Print

Nejdůležitější doporučení pro zabezpečený vzdálený přístup k průmyslovým řídicím systémům

-- 24.09.18

Proč používat vzdálený přístup 

Použití veřejných sítí pro přístup k průmyslovým závodům nebo strojům vede k potenciálním hrozbám v podobě kybernetických útoků na aktiva uživatele vystavená na internetu. Útok na průmyslový řídicí systém může mít nežádoucí důsledky, jako je narušení operací procesu, neoprávněná změna programu PLC, odeslání falešných informací operátorům nebo potlačení alarmových stavů apod. 

Proto když využíváte jednoznačných výhod vzdálené podpory poskytované dodavateli strojů, je také naprosto nezbytné zajistit konfiguraci s adekvátními protiopatřeními pro omezení rizika a důsledků případného kybernetického útoku. 

Průmyslové řídicí systémy 

Existují důležité rozdíly mezi fungováním průmyslových řídicích systémů a systémů IT (informační technologie). Proto je nutno i k jejich zabezpečení přistupovat jinak. Kromě jiných rozdílů obvykle průmyslové řídicí systémy využívají specializované operační systémy určené k nepřetržitému provozu; tyto systémy disponují sběrnicí fieldbus připojenou k reálným vstupům poskytovaným senzory nebo k výstupům pro ovládání pohybu a motorů zařízení. Tyto protokoly byly navrženy pro efektivní práci s vysokorychlostním přenosem dat a pro deterministické procesy, nikoli však pro zabezpečení. Prvořadou prioritou při navrhování průmyslového řídicího systému je zajistit, že zůstane dostupný, když je potřeba. 

Přestože mnoho standardních a osvědčených postupů zabezpečení IT platí i pro průmyslové řízení, je nutno vzít v úvahu i další faktory, a to zejména proto, že rizika a priority se u průmyslových řídicích systémů oproti světu IT liší. Zatímco analýza rizika u IT posuzuje dopad na případnou ztrátu dat nebo selhání obchodních operací, u průmyslových řídicích systémů se v první řadě posuzuje riziko ohrožení života, zařízení nebo ztráty produktů. 

Proto jsou odlišné i priority: Zabezpečení IT (informačních technologií) se soustředí na zachování důvěrného charakteru informací, zatímco u PT (provozních technologií) je hlavním předmětem zájmu dostupnost systému.

Dostupnost a bezpečnost jsou dvěma nejdůležitějšími prioritami ve výrobě, dokonce i před zabezpečením. Oba tyto aspekty mohou být občas v rozporu se zabezpečením při navrhování a provozu jakéhokoli řídicího systému. 

Na trhu jsou dostupné pokyny a standardy pro kybernetické zabezpečení průmyslu, např. ISA62443, NIST SP800. 

Architektura pro zabezpečený vzdálený přístup

Když zvažujete použití systému vzdáleného přístupu, je obtížné kvalifikovat elektronický bezpečnostní perimetr, neboť odpovědnost za zabezpečení vzdáleného přístupu zůstává na straně dodavatele (obvykle mimo zóny důvěry). Dodavatel je povinen zajistit pro vzdálený přístup odpovídající protiopatření. V mnoha případech dodavatel stroje přiřadí všem vyrobeným strojům stejné ethernetové parametry, tzn. stejnou IP adresu, a s největší pravděpodobností i stejný server VPN. V takovém případě není vhodným řešením, aby konečný uživatel poskytoval IP adresy, které odpovídají konfiguraci závodu, jinak by bylo nutno stroje nakonfigurovat podle potřeb každého zákazníka a měly by být, pokud jde o komunikaci, během zprovozňování znovu kompletně otestovány. Totéž platí pro klienta VPN: Jestliže konečný uživatel využívá konkrétního poskytovatele technologie VPN, výrobce stroje by musel pro každého zákazníka nainstalovat na každém PC klienta VPN. To by zvýšilo složitost a náklady spojené s designem, výrobou a instalací. 

Pro překonání těchto omezení nabízí společnost HMS prostřednictvím své řady produktů eWON moderní řešení poskytující služby pro vzdálený přístup na bázi cloudu. Tyto služby připojují uživatele k jejich strojům prostřednictvím internetu. Těmito uživateli jsou obvykle servisní nebo automatizační technici, kteří potřebují přístup ke svým strojům nainstalovaným v několika lokalitách zákazníka, obvykle rozptýlených po celém světě. 

Na straně uživatele je nainstalována softwarová aplikace, která běží na PC. Tato softwarová aplikace na žádost uživatele zřizuje plynulé komunikační spojení mezi PC a cloudovou službou prostřednictvím internetu. 

Na straně stroje je nainstalován průmyslový router připojený k srdci stroje: k PLC (programovatelnému logickému automatu), průmyslovému PC nebo jakémukoli automatizačnímu zařízení uvnitř závodu. 

Tato architektura, jež pokrývá jak zabezpečení, tak snadný přístup pro dodavatele systémů, zahrnuje:  

  • vyhrazený klientský router VPN na stroji pro vzdálený přístup;
  • cloudovou službu, jako je konektivita k serveru VPN, poskytující také další prvky zabezpečení, např. filtrování IP adres nebo portů, protokoly připojení pro audity, správu rolí atd.;
  • klienta VPN, z něhož je možno připojit se zabezpečeným způsobem ke stroji. 

V porovnání s přímým přístupem ke stroji poskytuje přístup k routeru prostřednictvím zabezpečené cloudové služby zabezpečení navíc, neboť se k routeru dostane pouze šifrovaný a autentizovaný síťový provoz na bázi VPN. 

V následující části uvádíme několik doporučení z pohledu vlastníka výrobních prostředků, která je nutno zvážit, než je povolen jakýkoli vzdálený přístup k vlastním strojům.


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Automatizace a modernizace pivovarů 2019
2019-01-24 - 2019-01-24
Místo: Hotel Luční bouda, Pec pod Sněžkou
DIAGO 2019
2019-01-29 - 2019-01-30
Místo: Orea Resort Devět Skal ***, Sněžné - Milovy
Roboty 2019
2019-01-30 - 2019-02-01
Místo: Brno, hotel Avanti
Úspory v průmyslu
2019-03-05 - 2019-03-05
Místo: Hotel STEP ****, Praha
AMPER 2019
2019-03-19 - 2019-03-22
Místo: Výstaviště Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

Mitsubishi Electric Europe B.V.
Mitsubishi Electric Europe B.V.
Pekařská 621/7
155 00 Praha 5
tel. +420 251 551 470

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2018 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI