Kybernetická bezpečnost pro průmyslové řídicí systémy

Datum 04.05.2020

Přenos dat z řídicího systému stroje do cloudu vyžaduje připojení k Internetu, které je však náchylné ke kybernetickým útokům. Stroje s cloudovým připojením proto vyžadují zvláštní ochranu.

Před nástupem průmyslového internetu věcí komunikovaly řídicí systémy strojů – pokud vůbec – pouze mezi sebou nebo s nadřazenými systémy uvnitř firemní sítě. Přímé připojení k internetu bylo velmi vzácné. Výrobci strojů a provozovatelé neměli důvod se proto zabývat tématem kybernetické bezpečnosti.

„Ale to se mění,“ vysvětluje Andreas Hager, produktový manažer společnosti B&R. V řešeních IIoT se průmyslová PC a další hardware používají jako Edge zařízení s přímým připojením k internetu, což je vystavuje jako potenciální cíle pro hackery.

DDoS Útoky

Hackeři mohou paralyzovat řídicí systémy, a tedy celé stroje, například tím, že je ochromí přehlcením požadavky. Toto je známé jako útok DDoS (Distributed Denial of Service): Hacker distribuuje útočné programy napříč takzvaným botnetem, který zahrnuje několik set až tisíc počítačů, smartphonů či tabletů, a účinně je ozbrojuje typicky nějakým druhem mallwaru. Na příkaz pak postižená zařízení bombardují řídicí systém stroje současně tolika požadavky, že vlivem zatížení selže a stroj se zastaví. Tento typ útoku se prokázal nedávno u jednoho výrobce mikroprocesorů.

Otevřené porty

Pro oboustrannou komunikaci s cloudem, je často nutné na řídicím systému otevřít porty. „Pokud je otevřen komunikační kanál mezi řídicím systémem a cloudem, jsou tyto porty otevřeným oknem pro hackery,“ vysvětluje Hager. To však není jediný problém. Zařízení, která jsou přímo připojena k internetu, musí být pravidelně aktualizována, aby se nově zjištěné mezery v zabezpečení průběžně odstraňovaly.

„Mnoho strojů přitom běží často nepřetržitě týdny či měsíce,“ poznamenává Hager. Aktualizace však lze nainstalovat pouze při zastaveném stroji. Po aktualizaci může být někdy dokonce nutné upravit aplikaci. “To je spousta práce a z dlouhodobého hlediska se nejedná o schůdné řešení.”

Naštěstí existuje jednoduché řešení: řídicí funkce a komunikační funkce musí být od sebe vzájemně izolovány. Tímto způsobem není schopen DDoS útok proniknout dostatečně hluboko, aby ovlivnil řízení stroje. „V nejhorším případě můžete ztratit komunikaci s cloudem, ale stroj sám o sobě může pokračovat v činnosti,“ zdůrazňuje Hager.

B&R za tímto účelem představilo SiteManager. Zařízení má integrovaný firewall a plní všechny nároky pro kybernetickou bezpečnost, jako je například správa aktuálních cloudových certifikátů a aplikace SW záplat k odstranění slabých míst v zabezpečení.

Cloudové připojení

Pro přenos dat do cloudu se řídicí systém spojuje se SiteManagerem přes OPC UA. Během konfigurace uživatel definuje, která data mají být přenášena. Je také možné přenášet různá data na více různých cloudových služeb. Konfigurace je záležitostí vyplnění zaškrtávacích políček ve webovém uživatelském rozhraní SiteManageru.

Při potřebě aktualizovat cloudový certifikát, nemusí obsluha stroje nic dělat. SiteManager automaticky stahuje a instaluje aktualizace, aniž by to ovlivnilo provoz stroje. Tím pádem jsou vždy a včas automaticky zajištěny bezpečnostní opatření cloudových poskytovatelů. Případné bezpečnostní mezery jsou tak rychle uzavřeny.

„Přítomnost SiteManageru mezi řídicím systémem a cloudem zajišťuje, že veškerá data přenášená mezi strojem a aplikacemi mimo podnikovou síť jsou chráněna před neoprávněným přístupem.“ Andreas Hager, produktový manažer – řídicí systémy, B&R.

Zabezpečná vzdálená správa

„Bezpečnostní požadavky na vzdálenou údržbu jsou velmi podobné požadavkům na cloudovou komunikaci,“ vysvětluje Hager. SiteManager je proto také dokonale vhodný i pro tento účel.

Zařízení umožňuje servisním technikům připojit se k řídicímu systému stroje pomocí zabezpečeného připojení VPN a diagnostikovat či upravovat vzdáleně SW stroje. Systém správy uživatelů navíc poskytuje jasně definovanou a odolnou kontrolu nad tím, kteří technici mají přístup k vybraným  strojům. “S technikem na místě je pak možné zahájit cílený proces odstraňování problémů,” říká Hager. „SiteManager zajišťuje, že veškerá data přenášená mezi strojem a aplikacemi mimo podnikovou síť jsou chráněna před neoprávněným přístupem a kybernetickými útoky.“

EPM 700 x 200 px

Napsat komentář