Print

Kybernetické zabezpečení SIS

-- 25.09.19

Výběr architektury bezpečnostního přístrojového systému (Safety Instrumented Systems – SIS), která umožní obranu systému po dobu životního cyklu produktu, je jedním z prvních rozhodnutí, které musí organizace učinit. Měli byste znát příslušné platné standardy.

Když organizace zahajuje projekt bezpečnostního přístrojového systému (SIS), jedním z prvních rozhodnutí zúčastněných stran je volba architektury. Je možné realizovat úspěšné a odolné systémy s využitím architektury SIS s rozhraním nebo integrované architektury SIS v rámci mezí stanovených mezinárodními standardy pro kybernetické zabezpečení, jako je soubor norem IEC 62443 (ANSI/ISA 62443), případně lokálně platná doporučení, což jsou např. pokyny sdružení výrobců, dodavatelů a uživatelů automatizační techniky v procesním průmyslu (NAMUR). Pochopení jedinečných výhod a úvah, které stojí za každou architekturou, je rozhodující pro informované rozhodnutí o tom, která nejlépe poslouží potřebám organizace.

Pochopení standardů

Standardy pro kybernetické zabezpečení poskytují pokyny pro oddělení bezpečnostně kritických a bezpečnostně nekritických komponent. Podle pokynů ISA musejí být bezpečnostně kritické výrobní prostředky seskupeny do zón logicky nebo fyzicky oddělených od bezpečnostně nekritických výrobních prostředků.

Sdružení NAMUR nabízí podobný soubor pokynů v pracovním listě NA 163 „Hodnocení bezpečnostních rizik SIS“. Tento pokyn definuje tři logické zóny – jádro SIS, rozšířenou SIS a architekturu řídicího systému (NAMUR ji označuje jako „periferie“), které musejí být fyzicky nebo logicky odděleny (obrázek 1).

Jádro SIS se skládá z komponent potřebných pro provádění bezpečnostní funkce – logický řešitel, vstupní/výstupní (I/O) komponenty, senzory a konečné prvky. Rozšířená SIS obsahuje součásti bezpečnostního systému, které nejsou vyžadovány pro vykonávání bezpečnostní funkce (například technické pracovní stanice). Periferie jsou součásti a systémy, jako je základní řídicí systém procesu (Basic Process Control System – BPCS), které nejsou přímo nebo nepřímo přiřazeny k SIS, ale mohou být použity v souvislosti s bezpečnostní funkcí. Bezpečnostní funkce mohou zahrnovat žádost o opětovné zaslání ze strany BPCS nebo vizualizaci bezpečnostní funkce na rozhraní HMI.

Žádný standard však nedefinuje požadovanou architekturu. Uživatelé se musejí rozhodnout, jak nejlépe strukturovat sítě SIS, a zajistit, aby konečné řešení poskytovalo dostatečné logické a fyzické oddělení BPCS a SIS. To často ponechává organizacím tři možnosti pro architekturu sítí SIS:

  • oddělený SIS zcela odpojený a nezávislý na BPCS;
  • SIS s rozhraním připojený k BPCS pomocí průmyslových protokolů (obvykle Modbus);
  • integrovaný SIS propojený s BPCS, ale dostatečně izolovaný, aby splňoval standardy kybernetického zabezpečení.

Mohou se objevit názory, že samostatný SIS je bezpečnější než jakýkoli jiný typ nasazení SIS. Všechny uvedené architektury však mohou poskytovat zvýšenou bezpečnostní pozici, pokud je tato pozice předem definována a vymáhána během návrhu, implementace a údržby bezpečnostního systému. I když je důležitá, architektura SIS je jen jedním z aspektů definování zabezpečení pro bezpečnostní systém.

Maximalizace hloubkové obrany

Ochrana SIS vyžaduje přístup hloubkové obrany. Vzhledem k tomu, že počet kybernetických útoků každým rokem roste, pro bezpečnostně kritické výrobní prostředky nestačí jen jedna vrstva ochrany. Správci sítě používají několik vrstev zabezpečení (antivirus, správu uživatelů, vícefaktorovou autentizaci, detekci/prevenci narušení, whitelisting, firewally a další), aby zajistili, že neoprávněným uživatelům bude bránit nepřekonatelná překážka vstupu. Cílem strategie hloubkové obrany je posílit mechanismy ochrany kontroly přístupu. To se provádí přidáním vrstev ochrany, které se vzájemně doplňují.

Hloubková obrana oddělené systémy

Jednou z nejběžnějších metod ochrany SIS je úplné oddělení systému a vytvoření „vzduchové mezery“ mezi základními funkcemi SIS a BPCS (obrázek 2). Výhody tohoto přístupu se zdají zřejmé. Pokud je SIS oddělený od jiných systémů, ochrana proti vniknutí je přirozeně posílena.

Ani oddělené systémy však nejsou vůči kybernetickým útokům imunní. Uživatelé nakonec budou vyžadovat externí přístup do systému pro úkoly, jako je extrahování záznamů o událostech pro analýzu posloupnosti událostí, obcházení, potlačení, záznamy o zkušebních testech nebo provádění změn konfigurace a použití aktualizací zabezpečení. Jednotky USB, které se často používají k implementaci těchto aktualizací, není snadné chránit.

Závislost na externích médiích je jedním z hlavních důvodů, proč oddělený SIS stále potřebuje další vrstvy ochrany, jako jsou ty, které se používají k ochraně BPCS. Náležité vyztužení systému ponechává na uživatelích správu dvou samostatných sad architektur hloubkové obrany. To vytváří vysoký potenciál pro zvýšení časové náročnosti práce, delší prostoje a další oblasti, kde by přehlédnutí mohla zanechat díry v ochranných vrstvách.

Hloubková obrana systémy s rozhraním

Systémy s rozhraním fungují jako oddělené systémy v tom, že funkce související s bezpečností jsou fyzicky odděleny od funkcí nesouvisejících s bezpečností (obrázek 3). Rozdíl spočívá v tom, že u systémů s rozhraním jsou prvky BPCS a základní funkce SIS propojeny prostřednictvím průmyslových otevřených protokolů. Brány firewall nebo jiný bezpečnostní hardware a software obvykle omezují síťový provoz mezi BPCS a SIS.

Protože jádro SIS a rozšířený SIS jsou fyzicky odděleny od periferií, systémy s rozhraním nabízejí odpovídající ochranu, aby splňovaly standardy ISA a NAMUR. Stejně jako u oddělených systémů je však třeba chránit hardware a software SIS. Uživatelé musejí zajistit, aby jádro SIS nebylo ohroženo připojením k rozšířenému SIS.

Pro dosažení této ochrany je u systémů s rozhraním zapotřebí, aby byly vrstvy zabezpečení hloubkové obrany duplikovány na více systémech. V některých případech může více instancí kybernetického zabezpečení, které je třeba monitorovat, zvýšit pracovní zátěž nezbytnou k udržení přiměřeného zabezpečení. Je také na koncovém uživateli, aby zajistil, že spojení mezi BPCS a SIS je nakonfigurováno tak, aby systém nebyl vystaven riziku.

Hloubková obrana integrované systémy

Další možností pro realizaci oddělených systémů je integrovaný SIS (obrázek 4). V tomto přístupu je SIS integrován do BPCS, ale existuje logické a fyzické oddělení mezi jádrem SIS a rozšířeným SIS. Obvykle je tohoto oddělení dosahováno vlastními protokoly s využitím zabudovaného kybernetického zabezpečení přímo z výroby. Tím se eliminuje mnoho bezpečnostních rizik, která vyplývají z manuálního propojování SIS a BPCS.

Integrovaný SIS vyžaduje stejné úrovně ochrany v rámci hloubkové obrany jako oddělené systémy, ale protože některé bezpečnostní vrstvy chrání jak BPCS, tak SIS, může integrovaný SIS snížit čas a úsilí potřebné pro monitorování, aktualizaci a údržbu bezpečnostních vrstev. Tento přístup nabízí ochranu, která přesahuje běžné bezpečnostní vrstvy. Integrovaný SIS má také další a specifické bezpečnostní vrstvy určené k ochraně jádra SIS.

Eliminace komplikovaných, manuálně realizovaných rozhraní mezi jádrem SIS a rozšířeným SIS může díky integrovanému prostředí vést k jednoduššímu a rychlejšímu přejímacímu zkoušení v závodě (Factory Acceptance Testing – FAT), což přispívá k rychlejšímu uvádění projektu do provozu a ke snížení objemu dodatečných prací.

Správa vstupních bodů

Pečlivé zvážení vrstev hloubkové obrany je zásadní pro zajištění kybernetického zabezpečení SIS, avšak to samo o sobě nestačí. Aby bylo zajištěno adekvátní zabezpečení sítě SIS, musí organizace omezit také vstupní body do bezpečnostně kritických funkcí a zajistit zmírnění veškerých rizik, která mají dopad na uvedené vstupní body.

Čím více vstupních bodů je dostupných pro bezpečnostně kritické funkce SIS, tím více je příležitostí k tomu, aby kybernetické útoky zneužily možné zranitelnosti ve vrstvách zabezpečení. Ačkoli je možné adekvátně bránit pět vstupních bodů proti vniknutí, je mnohem jednodušší a méně náročné na zdroje bránit pouze jeden.

Vstupní body systémy s rozhraním

NAMUR nabízí jasné pokyny pro zónovou architekturu SIS ve formátu s rozhraním (obrázek 1). V diagramu jsou jádro SIS, rozšířený SIS a architektura řídicího systému náležitě izolovány ve svých vlastních zónách. Vytvořená propojení mezi prvky architektury ve třech zónách – technické stanice, BPCS, systémy pro správu informací o závodech, systémy pro správu výrobních prostředků a další – mohou vytvořit více potenciálních bodů připojení k jádru SIS.

Tyto body připojení nepředstavují ve své podstatě bezpečnostní riziko; předpokládá se, že budou zajištěny odpovídající hloubkovou obranou. Každé dveře musí být zabezpečené, což může vést k nutnosti spravovat pět nebo více sad bezpečnostního hardwaru a softwaru.

Vstupní body integrované systémy

Integrované architektury SIS mohou nabídnout řešení, které omezuje vstupní body. Nejlepší integrované bezpečnostní přístrojové systémy mají jednu komponentu, která funguje jako strážce brány/proxy pro veškerý provoz směřující do bezpečnostně kritických funkcí a z nich. Výsledkem je jeden vstupní bod, který je třeba bránit, pravděpodobně pomocí stejných vrstev hloubkové obrany, které chrání BPCS, a některých dalších ochranných vrstev specifičtějších pro jádro SIS. Takové řešení může snížit nároky na údržbu a monitorování a zároveň zajistit stejnou, ba dokonce vyšší úroveň standardního oddělení SIS než jiné architektury.

Často se předpokládá, že větší fyzické oddělení mezi SIS a BPCS znamená větší zabezpečení. Stejně jako v případě systémů se „vzduchovou mezerou“ však může větší fyzické oddělení vést ke zvýšeným nárokům na údržbu a monitorování, aby byla zajištěna odpovídající hloubková obrana. Zvýšené nároky na obsluhu omezují hodnotu „vzduchové mezery“ pro organizace usilující o optimalizaci výkonu a výroby a současně i o dodržení standardů kybernetického zabezpečení.

Integrované systémy a systémy s rozhraním mohou dosahovat vysoké úrovně konektivity a zároveň nabídnout flexibilitu při implementaci struktur hloubkové obrany v rámci kybernetického zabezpečení. Protože obě architektury nabízejí nejvyšší úroveň zabezpečení, implementační týmy hledající řešení, které umožní obranu systému SIS po dobu životního cyklu produktu, často zjišťují, že mají pro BPCS a SIS více možností, jež odpovídají jedinečným cílům dané organizace.

Sergio Diaz a Alexandre Peixoto jsou produktoví manažeři pro DeltaV společnosti Emerson. Upravil Chris Vavra, redaktor časopisu Control Engineering, CFE Media, cvavra@cfemedia.com.


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

ARaP 2019
2019-11-19 - 2019-11-20
Místo: Fakulta strojní ČVUT v Praze, Technická 4, Praha 6
EPLAN Efficiency days 2019
2019-11-19 - 2019-11-19
Místo: Clarion Congress Hotel, Praha
EPLAN Efficiency days 2019
2019-11-20 - 2019-11-20
Místo: Clarion Congress Hotel, Ostrava

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI