Print

Pochopení základů zabezpečení průmyslových řídicích systémů

-- 23.07.18

Pro lepší ochranu průmyslových řídicích systémů (ICS) před kybernetickým útokem je nezbytné implementovat podrobný plán kybernetického zabezpečení. Identifikujte hrozby, zranitelná místa, standardy a dokumenty.

Průmyslový řídicí systém (Industrial Control System – ICS) je obecný termín používaný pro jakýkoli distribuovaný řídicí systém, programovatelný automat, systém průmyslového řízení a sběru dat nebo jakýkoli automatizační systém používaný v průmyslovém prostředí, který zahrnuje kritické infrastruktury. Zabezpečení ICS má chránit systém před jakýmkoli narušením, ať už záměrným, či neúmyslným, které by mohlo vést k nežádoucím operacím systému ICS.

Zabezpečení průmyslového řídicího systému

Zabezpečení ICS může být velmi široce kategorizováno jako kybernetické zabezpečení. Pojem „kybernetické zabezpečení“ by mohl vyvolávat dojem, že jde pouze o internetové připojení, nicméně v prostředí ICS to neplatí.

Nezbytnost zabezpečení ICS je nyní ještě aktuálnější, jelikož počet hrozeb se zvýšil. Zavádějí se regulace a firmy mají zákonné, morální a finanční závazky omezit riziko. Také norma IEC 61511:2016 – Funkční bezpečnost – Bezpečnostní přístrojové systémy pro sektor průmyslových procesů vyžaduje posouzení, jak je zabezpečeno řešení bezpečnostních přístrojových systémů (Safety Instrumented System – SIS) používaných v řídicích systémech.

Díky výrazné mediální reakci na kybernetické útoky se věnuje větší pozornost zabezpečení systémů ICS a nezbytné ochraně před externími hackery. Nicméně kybernetické zabezpečení je jen jednou částí zabezpečení ICS – hrozby moderním řídicím systémům přicházejí v mnoha formách.

Identifikujte hrozby

Hrozby mohou být externí nebo interní a lze je kategorizovat jako záměrné, úmyslné a náhodné či neúmyslné. Typickými externími hrozbami jsou hackeři, obchodní konkurenti nebo nepřátelské organizace/státy. Typickými interními hrozbami jsou chybné kroky, nevhodné chování, nespokojení zaměstnanci apod. Pro ochranu před externími hrozbami je nutno udělat více než jen posílit síť. Posílením interních postupů/zásad nelze odstranit všechny interní hrozby. Optimálního zabezpečení ICS je dosaženo posílením sítě a je podporováno správnými zásadami a postupy.

Identifikujte zranitelná místa zabezpečení ICS

Systémy ICS bývaly samostatné, nicméně to už neplatí. Systémy ICS jsou zranitelné a vystavené externím hrozbám zejména z důvodu používání komerčně dostupných technologií a vysoké míry nejrůznějšího síťového propojení. Interní hrozby vznikají především z důvodu chybných kroků.

Nejzranitelnějšími místy řídicího systému jsou neadekvátní zásady/postupy, absence hloubkové obrany, neodpovídající opatření kontroly vzdáleného přístupu, nesprávná údržba softwaru, neadekvátní bezdrátová komunikace pro řízení, využívání řídicí přenosové kapacity pro jiné účely než k řízení, absence monitorování nepatřičných aktivit v systému, používání neautentizovaných dat v řídicí síti a neadekvátní podpora kritických komponent a systémů. Pro vstup do řídicího systému může hrozba využívat mnoho cest (viz obrázek 1).

Cestu hrozby do systému může ztížit firewall. Instalace firewallu je snadná, ale jeho programování je obtížné a jeho správné naprogramování je velmi obtížné. Mít nesprávně nakonfigurovaný firewall je totéž jako nemít žádný.

Systém SIS je zranitelný a málo odolný vůči hrozbám, pokud se využívají komerčně dostupné technologie, zejména pokud jsou integrovány jako součást řídicí sítě a komunikují po nezabezpečeném, otevřeném protokolu. Narušení systému SIS může vést k dočasnému výpadku výroby nebo ke ztrátám.

Dostupnost systému je prvořadým cílem, neboť systém ICS zajišťuje nepřetržité a časově kritické operace. Zásadní význam má také bezpečnost pro pracovníky. V prostředí IT nejsou otázky důvěrných dat a dostupnosti systému nejvýznamnější prioritou. V prostředí ICS si firmy nemohou dovolit ztratit kontrolu ani na několik sekund, neboť doba odezvy je kritická.

Standardy zabezpečení pro ICS

Vládní a průmyslové organizace vyvíjejí standardy zabezpečení, aby poskytly pokyny a doporučení zásad nejlepší praxe pro posílení systémů proti potenciálním hrozbám. K nejdůležitějším standardům patří: 

  • řada standardů ISA99 – Zabezpečení průmyslové automatizace a řídicích systémů / IEC 62443;
  • standard organizace NIST (National Institute for Standards Technology) SP 800-82 – Průvodce zabezpečením průmyslových řídicích systémů;
  • řada standardů CIP organizace North American Electric Reliability Council.

Podobně jako životní cyklus funkční bezpečnosti závisí i životní cyklus kybernetického zabezpečení na třech základních složkách: analýze, implementaci a údržbě. Životní cyklus je kontinuálním procesem a zpětná vazba má zásadní význam (viz obrázek 2).

Pro některé firmy je obtížné udržovat si rozpočet pro implementaci a údržbu životního cyklu kybernetického zabezpečení. Bez odhodlání vedení firmy dojde pravděpodobně v životním cyklu kybernetického zabezpečení k selhání. Prezentujte vedení firmy obchodní případ a poukažte na potenciální hrozby, důsledky a přínosy pro firmu. Podle potřeb organizace by mělo proběhnout správné posouzení rizika. Posouzení rizika může zahrnovat plán, testovací prostředí, ukazatele a dokumentaci.

Pro posouzení rizika existují nejrůznější nástroje. Lze zvolit kvalitativní nebo kvantitativní přístup, a to v závislosti na požadavcích organizace na vyhodnocení dopadu na bezpečnostní cyklus. V případě kvantitativního hodnocení se využijí předchozí data. Kvalitativní hodnocení vyžaduje správné parametry pro definování následků.

Ve vhodném testovacím prostředí může vyhodnocení zranitelnosti provádět skenovací nástroj. Výsledky ze skenovacích nástrojů, jak ukazuje obrázek 1, ještě nestačí. Samotné zabezpečení ICS nechrání před kybernetickými útoky, ale zahrnuje také zabezpečení pracovníků, fyzických prostředků a prostředí.

K požadavkům na fyzické zabezpečení může patřit kontrola přístupu do omezených prostor, průmyslová televize, pohybové senzory, systémy termovize a další oblasti. Ochrany prostředí proti prachu, teplotám a toxickým plynům lze dosáhnout odpovídajícím systémem ventilace a klimatizace a náležitými alarmovými systémy pro detekci závad.

Pro postižení náhodných a interních hrozeb je nezbytné povědomí, zásady a postupy. Je nutno zavést zásady a postupy pro kontrolu přístupu a autorizaci k provádění určitých akcí. Pro udržování záznamů o přístupových úrovních lze použít také protokoly.

Také při vývoji softwaru je nutno začlenit plány zabezpečení, abyste zajistili, že software přispívá k zabezpečení. V řídicím systému by se měly používat komponenty certifikované pro kybernetické zabezpečení. A pro zabezpečení ICS a minimalizaci rizika je nezbytné použít metody hloubkové obrany.

Vzhledem k tomu, že kybernetické hrozby se velmi rychle mění, správa kybernetických rizik by měla být kontinuálním procesem. Pro udržení bezproblémových operací je nezbytné provádět pravidelný přezkum a audit životního cyklu kybernetické bezpečnosti. To zahrnuje správu záplat, aktualizace antivirových programů a povědomí o průmyslových trendech a rizicích. CE

Sunil Doddi je technik pro řídicí systémy společnosti Hydro-Chem, divize společnosti Linde Engineering North America. Upravila Emily Guentherová, zástupkyně obsahového ředitele, Control Engineering, CFE Media, eguenther@cfemedia.com.


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Technical Computing Camp 2018
2018-09-06 - 2018-09-07
Místo: Hotel Fontána, Brněnská přehrada
Moderní technologie pro potravinářský průmysl
2018-09-18 - 2018-09-18
Místo: Olomouc
Moderní technologie pro farmaceutický průmysl
2018-09-19 - 2018-09-19
Místo: Olomouc
PROMOTIC SCADA + eWON flexy workshop
2018-09-26 - 2018-09-26
Místo: Hotel Absolutum Boutique Hotel, Praha
MSV Tour 2018
2018-10-01 - 2018-10-04
Místo: Výstaviště Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

Mitsubishi Electric Europe B.V.
Mitsubishi Electric Europe B.V.
Pekařská 621/7
155 00 Praha 5
tel. +420 251 551 470

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2018 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI