Print

Sektor rozvodných sítí posiluje se vzestupem IIoT svou bezpečnostní pozici

-- 25.09.19

Zdokonalování metod pro hodnocení a certifikaci, tj. bezpečnostní audity a testování, poskytuje základ pro hodnocení zařízení průmyslového internetu věcí (Industrial Internet of Things – IIoT).

S nárůstem útoků na sítě kritické infrastruktury, které jsou stále častější a závažnější, jsou potřeba efektivnější řešení kybernetického zabezpečení provozu, jež agregují, analyzují a korelují různé zdroje dat napříč různými platformami téměř v reálném čase do vizualizace, která zobrazuje potenciální hrozby. Organizace se musejí dívat nad rámec svých vlastních závodů, aby mohly spolupracovat a posuzovat dopady kybernetického útoku na partnery a dodavatele podniku. Vzhledem ke složitým systémům interakce zařízení, sítí, organizací a lidí, které usnadňují produktivní sdílení informací, se tato schopnost stává výhodou stejně jako hrozbou.

Vzhledem k aktivitám na ochranu kritické infrastruktury v sektoru vodohospodářství, v jejichž čele stojí americká agentura pro ochranu životního prostředí EPA (Environmental Protection Agency), byly rozvodné závody nuceny svou pozornost kromě převážně fyzického zabezpečení soustředit také na kybernetické zabezpečení.

Zprávy orgánů státní správy potvrzují, že odvětví vodního hospodářství a odpadních vod čelí hrozbám vícefázových intruzních kampaní organizovaných vládami cizích států a samostatnými zločineckými organizacemi usilujícími o ohrožení bezpečnosti těchto provozních systémů a souvisejících dat. Řízení kybernetického zabezpečení průmyslového řídicího systému (Industrial Control System – ICS) je již nyní složitým úkolem. Vyžaduje interdisciplinární přístup založený na rizicích, do kterého jsou zapojeni vedoucí pracovníci organizace, technici a právní týmy. Segmentace a technické řešení budou mít kritický význam, s tím jak organizace stále častěji implementují aplikace průmyslového internetu věcí (IIoT).

Zásady kybernetického zabezpečení

Organizace by měly mít vypracovány zásady a postupy, které se zabývají prostředím provozních technologií (PT) i informačních technologií (IT). Procesy a způsob jejich řízení by měly být sladěny, aby nedocházelo ke vzniku izolovaných sfér.

Největší riziko při dodržování zásad kybernetického zabezpečení začíná již u interního personálu, po němž následuje neexistence jasně definovaných cest k eskalaci v případě porušení. Mezi další rizika patří nedostatečné dodržování procesů změnového managementu a nedostatečné vymáhání postupů kontroly přístupu.

Aby se tato rizika zmírnila, je třeba průběžně školit zaměstnance a vedoucí pracovníky v oblasti strategií pro změnu kultury a zvyšování povědomí.

Kultura ICS se soustředí na hlavní důsledky rizika, včetně závažného selhání průmyslových systémů, což může vést ke ztrátám na životech. Důraz bude nadále kladen na spolehlivost systému, aby se zabránilo odstávkám závodů a změnám řídicího systému. Vše, co může ohrozit spolehlivost nebo bezpečnost či účinnost a efektivitu těchto provozních systémů, hraje větší roli při jejich celkovém zavádění.

Zavedení nového modelu řízení, který umožňuje spolupráci mezi klíčovými skupinami v rámci organizace, jako jsou IT, technické zajištění, provoz, ICS a zabezpečení, umožní tomuto odvětví zvýšit povědomí o potřebě standardizovaných přístupů k řízení rizika, pokud jde o správu zdrojů, nákupu a dodavatelů.

Výzvou nadále zůstává určit nejlepší způsoby zmírňování rizika u investičních projektů, které zahrnují například změny řídicího systému, poskytování podpory na pracovišti pracovníky dodavatele s jejich externími přenosnými počítači a nákup zařízení, na něž se mohou vztahovat nové požadavky odvětvových předpisů. Je nutno řešit tyto a další otázky, například jak hluboko do dodavatelského řetězce by měly tyto zásady zasahovat – k dodavatelům třetí úrovně (integrované obvody, digitální úložiště), k dodavatelům druhé úrovně (měřicí přístroje, senzory, software) nebo jen k dodavatelům první úrovně (hlavní systémy, komunikační systémy, integrace)?

Posilování kybernetického zabezpečení

Již nestačí, aby organizace měla detekci narušení sítě, firewally, správu záplat, software pro bezpečnost, informace, události a správu (SIEM) a antivirové komponenty. Je zapotřebí školit pracovníky v oblasti povědomí o rizicích a stavech strojů.

Informovanost o hrozbách

Pro bezpečnostní manažery je to náročná doba, kdy představenstva podniků požadují zajištění povědomí o kybernetických rizicích, rychlejší zpracování komplexních dat a efektivní správu služeb pro stále rostoucí počet inteligentních zařízení. Bezpečnostní týmy mají silnější pozici pro obranu svých organizací před hrozbami, pokud vědí, co přichází jejich směrem. Nástroje a pracovníci jsou životně důležitými faktory, ale tato hlediska by měla být doplněna informovaností.

Riziko a dodržování předpisů

Vzhledem k novým tržním příležitostem, neustálým ekonomickým výzvám, regulačním požadavkům a rostoucímu tlaku na zvyšování efektivity řízení rizika si mnoho organizací uvědomuje potřebu transformovat své funkce interního auditu a řízení rizik. Organizace jsou vystaveny většímu riziku souvisejícímu s nedodržením předpisů než kdykoli předtím. Využitím této platformy pro strategii auditu řízení rizik získávají zúčastněné strany schopnost posuzovat a zajišťovat dodržování předpisů.

Programy pro dodržování předpisů jsou zásadní pro monitorování a zajištění toho, aby organizace dokázala ověřovat, že se v obchodních procesech dodržují zdokumentované zásady a postupy. Získávají tím objektivní náhled a zvyšují efektivitu provádění častých kontrol procesů, vyhodnocování rizika a zajištění dodržování předpisů.

Situační povědomí o kyberprostoru

Neustálé monitorování datového provozu provozního systému shromažďováním dat v reálném čase umožní detekci neznámé činnosti pomocí strojového učení a modelování. To poskytuje vlastníkům firem a auditorům kybernetického zabezpečení možnosti detekce a přehledu, ať už jde o kybernetický útok, provozní poruchu nebo nehodu. Také aplikace velkých dat mohou zachycovat a analyzovat každý paket informací protékajících sítí v reálném čase.

Protokolové vrstvy paketu lze analyzovat a zjišťovat místa určení a podrobnosti každého paketu. Analýzou každého paketu lze určit normální vzorce datového provozu, což značně zvyšuje šanci na detekování případných odchylek.

V prostředí velkých dat však existují bezpečnostní problémy. Opatření ke zmírnění těchto rizik zahrnují bezpečnostní řešení, která dokážou držet krok s neustálým vývojem nerelačních databází a bezpečnostních opatření pro automatizovaný přenos dat. Ta umožňují časté provádění validace důvěryhodnosti dat, jejich původu a přesnosti, opatření proti neetickému chování souvisejícímu s těžením dat („data mining“), šifrování řízení přístupu a podrobný proces auditu, jenž dokáže spravovat obrovské množství dat.

Organizace musejí revidovat a aktualizovat stávající dokumenty a způsob provádění hodnocení zranitelnosti a vylepšit svou bezpečnostní pozici zahrnutím zařízení, dat a platforem IIoT. Tato řešení musejí zlepšit kombinaci technik detekce průniku a zmírňování rizika za účelem ochrany před známými a neznámými útoky, aniž by se spoléhala na aktualizace nebo záplaty. Ještě před přepracováním prostředí pro upgrade IIoT je však třeba řešit špatně nakonfigurované firewally, nesprávnou segmentaci sítě a zabezpečení dodavatelského řetězce.

Návrh a zachování integrity systému IIoT vyžaduje důkladné porozumění komunikačním standardům využívaným v nejrůznějších komponentách IIoT, aby operace zůstaly bezpečné a efektivní. V této kyberneticko-fyzické vrstvě může být obtížné postřehnout komunikační chyby, hrozby pro kybernetické zabezpečení a problémy se špatným stavem sítě. Mezi zjevné příznaky patří zdlouhavé aktualizace vizualizace, nevysvětlitelné poruchy zařízení a poruchy součástí IIoT.

Klíčem k prevenci těchto selhání je robustní a zdravá síť IIoT. Vývoj zabezpečených komplexních řešení IIoT vyžaduje holistický přístup, který zahrnuje různé úrovně aplikací a kombinuje důležité bezpečnostní funkce napříč vrstvami zařízení, komunikace, cloudu a životního cyklu (vymáhání dodržování zásad, pravidelné audity a kontrola dodavatelů).

Cesty kybernetických útoků

Všechny aspekty odvětví kybernetického zabezpečení musejí spolupracovat na zlepšení procesů kybernetického zabezpečení u konečných zákazníků. Průmysl musí pochopit, jak zdroje a organizační struktura v průběhu času rostou, aby byla výsledkem silnější bezpečnostní pozice. Pracovníci v průmyslu si uvědomují, že je stále potřeba udělat mnoho práce v oblasti standardů, spolupráce a povědomí.

K typickým cestám útoku na infrastrukturu IIoT patří:

  • fyzický útok na zařízení,
  • útok prostřednictvím sítě, serveru nebo cloudové architektury.

Konfigurace systému IIoT zahrnuje:

  • Zařízení IIoT: Část systému, kde zařízení komunikují se souvisejícími zařízeními a odesílají použitelná data.
  • Brána: Slouží jako spojovací bod mezi zařízením a využívanou platformou. Brána poskytuje místo pro předběžné zpracování dat lokálně na okraji před jejich odesláním do cloudu nebo podnikové platformy. Když jsou data agregována, shrnuta a analyzována na okraji, snižuje se množství dat, která je třeba přenášet. Brány mohou být také ochranným bodem tím, že mají funkce, jako je detekce neoprávněné manipulace, šifrování, hardwarové generátory náhodných hodnot a šifrovací funkce.
  • Síť: Nepřetržité sledování stavu sítě pomocí softwaru je jednoduché a mělo by být nakonfigurováno tak, aby se optimalizovalo samo.
  • Server nebo cloud: Při přístupu ke cloudovým službám používejte digitální certifikáty, jako je asymetrický autentizační systém na bázi šifrování, který ověřuje transakci a před autentizací šifruje kanál ze zařízení do cloudu.

Vzhledem k tomu, že zranitelná plocha IIoT je tak velká a zahrnuje různé operační systémy, vývojářské jazyky a síťové protokoly, je pravděpodobné, že budou vyvinuty standardizace a doporučené architektury, které budou v souladu se systémy SCADA (Supervisory Control And Data Acquisition). Zdokonalování metod hodnocení a certifikace, bezpečnostních auditů a testování poskytne základ pro jednotný standard hodnocení zařízení IIoT.

Aby se usnadnilo zabezpečení platformy IIoT, koneční uživatelé a velcí výrobci zařízení OEM přijmou schválené komunikační protokoly a standardy zabezpečení, budou vyžadovat schválené a ověřené knihovny nebo je budou vytvářet, budou poskytovat průběžné aktualizace softwaru a budou součástí bezpečnostní strategie konečného uživatele.

Spolupráce v oblasti zabezpečení PT a IT

Jak stanovujete priority, přenášíte a slučujete bezpečnostní hrozby IIoT s dalšími bezpečnostními hrozbami PT a IT, abyste reagovali a snižovali rizika u zařízení na vrstvě zařízení a komunikační vrstvě? U obou existuje několik otázek, které stojí za zvážení.

Pokud jde o vrstvu zařízení, je třeba zvážit následující okolnosti:

  • Poskytují dodavatelé zařízení ochranu proti malwaru typu rootkit?
  • Je zařízení během instalace zranitelné?
  • Jsou zařízení pravidelně testována na škodlivé rootkity?
  • Umožňuje architektura IIoT vzdálené testování firmwaru?
  • Pokud jde o komunikační vrstvu, je třeba zvážit následující okolnosti:
  • Které datové prvky vyžadují šifrování a na jakou úroveň?
  • Má organizace správnou kulturu k řešení bezpečnostních rizik IIoT?
  • Dokážete záplatovat zařízení vzdáleně?
  • Dokáže architektura IIoT omezit poškození způsobená neoprávněným vniknutím?
  • Může hrát roli testování třetími stranami?
  • Jak se chránit před zranitelnostmi „okraje“?

K těmto seznamům doplňte další otázky specifické pro daný závod nebo odvětví.

Anil Gosine je globální programový manažer společnosti MG Strategy+, obsahového partnera vydavatelství CFE Media. Upravil Mark T. Hoske, obsahový ředitel, Control Engineering, CFE Media, mhoske@cfemedia.com.


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

ARaP 2019
2019-11-19 - 2019-11-20
Místo: Fakulta strojní ČVUT v Praze, Technická 4, Praha 6
EPLAN Efficiency days 2019
2019-11-19 - 2019-11-19
Místo: Clarion Congress Hotel, Praha
EPLAN Efficiency days 2019
2019-11-20 - 2019-11-20
Místo: Clarion Congress Hotel, Ostrava

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI