internetem Rzeczy. Połączona z sieciami biurowymi, a w dalszej kolejności z internetem, zapewnia niezawodną spójność usług i przepływ danych. Pod jednym warunkiem. Cały system musi być odpowiednio zabezpieczony.
Nowe możliwości, które zapewniają swobodny dostęp do kompleksowych sieci urządzeń to ogromne korzyści i jeszcze większe wyzwanie dla operatorów, którzy muszą zadbać o tzw. bezpieczeństwo ICS (systemów sterowania przemysłowego). Standardowa architektura bezpieczeństwa dla maszyn i instalacji (tzw. Ochrona w Głąb), zgodna z ISA99 i IEC 62443 nie zawsze zapewnia dostęp do strumienia danych, w przypadku konieczności wykonania konserwacji i programowania. To obecnie jest zadaniem o szczególnym charakterze.
Zagrażające węzły dostępu
Wspomniana Ochronna w Głąb ma strukturę warstwową. Jej wdrażanie polega na konstruowaniu kolejnych poziomów zabezpieczeń sieciowych chronionych indywidualnymi ograniczeniami dostępu. Najmniej pewną warstwą jest zewnętrzna, czyli ta połączona z internetem. Poziom zaufania wzrasta z każdym kolejnym poziomem. Samo centrum wielowarstwowej sieci wymaga więc szczególnie wysokiego poziomu ochrony. W przypadku sieci produkcyjnych chodzi o maszyny i instalacje wraz z komponentami. Na tym właśnie etapie kluczowe jest konstruowanie niewidzialnych podsieci (tzw. NAT – translacja adresów sieciowych), które spośród wszystkich strumieni danych, dopuszczą do maszyn tylko te, które są kluczowe dla produkcji.
Dostęp do tych szczególnie chronionych obszarów sieci mogą mieć jedynie odpowiednio przeszkoleni i upoważnieni pracownicy. Aby wykonywać zadania serwisowe i konserwacyjne przy maszynach, dotychczas uzyskiwali kody dostępu poprzez sieć telefoniczną. Stwarzają jednak one dość znaczne zagrożenie dla bezpieczeństwa – osoba łącząca się może uzyskać dostęp do całej sieci i wtedy nie przechodzi całego systemu uwierzytelniania. To system przestarzały technologicznie. Jego następcą jest coraz popularniejszy system zdalnej konserwacji VPN, ale nawet i on nie rozwiązuje wszystkich problemów bezpieczeństwa.
Jak konfigurować sieć serwisową?
Powyższe rozwiązania nie tylko pozwalają sprawdzić tożsamość osób, które starają się o dostęp do sieci, ale też umożliwiają zaszyfrowaną transmisję danych. Mimo to, osoby z prawami dostępu wciąż mają swobodny dostęp do sieci chronionej, a szyfrowanie uniemożliwia operatorom maszyn kontrolę nad danymi. Niemożliwe więc jest śledzenie zdarzeń szkodliwych.
Dodatkowym problemem jest to, że każdy producent chce, by jego system zdalnego dostępu był indywidualny – przed to powstają systemy IT, którymi nie da się spójnie zarządzać. Zdalna konserwacja VPN nie daje też rozwiązania problemu udzielania pracownikom serwisu kontrolowanego, uwierzytelnionego dostępu.
Przyznawanie praw szerokiego dostępu do instalacji wewnętrznym serwisantom obniża poziom bezpieczeństwa – wymagany dostęp powinien być więc zawsze maksymalnie ograniczony. Sposobem na osiągnięcie takiego stanu może być stworzenie odizolowanej strefy sieci serwisowej, która przekaże lub przekieruje połączenia. W branży IT nazywamy takie rozwiązanie strefą zdemilitaryzowaną.
Czy możliwa jest kontrola nad każdym połączeniem serwisowym?
Firma Phoenix Contact oferuje urządzenia bezpieczeństwa FL mGuard dedykowane branży przemysłowej, służące ochronie poszczególnych komórek produkcyjnych i jednocześnie umożliwiają tworzenie stref w sieci serwisowej. Są systemowo skupione na bezpieczeństwie ICS, więc wyposażono je w dokładnie takie funkcjonalności, które odpowiedzą na kluczowe potrzeby produkcyjne. Precyzyjnie oddzielają i izolują od siebie sieci produkcyjne i serwisowe.
Produkty FL mGuard mogą być wykorzystane jako punkty dostępu do sieci komórek produkcyjnych, które są połączone i zintegrowane z serwisowymi za pośrednictwem VPN. Dzięki ich użyciu można budować i demontować połączenia serwisowe z poziomu komórek produkcyjnych – konieczne jest jedynie użycie wyłącznika kluczykowego, który skontroluje urządzenie zabezpieczające poprzez I/O. Dopuszczalne jest też użycie przez operatora maszyny urządzenia HMI. Taka metoda umożliwia stałe sterowanie wszystkimi połączeniami serwisowym.
Zalety FL mGuard
Dzięki FL mGuard cały dostęp można skonfigurować tak, by technik posiadał autoryzację poprzez zaporę urządzeń zabezpieczających. Taki proces umożliwia aktywowanie dynamicznych reguł zapory dla konkretnego użytkownika. Dotyczy to adresów IP, które wykorzystuje się do uwierzytelniania. Każdy technik posiada więc tylko taki dostęp, jaki konieczny jest dla przeprowadzenia serwisu. Realizowane jest więc bezpieczeństwo wielopoziomowe.
Dostęp serwisowy do instalacji i maszyn daje też korzyści operatorom: odpowiednie dopracowanie strategii pozwoli im zmniejszyć koszty konserwacji i jednocześnie zwiększyć dostępność do technologii, nie naruszając bezpieczeństwa dostępu.
Poznaj kompleksową ofertę niezawodnych rozwiązań do sieci przemysłowych
Pomożemy w stworzeniu sieci umożliwiających nowoczesną komunikację danych: od projektu sieci, poprzez wybór odpowiednich komponentów, po etap realizacji – nasi eksperci oferują profesjonalne doradztwo i wsparcie. Dowiedz się więcej
