Bezpieczeństwo przemysłowych sieci komputerowych

| Gospodarka Artykuły

O cyberbezpieczeństwie w przemyśle zrobiło się głośno za sprawą robaka Stuxnet infekującego sterowniki PLC. Jak się okazało - systemy przemysłowe są narażone na ataki tak jak biurowe, a jednocześnie znacznie mniej od nich chronione. Od tego czasu wielu dostawców automatyki zajęło się tematem na poważnie, współpracując z branżą IT. Słusznie, bo zabezpieczanie instalacji przemysłowych już dawno przestało być zagadnieniem odrębnym od cyberbezpieczeństwa sieci komputerowych i wymaga zarówno zastosowania odpowiednich środków sprzętowo-programowych, jak też właściwej polityki przedsiębiorstw.

Bezpieczeństwo przemysłowych sieci komputerowych

Od 2010 roku, a więc wykrycia Stuxnetu, w przemyśle pojawiło się wiele szkodliwych programów. Duqu, Flame, Gauss - to nazwy tylko części z nich. Na celowniku hakerów znalazły się nie tylko zakłady przemysłowe, ale też systemy zarządzające sieciami przesyłowymi gazu, smart grid czy instalacje chemiczne. Zgodnie z danymi przedstawionymi na konferencji OPC Technology Summit rocznie dochodzi do kilkudziesięciu tysięcy nieautoryzowanych dostępów do systemów kontroli. Jednocześnie, o czym informują przedstawiciele Cisco - od wystąpienia ataku do jego wykrycia mija średnio ponad 400 dni.

W przemyśle zagrożenia pochodzą nie tylko z zewnątrz. Częstym źródłem szkodliwego oprogramowania są sami pracownicy - korzystający z pamięci USB czy nawet smartfonów podłączanych w celu naładowania baterii. Malware z nich potrafi rozprzestrzenić się przez sieć lokalną, a do tej ostatniej podłączonych jest obecnie coraz więcej urządzeń automatyki. Szacuje się, że w przemyśle stosunek ataków wewnętrznych do zewnętrznych jest jak 80 do 20, w najlepszym wypadku pół na pół!

Dlatego o bezpieczeństwie trzeba myśleć kompleksowo, a więc jako o całej, wielopoziomowej strukturze. Proponuje się tutaj najczęściej podejście warstwowe, czyli implementację zabezpieczeń na kolejnych poziomach systemów w zakładach, do tego korzystanie z odpowiednich architektur - np. obejmujących sieci VLAN oraz obszary zdemilitaryzowane. Ważne jest też regularne wdrażanie poprawek oprogramowania. Zegar tyka szczególnie w przypadku użytkowników systemu Windows XP, których w przemyśle jest ciągle bardzo wielu. W kwietniu Microsoft przestanie zapewniać wsparcie dla tego systemu, więc też zakończy się możliwość łatania dziur.

Ochrona danych w sieciach przemysłowychW zeszłym roku firmy branżowe podjęły wspólne działania w zakresie bezpieczeństwa maszyn oraz odporności instalacji produkcyjnych na takie zagrożenia. Jest to program Industry 4.0, którego celem jest rozwój rozwiązań automatyki oraz informatycznych zapewniających jeszcze większą integrację systemów produkcyjnych, zwiększenie ich możliwości komunikacyjnych i bezpieczeństwa. To ostatnie znajduje się ważnym miejscu - o architekturze bezpieczeństwa myśli się kompleksowo, łącząc dwa obszary określane jako security, a więc dotyczący sieci komunikacyjnych i IT, z dziedziną safety - bezpieczeństwem maszynowym. Dzięki temu powstają rozwiązania pozwalające zarówno na bezpieczny dostęp i serwisowanie instalacji produkcyjnych, jak też korzystne dla producentów maszyn architektury wzorcowe oraz technologie wspierające ochronę własności intelektualnej. Za inicjatywą stoją znaczący gracze na rynku automatyki i sądzić można, że o Industry 4.0 nie tylko jeszcze usłyszymy, ale też zredefiniuje ono podejście do bezpieczeństwa w przemyśle.

Niezależnie od podejmowanych działań kluczem do bezpieczeństwa jest proaktywna polityka w tym zakresie. Systemy informatyczne i sieciowe są na tyle bezpieczne, na ile bezpieczne jest ich najsłabsze ogniwo - a tym ostatnim okazuje się być człowiek. Stąd też standardem jest wykorzystanie domenowego systemu uwierzytelniania użytkowników oraz ograniczanie ich dostępu tylko do tych obszarów i funkcji, które są niezbędne do wykonywania powierzonych zadań. Kluczowe jest też kreowanie świadomości dotyczącej bezpieczeństwa - nawet w przypadku wykonywania codziennych, rutynowych czynności. O kompleksowym bezpieczeństwie można bowiem mówić dopiero wtedy, gdy w jego zapewnianie zostaną włączeni wszyscy pracownicy.

Zachodzące zmiany są kolejnym elementem procesu łączenia "odrębnych wysp" automatyki oraz IT. O ile jednak technologie wykorzystywane w obydwu obszarach są już dawno ze sobą kompatybilne, o tyle kluczowa staje się obecnie komunikacja zespołów osób zajmujących się omawianymi tematami. Pomiędzy tymi dwoma grupami - informatykami oraz automatykami zawsze istniało coś na kształt związku z rozsądku, ale bez specjalnych uczuć. Tym razem jest nie tylko okazja, ale wręcz konieczność do pełnego porozumienia - i to ponad podziałami.

Zbigniew Piątek