Nejdůležitější doporučení pro zabezpečený vzdálený přístup k průmyslovým řídicím systémům

-- 24.09.18

Proč používat vzdálený přístup 

Použití veřejných sítí pro přístup k průmyslovým závodům nebo strojům vede k potenciálním hrozbám v podobě kybernetických útoků na aktiva uživatele vystavená na internetu. Útok na průmyslový řídicí systém může mít nežádoucí důsledky, jako je narušení operací procesu, neoprávněná změna programu PLC, odeslání falešných informací operátorům nebo potlačení alarmových stavů apod. 

Proto když využíváte jednoznačných výhod vzdálené podpory poskytované dodavateli strojů, je také naprosto nezbytné zajistit konfiguraci s adekvátními protiopatřeními pro omezení rizika a důsledků případného kybernetického útoku. 

Průmyslové řídicí systémy 

Existují důležité rozdíly mezi fungováním průmyslových řídicích systémů a systémů IT (informační technologie). Proto je nutno i k jejich zabezpečení přistupovat jinak. Kromě jiných rozdílů obvykle průmyslové řídicí systémy využívají specializované operační systémy určené k nepřetržitému provozu; tyto systémy disponují sběrnicí fieldbus připojenou k reálným vstupům poskytovaným senzory nebo k výstupům pro ovládání pohybu a motorů zařízení. Tyto protokoly byly navrženy pro efektivní práci s vysokorychlostním přenosem dat a pro deterministické procesy, nikoli však pro zabezpečení. Prvořadou prioritou při navrhování průmyslového řídicího systému je zajistit, že zůstane dostupný, když je potřeba. 

Přestože mnoho standardních a osvědčených postupů zabezpečení IT platí i pro průmyslové řízení, je nutno vzít v úvahu i další faktory, a to zejména proto, že rizika a priority se u průmyslových řídicích systémů oproti světu IT liší. Zatímco analýza rizika u IT posuzuje dopad na případnou ztrátu dat nebo selhání obchodních operací, u průmyslových řídicích systémů se v první řadě posuzuje riziko ohrožení života, zařízení nebo ztráty produktů. 

Proto jsou odlišné i priority: Zabezpečení IT (informačních technologií) se soustředí na zachování důvěrného charakteru informací, zatímco u PT (provozních technologií) je hlavním předmětem zájmu dostupnost systému.

Dostupnost a bezpečnost jsou dvěma nejdůležitějšími prioritami ve výrobě, dokonce i před zabezpečením. Oba tyto aspekty mohou být občas v rozporu se zabezpečením při navrhování a provozu jakéhokoli řídicího systému. 

Na trhu jsou dostupné pokyny a standardy pro kybernetické zabezpečení průmyslu, např. ISA62443, NIST SP800. 

Architektura pro zabezpečený vzdálený přístup

Když zvažujete použití systému vzdáleného přístupu, je obtížné kvalifikovat elektronický bezpečnostní perimetr, neboť odpovědnost za zabezpečení vzdáleného přístupu zůstává na straně dodavatele (obvykle mimo zóny důvěry). Dodavatel je povinen zajistit pro vzdálený přístup odpovídající protiopatření. V mnoha případech dodavatel stroje přiřadí všem vyrobeným strojům stejné ethernetové parametry, tzn. stejnou IP adresu, a s největší pravděpodobností i stejný server VPN. V takovém případě není vhodným řešením, aby konečný uživatel poskytoval IP adresy, které odpovídají konfiguraci závodu, jinak by bylo nutno stroje nakonfigurovat podle potřeb každého zákazníka a měly by být, pokud jde o komunikaci, během zprovozňování znovu kompletně otestovány. Totéž platí pro klienta VPN: Jestliže konečný uživatel využívá konkrétního poskytovatele technologie VPN, výrobce stroje by musel pro každého zákazníka nainstalovat na každém PC klienta VPN. To by zvýšilo složitost a náklady spojené s designem, výrobou a instalací. 

Pro překonání těchto omezení nabízí společnost HMS prostřednictvím své řady produktů eWON moderní řešení poskytující služby pro vzdálený přístup na bázi cloudu. Tyto služby připojují uživatele k jejich strojům prostřednictvím internetu. Těmito uživateli jsou obvykle servisní nebo automatizační technici, kteří potřebují přístup ke svým strojům nainstalovaným v několika lokalitách zákazníka, obvykle rozptýlených po celém světě. 

Na straně uživatele je nainstalována softwarová aplikace, která běží na PC. Tato softwarová aplikace na žádost uživatele zřizuje plynulé komunikační spojení mezi PC a cloudovou službou prostřednictvím internetu. 

Na straně stroje je nainstalován průmyslový router připojený k srdci stroje: k PLC (programovatelnému logickému automatu), průmyslovému PC nebo jakémukoli automatizačnímu zařízení uvnitř závodu. 

Tato architektura, jež pokrývá jak zabezpečení, tak snadný přístup pro dodavatele systémů, zahrnuje:  

V porovnání s přímým přístupem ke stroji poskytuje přístup k routeru prostřednictvím zabezpečené cloudové služby zabezpečení navíc, neboť se k routeru dostane pouze šifrovaný a autentizovaný síťový provoz na bázi VPN. 

V následující části uvádíme několik doporučení z pohledu vlastníka výrobních prostředků, která je nutno zvážit, než je povolen jakýkoli vzdálený přístup k vlastním strojům.

 

17 Hlavních doporučení pro zabezpečený vzdálený přístup

(1)  Dodavatel stroje musí mít přístup ke stroji, nikoli k síti závodu

V ideálním případě by měl mít dodavatel strojů přístup pouze ke strojům v závodě, za něž je odpovědný. Systém proto musí umožňovat konfiguraci pro oddělení sítě strojů od zbytku sítě. Proto nejsou strojní zařízení připojena k síti závodu přímo a musejí být nakonfigurována s odlišnými IP adresami. 

(2)  Vyhněte se používání některého z řídicích zařízení ve stroji (HMI, PC, PLC apod.) jako hostitele VPN pro vzdálený přístup

Používání jakéhokoli zařízení, které je součástí řízení stroje (PC, HMI nebo PLC), jako hostitele VPN může odčerpávat jeho zdroje a tím zhoršovat jeho výkon v rámci jeho hlavního úkolu, kterým je vlastní řízení. Nesmíme také zapomínat, že pro zajištění dostupnosti řídicího systému musí být také schopen fungovat v degradovaném režimu během útoku typu DoS.  Proto bude externí router fungovat jako hraniční ochranné zařízení pro odfiltrování určitých typů paketů za účelem ochrany řídicího systému před přímým ovlivněním útoky typu DoS. Zabrání tím, aby měl jakýkoli externí útok přímý dopad na řídicí systém a zastavil stroj. 

(3)  IP adresa routeru nesmí být viditelná na internetu

IP adresa routeru musí být před veřejným přístupem skrytá, aby hackerům znemožnila snadné skenování cíle. Používejte proto pro připojení k routeru pouze privátní VPN adresy namísto veřejných IP adres. 

(4)  Umožněte pouze odchozí spojení z důvěryhodných do nedůvěryhodných zón

Na internetu nesmí být vystaveny žádné interní firewallové porty a nesmí být vyžadovány žádné statické internetové IP adresy. 

Průmyslový router inicializuje odchozí zabezpečený VPN tunel typu point-to-point s vyhrazeným účtem v cloudu. Tento tunel je autentizován a šifrován prostřednictvím HTTPs a přechází přes podnikovou síť a skrz firewall (pouze odchozí směr). Na internetu pak přechází do cloudové sítě se službami vzdáleného přístupu. 

(5)  Veškerý síťový provoz musí být šifrován

Pracovníci vzdáleného přístupu, kteří se připojují po internetu, musejí využívat šifrovaný protokol, například provozovat klienta připojení VPN, aplikační server nebo přístup přes zabezpečený protokol HTTP a autentizovat se prostřednictvím silného mechanismu, jako je vícefaktorová autentizace na bázi tokenu. 

Pro šifrování je nutno využívat veřejné certifikáty na bázi běžně akceptovaných standardů a pokynů, jako je Internet Engineering Task Force (IETF), Request for Comment (RFC) 3647 pro PKI (Public Key Infrastructure se 2 048 bity) na bázi X.509. 

(6)  Při prvním nastavování zařízení změňte výchozí heslo

Výchozí hesla jsou v komunitě průmyslové automatizace dobře známá a lze je snadno najít na internetu nebo v uživatelské příručce. Když zařízení nebo aplikaci nastavujete poprvé, nezapomeňte toto heslo změnit. Změnou výchozích hesel chráníte systém před neoprávněnými uživateli usilujícími o získání přístupu prostřednictvím výchozích hesel. 

(7)  Zásady používání hesel aplikujte také na PLC

Konečným cílem vzdáleného přístupu je změnit konfiguraci stroje přístupem k zařízením, která stroj přímo ovládají. Přísné zásady pro hesla u PLC poskytují konečnou vrstvu obrany.

(8), (9), (10)… 

 „Chcete-li si prostudovat zbývajících 17 doporučení, kontaktujte nás a my vám rádi poskytneme plnou verzi technického dokumentu ‚Nejdůležitější doporučení pro zabezpečený vzdálený přístup‘ (v angličtině). Poskytovat zákazníkům zabezpečená řešení vzdáleného přístupu je naším hlavním předmětem podnikání, stejně jako spolehlivé služby pro zajištění kontinuity podnikání,“ uvedl Yvan Rudzinski (yvru@hms.se), obchodní ředitel společnosti HMS pro region CEE.

A co cloudová služba Talk2M?

Cloudová služba Talk2M je určena k doplnění VPN routerů eWON společnosti HMS a je první cloudovou službou pro IIoT, která nabízí službu vzdáleného přístupu pro průmyslové řídicí systémy.

Službu Talk2M využívají výrobci strojů, systémoví integrátoři a majitelé výrobních závodů. Ke službě Talk2M je již po celém světě připojeno více než 190 000 routerů eWON.

Prostřednictvím cloudové služby Talk2M může pracovník technického servisu na dálku programovat a odstraňovat problémy u svých PLC, monitorovat instalace přístupem k HMI, IP kamerám, počítačům atd.

Službu Talk2M pravidelně testují nezávislé společnosti (NVISO, Admeritia atd.) pro udržení vysoké míry zabezpečení v dnešním rychle se rozvíjejícím technologickém prostředí. 

Od května 2017 má služba Talk2M certifikaci ISECOM STAR, poté co prošla posuzováním společností Admeritia GmbH, nezávislou německou firmou zaměřenou na kybernetické zabezpečení. Tato společnost se specializuje na posuzování zabezpečení IT (etický hacking) a měření zabezpečení na bázi klíčových výkonnostních ukazatelů (KPI). 

Od konce roku 2017 společnost HMS disponuje pro službu Talk2M certifikátem ISO27001:2013. ISO27001 je široce známým a mezinárodně uznávaným standardem zabezpečení, který zajišťuje dlouhodobou správu zabezpečení a průběžné zlepšování.