Dan Schaffer, tł. Sebastian Czarnecki 2011-06-07

Bezpieczeństwo sieciowe w świecie automatyki.

Bezpieczeństwo sieciowe w świecie automatyki.

W dzisiejszych czasach poszczególne urządzenia są ze sobą połączone w sieci w większej skali niż kiedykolwiek. Dotyczy to zarówno sieci biurowych jak i przemysłowych. W przeszłości nie tak odległej, działy IT nosiły na swoich barkach wyłączną odpowiedzialność za ochronę sieci i zapewnienie bezpiecznej i niezawodnej komunikacji. Podczas gdy bezpieczeństwo sieci było wysokim priorytetem działów IT, menadżerowie i inżynierowie często zaniedbywali tą kwestię.

Wielu inzynierów i menadżerów jest sceptycznie nastawiona na bezpieczeństwo, jako że wątpią aby cyberataki miały wpływ na ich sprzęt automatyki. Niektórzy z nich uważają, że zagrożenia te dotyczą wyłącznie sieci biurowych, inni uważają, że ich programy nie są ogólnodostępne, tak więc ich nauka i wykorzystanie nie jest takie proste. Cóż, oba te argumenty to bzdura.

Zagrożenia i incydenty cybernetyczne, zarówno złośliwe jak i te przypadkowe zdarzają się w sieciach przemysłowych każdego dnia. Dziś nie jest trudno poznać protokoły i urządzenia przemysłowe i wykorzystać ich słabości. W Internecie widnieją tysiące stron, na których są prezentowane informacje o protokołach przemysłowych, SCADA a nawet są dostępne narzędzia hakerskie do automatyzowania ataków.

Do niedawna incydenty cybernetyczne dotyczące sieci przemysłowych można było podzielić na dwie kategorie. Pierwszą z nich są bezpośrednie ataki dokonywane przez konkretne osoby wewnątrz zakłądów. Osoby te do ataków często korzystają z wiedzy wewnętrznej zdobytej w zakładzie. Przykładowo taką osobą może być niezadowolony pracownik, który posiadał dostęp do bezprzewodowej sieci WiFi, nie został mu ten dostęp zabrany i nadal miał dostęp do sieci kontrolnej. Dzięki swojej znajomości SCADA mógł on manipulować systemem np. tak, żeby uwolnić niebezpieczne substancje do przewodów wody pitnej.

Druga kategoria zdarzeń w sieciach przemysłowych występuje wtedy, sieć sterownia ulega zniszczeniu. Zwykle dzieje się to poprzez robaka penetrującego sieć danych. Taki robak może zablokować sieć sprzętu sterowniczego, np. kontyrolery logiczne (PLC) czy I/O. W tych przypadkach mimo, że atak nie jest skierowany w konretnym kierunku, może być tak samo destrukcyjny.

W lipcu 2010 roku wykryto robaka Stuxnet, którego nie można zakwalifikować do żadnej z tych kategorii. Ten wyrafinowany robak jest wyraźnie ukierunkowany na oprogramowanie firmy SIEMENS, instrukcje kontroli i pluginy do programów PLC. Dzięki temu może on powodować uszkodzenia fizyczne zarówno w sprzęcie jak i w ludziach. Stuxnet wykorzystuje pięć niezależnych luk w systemie Windows do rozprzestrzeniania się do innych systemów. Obecnie przyjmuje się, że Stuxnet został opracowany przez rządy państw zachodnich i został specjalnie zaprogramowany do ataku na irańskie instalacje atomowe. Urządzenia te w rzeczywistości zostały naruszone, tak więc ten cyber pocisk był skuteczny.

Dzięki niemu obecnie hakerzy, wrogie rządy i inne jednostki mogą działać destrukcyjne w tym zakresie. Robak to własciwie gotowy projekt na nowe ataki, które mają wpływ również na inne platformy. Widać więc że sieć internetowa jest obecna i wciąż rośnie.

Patrząc ogólnie idealnymi rozwiązaniami powinny być:
- zapewnienie niezbędnych i zabezpieczonych funkcji w sieci przemysłowych, aby wytrzymały trudne warunki przemysłowe,
- maksymalizacja interoperacyjności z istniejącymi sieciami poprzez stosowanie otwartych standardów IEEE i IETF,
- prostota i przyjazność użytku, poprzez strony internetowe czy GUI.

Przemysłowe urządzenia bezpieczeństwa mogą występować w różnych formach, w zależności od potrzeb. Idealnym rozwiązaniem są karty PCI instalowanie na szynach DIN w szafach sterowniczych, co zapewnia najlepszą ochronę komputerowi przemysłowemu. Dodatkowo, niektóre aplikacje mogą wymagać światłowodów lub sieci gigabitowych, jednak niezaleznie od formatu istnieją trzy podstawowe funkcje.

Po pierwszy firewall, który blokuje niechciane lub niepotrzebne obciążenie sieci, więc takowy nigdy nie dociera do podstawowego sprzętu. Korzystanie z takiej zapory oferuje wysoką przepustowość z minimalnym opóźnieniem i moze chronić wiele urządzeń ethernetowych niezależnie od systemu operacyjnego czy funkcji.

Funkcjonalność routera również jest krytyczna. Router dzieli sieć kontroli na publiczną i wewnętrzną a więc izoluje od niepotrzebnego ruchu. Zapobiega to przedostawaniu się transmisji pomiędzy podsieciami a jednocześnie zapewania współpracę w różnych podsieciach.

Trzecia rzecz: Wirtualne Sieci Prywatne VPN pozwalają na bezpieczne zdalne podłączanie do sieci wewnętrznych z sieci publicznych. Ułatwia to bezpieczne zdalne wsparcie, rozwiązywanie problemów czy programowanie maszyn rozmieszczonych po całym świecie. Wszelkie uwierzytelnienia i szyfrowania dzieją się w tle w ułamkach sekund.

Potrzeba bezpieczeństwa internetowego w celu ochrony sieci przemysłowych jest realna i wzrasta. Choć dzisiejsze systemy kontroli są coraz bardziej skomplikowane, wcale nie muszą być bardziej odporne na cyber zagrożenia.



Dan Schaffer, tł. Sebastian Czarnecki
Na podstawie: isa.org

Zapraszamy do skomentowania artykułu

Treść opini 
Popis 

Pozostałe artykuły z tej kategorii