Print

Kybernetické zabezpečení systému SCADA

-- 20.11.15

Zabezpečení řídicích systémů se systémem průmyslového řízení a sběru dat (SCADA): Pro kybernetické zabezpečení softwaru SCADA, jež je součástí mnoha průmyslových řídicích systémů, lze využívat rámec americké organizace NIST (National Institute of Standards and Technology).

Aby mohli dodavatelé softwaru a hardwaru, systémoví integrátoři a další zúčastněné strany čelit hrozbám souvisejícím s kybernetickým zabezpečením, musejí spolupracovat s konečnými uživateli na dosažení zabezpečené implementace systému SCADA (Supervisory Control And Data Acquisition). Americká organizace NIST (National Institute of Standards and Technology) nabízí rámec kybernetického zabezpečení umožňující systematickou identifikaci kritických výrobních prostředků organizace, identifikaci hrozeb a zabezpečení kritických výrobních prostředků. Tento rámec přispívá k vytváření efektivnějších partnerství a prioritizaci aktivit na poli kybernetického zabezpečení.

Kybernetické útoky ve finanční oblasti, jako byla krádež záznamů 83 milionů domácností a malých firem od banky JP Morgan Chase, přispěly k zesílení finančního dopadu kybernetické kriminality za poslední čtyři roky o 78 %. V tomto období směřovalo 40 % kybernetických útoků na energetické společnosti. Americká vláda se soustředí na kyberprostorové zabezpečení infrastruktury, jako jsou elektrorozvodné sítě, ropovody a plynovody, vodovodní síť, čistírny odpadních vod a dopravní infrastruktura.

Nařízení vlády č. 13636 řeší ochranu kritické infrastruktury USA proti kybernetickému napadení a nabádá agentury odpovědné za prvky infrastruktury, aby sdílely své informace. Rámec organizace NIST lze využít k systematické identifikaci kritických výrobních prostředků organizace, k identifikaci hrozeb a k zabezpečení kritických výrobních prostředků. Je založen na metodách hodnocení rizika, včetně pravidelného přehodnocování za účelem identifikace a neutralizace hrozeb a vytváření plánů pro obnovu.

Implementace kybernetického zabezpečení v rámci NIST je konečnou odpovědností vlastníka a provozovatele aplikace SCADA, protože zahrnuje celý systém, včetně organizace vyvíjející aplikaci pro SCADA, podnikové sítě, počítačů, na kterých běží, připojených řídicích zařízení a přístrojové techniky. Za uplatnění standardů zabezpečení a využití možností softwaru implementovat procesy zabezpečení je odpovědný poskytovatel systému SCADA.

Tři cíle zabezpečení

Třemi hlavními cíli zabezpečení na vysoké úrovni pro „Smart Grid“ (moderní elektrickou síť) jsou dostupnost, integrita a zachování důvěrnosti. Ty lze aplikovat na všechny systémy SCADA, ať už je jejich použití kriticky významné, či nikoli. Standard IEEE 1815, Distributed Network Protocol 3 (DNP3), byl vyvinut v době, kdy bylo „zabezpečení z důvodu neobvyklosti“ realistické.

Zabezpečená autentizace (Secure Authentication – SA) je doplněním standardu zajištujícím autentizaci zpráv. Standard DNP3-SA verze 5 (SAv5), vydaný jako součást standardu IEEE 1815-2012, klade důraz na prokázaná zranitelná místa a útoky typu odepření služby (Denial of Service – DoS). Standard se přehodnocuje a aktualizuje, aby zůstal aktuální s ohledem na hrozby v kyberprostoru.

Nařízení o kybernetickém zabezpečení a model NIST

V lednu 2013 – vzhledem k rostoucímu povědomí o tom, že kybernetické zabezpečení je kriticky významnou obranou proti útoku, jenž by mohl potenciálně narušit dodávku elektrické energie a vody, komunikaci či další kritické systémy – vydal prezident Barack Obama nařízení vlády o posílení kybernetického zabezpečení kritické infrastruktury a prezidentské nařízení o zabezpečení a odolnosti kritické infrastruktury.

Tato politika zdůrazňuje potřebu celostního přístupu k zabezpečení a řízení rizika. Směrnice se soustředí na kritickou infrastrukturu USA a je přínosná i při aplikaci na jiné infrastruktury typu SCADA.

Rámec dovoluje organizacím, a to bez ohledu na jejich velikost, míru kybernetického rizika či sofistikovanosti kybernetického zabezpečení, aplikovat zásady a nejlepší postupy řízení rizika pro zlepšení zabezpečení a zvýšení odolnosti kritické infrastruktury.

Rámec zajišťuje organizaci a strukturu pro vícečetné koncepce tím, že zavádí efektivní standardy, pokyny a postupy. Rámec obsahuje odkazy na globálně uznávané standardy pro kyberprostorové zabezpečení a mohou jej využívat i organizace mimo USA. Slouží také jako model pro mezinárodní spolupráci na posilování kybernetického zabezpečení kritické infrastruktury.

Zabezpečená autentizace u protokolu IEEE 1815 (DNP3)

Protokol DNP3, navržený původně bez zabezpečené autentizace, se v Severní Americe široce využívá u transformoven, ropovodů a plynovodů, vodovodní sítě, čistíren odpadních vod a v dopravní infrastruktuře. Z důvodu širokého využívání by bylo nepraktické nahradit všechna zařízení s protokolem DNP3 zabudovaným zabezpečením. Standard usiluje o zdokonalení zabezpečené automatizace na meziaplikační úrovni.

Protokol je navržen tak, aby na trase od odesílatele k příjemci fungoval na nejrůznějších sítích, dokonce i v případě propojení sériových připojení pomocí rádiového signálu a se sítěmi na bázi IP (Internet Protocol). Nestačí zabezpečit pouze síť, zpráva musí být zabezpečena na aplikační vrstvě. Mechanismem používaným protokolem DNP3-SA je doplnění kódu HMAC ke zprávě, aby se ověřovala její integrita. Tento kód HMAC využívá kryptografické hashovací funkce na bázi NIST a algoritmus SHA (Secure Hash Algorithm) organizace ISO (Information Security Office), který pro dekódování vyžaduje sdílený klíč. Tato koncepce není založena na šifrování, ale na ověřování odesílatele zprávy s ujištěním, že zpráva je nezměněna. Útočník může vidět zprávu, ale nemůže ji pozměnit ani zasílat neoprávněné zprávy bez klíče.

V komunikačních sítích se běžně využívají tři druhy zabezpečení: 1) mezi sítěmi (site-to-site), jako jsou sítě VPN; 2) mezi zařízeními (device-to- -device), zabezpečení transportní vrstvy – Transport Layer Security – TLS; 3) mezi aplikacemi (application-to-application – SA). Všechny lze využívat pro snížení rizika. Jeden způsob nestačí.

Zatímco routery a protokoly VPN, jako je IPSec, zajišťují spojení mezi dvěma fyzickými lokalitami, nezabezpečují sítě v těchto lokalitách. Nabourání do jedné sítě může poskytnout přístup k druhé. Zabezpečení TLS (používané v bankovnictví) zajišťuje připojení protokolu TCP (Transmission Control Protocol). Funguje pouze v sítích IP, a jestliže DNP překračuje sériové spojení, sítě SCADA jsou zranitelné.

Při vývoji standardu SAv5 bylo fungování DNP3-SA posouzeno externími odborníky na zabezpečení, aby se identifikovaly potenciálně zranitelné prvky. Organizace SGIP (Smart Grid Interoperability Panel) skupiny CSWG (Cyber Security Working Group) stanovuje soubor kritérií zabezpečení, která musejí být splněna, aby mohl být standard IEEE 1815 přijat jako doporučená norma pro použití v síti typu Smart Grid.

Do SAv5 byly začleněny některé modifikace, aby byly naplněny požadavky SGIP na zabezpečení. SAv5 obsahuje změny, které omezují dopad útoků typu DoS odpovědných za problém se zahlcením zásobníku ze seznamu deseti nejobvyklejších zranitelných míst podle Idaho National Lab. Ačkoli kód HMAC u protokolu DNP3-SA zajišťuje, aby se zařízením DNP3 nemohla komunikovat žádná neoprávněná strana, zaslání nesprávného kódu HMAC vytváří velký provoz v reakci na nesprávnou zprávu. Téměř polovina kategorií změn v SAv5 usiluje o zmírnění dopadu útoku typu DoS.

Pro snížení rizika kybernetického zabezpečení je nezbytné spolupracovat s konečnými uživateli na zabezpečeném využívání systému SCADA. Užitečnou pomocí při těchto aktivitách je rámec NIST. ce

Edward Nugent je ředitel pro rozvoj obchodu společnosti PcVue. Upravil Mark T. Hoske, obsahový ředitel, Control Engineering, CFE Media, mhoske@cfemedia.com

Autor: Edward Nugent, PcVue


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Technical Computing Camp 2019
2019-09-05 - 2019-09-06
Místo: Hotel Fontána, Brněnská přehrada
Moderní technologie ve farmacii
2019-09-24 - 2019-09-24
Místo: Brno
Moderní technologie v potravinářství
2019-09-25 - 2019-09-25
Místo: Brno
Mezinárodní strojírenský veletrh 2019
2019-10-07 - 2019-10-11
Místo: Výstaviště Brno
MSV TOUR 2019
2019-10-07 - 2019-10-10
Místo: MSV, Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI