Zajištění vyšší bezpečnosti je zásadním požadavkem dnešní doby. Na poli spolehlivé kyberbezpečnosti by firmy neměly opomíjet ani výrobní sítě strojů, linek, kompletních technologických celků.
Ochranu takových technologií je ale nutné řešit bariérově, proto nestačí jediný IT firewall. Standard Profinet a stejně tak i norma IEC 62443 týkající se průmyslového zabezpečení doporučuje standard tzv. mikrosegmentace výrobní sítě na jednotlivé chráněné buňky v kombinaci s dalšími opatřeními na vícero úrovních.
Segmentace výrobní sítě závodu (OT – Operation Technology) pomáhá dále minimalizovat rizika a zvyšovat bezpečnost díky vytvoření oddělených automatizačních buněk chráněných technickými bezpečnostními mechanismy. Segmentace sítě zahrnuje ochranu prvků sítě, jako je IP podsíť, pomocí průmyslového bezpečnostního zařízení – firewallu, které je odděluje od zbytku sítě pro účely zabezpečení. Zařízení v segmentované buňce jsou chráněna před neoprávněným přístupem zvenčí bez nutnosti jakýchkoli omezení ve výkonu, schopnosti práce v reálném čase, nebo dalších důležitých funkcí.
Hardwarový průmyslový firewall je schopen řídit pokusy o přístup do a z buňky. Je dokonce možné stanovit, které síťové uzly mohou mezi sebou komunikovat a případně jaké protokoly mohou používat. To znamená, že pokusy o neoprávněný přístup lze v první řadě blokovat, a následně snížit zatížení sítě, protože mohou pokračovat pouze ty komunikace, které jsou výslovně požadovány a povoleny.
Rozdělení buněk a přidělení zařízení odráží požadavky na komunikaci a ochranu síťových stanic. Oboustranný přenos dat do buněk a zpět může být navíc šifrován bezpečnostními zařízeními pomocí VPN, aby byla data chráněna před špionáží a případnou manipulací. To zahrnuje autentizaci účastníků komunikace a případně autorizaci pokusů o přístup. Koncepci ochrany buněk lze implementovat a komunikaci mezi buňkami chránit pomocí komponent, jako jsou průmyslová bezpečnostní zařízení SCALANCE S nebo bezpečnostní komunikační procesory pro automatizační systém SIMATIC S7 (obr. 1). Průmyslová bezpečnostní zařízení SCALANCE S poskytují možnost definovat a chránit síťové buňky flexibilně na základě VLAN.
Pokud je automatizační technologie vybavena safety technologií, je nezbytně nutné používat hardwarové firewally SCALANCE SC622-2C nebo SC626-2C, které tuto certifikaci plně naplňují. Řešený příklad a vysvětlení důvodů lze nalézt u konkrétního řešeného příkladu.
Zabezpečený vzdálený přístup
V současné době je stále běžnější připojovat závody přímo k internetu a propojovat vzdálené lokality prostřednictvím mobilních sítí (4G/5G). Důvodem je mnohdy požadavek na možnost vzdálené údržby, používání vzdálených aplikací a také usnadnění monitorování strojů instalovaných po celém světě.
V této souvislosti je zvláště důležité zabezpečení přístupu. Případní útočníci mohou snadno najít nezabezpečené vstupní body pomocí vyhledávačů, skenerů portů nebo automatických skriptů a do sítě proniknout. Je proto velmi důležité zajistit, aby byly komunikační uzly autentizovány, přenos dat šifrován a integrita dat byla chráněna, zejména v případě závodů kritické infrastruktury. Incidenty, jako je vniknutí neoprávněných osob, špionáž důvěrných dat a manipulace s parametry nebo ovládacími příkazy, mohou mít katastrofální následky.
Mechanismy VPN, které poskytují požadované funkce (autentizace, šifrování a ochrana integrity), se v tomto kontextu ukázaly jako zvláště účinné při zabezpečení komunikace. Mobilní routery pro průmyslový ethernet a mobilní komunikaci od společnosti Siemens podporují VPN, což umožňuje bezpečný přenos dat přes tyto sítě s ochranou proti neoprávněnému přístupu.
Zařízení pro zabezpečenou komunikaci jsou obvykle autentizována jako důvěryhodné komunikační uzly pomocí certifikátů a v pravidlech brány firewall jsou použity příslušné IP adresy nebo názvy DNS pro povolení nebo blokování přístupu. Průmyslové routery SCALANCE M a průmyslová bezpečnostní zařízení SCALANCE S podporují také uživatelsky specifická pravidla firewallu, což vytváří další možnost propojení přístupových práv konkrétním uživatelům. Proto se uživatel musí přihlásit k webovému rozhraní pomocí svých přihlašovacích údajů, aby dočasně odemkl specifickou sadu pravidel firewall brány odpovídající jeho osobním přístupovým právům. Významnou výhodou dočasné aktivace specifické pro konkrétního uživatele je, že vždy existuje jasný záznam o tom, kdo a kdy přesně získal přístup, což může být velmi důležité pro údržbu a služby.
Varianty SCALANCE S s více než dvěma porty dokonale řeší problémy diagnostiky stroje externím dodavatelem. Se SCALANCE S je možné připojit stroj jak k síti závodu, tak pomocí dodatečného portu chráněného firewallem k internetu. To znamená, že ke stroji lze přistupovat z internetu, aniž by byl umožněn přímý přístup do sítě závodu. Vzdálený přístup údržby ke stroji je tak možný, aniž by musel servisní technik povolit přímý přístup do sítě závodu (obr. 2).
Usnadnění zabezpečeného vzdáleného přístupu pomocí centrální platformy pro správu
Průmyslové závody jsou často široce distribuovány, někdy dokonce rozmístěny v různých zemích. V těchto případech se často používá veřejná infrastruktura pro přístup k závodům a strojům v diskrétních výrobních a zpracovatelských odvětvích. V jiných případech se jedná o zvláště složitá spojení. Jednou z cenných možností pro zabezpečený a efektivní vzdálený přístup je nasazení platformy pro správu připojení, zabezpečení, ověřování a autorizaci veškeré komunikace.
Platformy správy vzdáleného přístupu jsou zejména nutné pro použití v sériové a jednoúčelové strojní výrobě. To umožňuje těmto tzv. OEM výrobcům efektivně identifikovat a spravovat velké množství podobných strojů používaných u různých zákazníků a oslovit je pro vzdálenou údržbu.
Platforma pro správu SINEMA Remote Connect (siemens.cz/sinemarc) je serverová aplikace, která poskytuje bezpečnou správu tunelů VPN mezi centrálou, servisními techniky a instalovanými závody (obr. 3). Servisní technik a stroj navážou připojení k serveru SINEMA Remote Connect. Přístup ke stroji je podmíněn výměnou certifikátů pro zabránění neoprávněných pokusů o přístup do podnikové sítě, ke které je zařízení nebo stroj připojen. Přidělování práv pro přístup ke strojům lze řídit centrálně (obr. 4). Řešený příklad pro inspiraci.
Pro výrobní sítě lze pak vše výše zmíněné nalézt v precizně zpracovaných aplikačních příkladech síťových konceptů pro výrobní automatizaci.
Obdobná doporučení platí i pro procesní technologie. Spojitá výroba má své charakteristiky, a proto tato doporučení naleznete přehledně přímo v příslušných manuálech systému SIMATIC PCS7 & PCSneo.
Správné segmentování průmyslové sítě, monitoring sítě a centrální správa, ale také zabezpečený vzdálený přístup jsou témata, která jsou velmi důležitá pro koncové provozovatele. Kombinace produktů SCALANCE, SINEC a SINEMA vytvářejí konzistentní řešení, které přesně odpovídají současným trendům. Zákazníci tak mají možnost se komplexně připravit na budoucí požadavky, které se v oblasti cybersecurity neustále posouvají vpřed.
V případě zájmu nás neváhejte kontaktovat, rádi nabídneme další možnosti seznámení s produkty a jejich otestování.
Siemens, s.r.o.
E-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
www.siemens.cz/sinemarc
