FCC průmyslové systémy
+420 472 774 173
info@fccps.cz
Praha
Ústí nad Labem
Bratislava
PO - PÁ
8:00 - 16:00
E-shop
Banner rubrika 1

Nejdůležitější doporučení pro zabezpečený vzdálený přístup k průmyslovým řídicím systémům


Proč používat vzdálený přístup

Použití veřejných sítí pro přístup k průmyslovým závodům nebo strojům vede k potenciálním hrozbám v podobě kybernetických útoků na aktiva uživatele vystavená na internetu. Útok na průmyslový řídicí systém může mít nežádoucí důsledky, jako je narušení operací procesu, neoprávněná změna programu PLC, odeslání falešných informací operátorům nebo potlačení alarmových stavů apod. 
Proto když využíváte jednoznačných výhod vzdálené podpory poskytované dodavateli strojů, je také naprosto nezbytné zajistit konfiguraci s adekvátními protiopatřeními pro omezení rizika a důsledků případného kybernetického útoku. 

Průmyslové řídicí systémy

Existují důležité rozdíly mezi fungováním průmyslových řídicích systémů a systémů IT (informační technologie). Proto je nutno i k jejich zabezpečení přistupovat jinak. Kromě jiných rozdílů obvykle průmyslové řídicí systémy využívají specializované operační systémy určené k nepřetržitému provozu; tyto systémy disponují sběrnicí fieldbus připojenou k reálným vstupům poskytovaným senzory nebo k výstupům pro ovládání pohybu a motorů zařízení. Tyto protokoly byly navrženy pro efektivní práci s vysokorychlostním přenosem dat a pro deterministické procesy, nikoli však pro zabezpečení. Prvořadou prioritou při navrhování průmyslového řídicího systému je zajistit, že zůstane dostupný, když je potřeba. 
Přestože mnoho standardních a osvědčených postupů zabezpečení IT platí i pro průmyslové řízení, je nutno vzít v úvahu i další faktory, a to zejména proto, že rizika a priority se u průmyslových řídicích systémů oproti světu IT liší. Zatímco analýza rizika u IT posuzuje dopad na případnou ztrátu dat nebo selhání obchodních operací, u průmyslových řídicích systémů se v první řadě posuzuje riziko ohrožení života, zařízení nebo ztráty produktů. 
Proto jsou odlišné i priority: Zabezpečení IT (informačních technologií) se soustředí na zachování důvěrného charakteru informací, zatímco u PT (provozních technologií) je hlavním předmětem zájmu dostupnost systému.
 
Dostupnost a bezpečnost jsou dvěma nejdůležitějšími prioritami ve výrobě, dokonce i před zabezpečením. Oba tyto aspekty mohou být občas v rozporu se zabezpečením při navrhování a provozu jakéhokoli řídicího systému. 
Na trhu jsou dostupné pokyny a standardy pro kybernetické zabezpečení průmyslu, např. ISA62443, NIST SP800. 


Architektura pro zabezpečený vzdálený přístup

Když zvažujete použití systému vzdáleného přístupu, je obtížné kvalifikovat elektronický bezpečnostní perimetr, neboť odpovědnost za zabezpečení vzdáleného přístupu zůstává na straně dodavatele (obvykle mimo zóny důvěry). Dodavatel je povinen zajistit pro vzdálený přístup odpovídající protiopatření. V mnoha případech dodavatel stroje přiřadí všem vyrobeným strojům stejné ethernetové parametry, tzn. stejnou IP adresu, a s největší pravděpodobností i stejný server VPN. V takovém případě není vhodným řešením, aby konečný uživatel poskytoval IP adresy, které odpovídají konfiguraci závodu, jinak by bylo nutno stroje nakonfigurovat podle potřeb každého zákazníka a měly by být, pokud jde o komunikaci, během zprovozňování znovu kompletně otestovány. Totéž platí pro klienta VPN: Jestliže konečný uživatel využívá konkrétního poskytovatele technologie VPN, výrobce stroje by musel pro každého zákazníka nainstalovat na každém PC klienta VPN. To by zvýšilo složitost a náklady spojené s designem, výrobou a instalací. 
Pro překonání těchto omezení nabízí společnost HMS prostřednictvím své řady produktů eWON moderní řešení poskytující služby pro vzdálený přístup na bázi cloudu. Tyto služby připojují uživatele k jejich strojům prostřednictvím internetu. Těmito uživateli jsou obvykle servisní nebo automatizační technici, kteří potřebují přístup ke svým strojům nainstalovaným v několika lokalitách zákazníka, obvykle rozptýlených po celém světě. 
Na straně uživatele je nainstalována softwarová aplikace, která běží na PC. Tato softwarová aplikace na žádost uživatele zřizuje plynulé komunikační spojení mezi PC a cloudovou službou prostřednictvím internetu. 
Na straně stroje je nainstalován průmyslový router připojený k srdci stroje: k PLC (programovatelnému logickému automatu), průmyslovému PC nebo jakémukoli automatizačnímu zařízení uvnitř závodu. 


Tato architektura, jež pokrývá jak zabezpečení, tak snadný přístup pro dodavatele systémů, zahrnuje:  

  • vyhrazený klientský router VPN na stroji pro vzdálený přístup;
  • cloudovou službu, jako je konektivita k serveru VPN, poskytující také další prvky zabezpečení, např. filtrování IP adres nebo portů, protokoly připojení pro audity, správu rolí atd.;
  • klienta VPN, z něhož je možno připojit se zabezpečeným způsobem ke stroji. 

V porovnání s přímým přístupem ke stroji poskytuje přístup k routeru prostřednictvím zabezpečené cloudové služby zabezpečení navíc, neboť se k routeru dostane pouze šifrovaný a autentizovaný síťový provoz na bázi VPN. 
V následující části uvádíme několik doporučení z pohledu vlastníka výrobních prostředků, která je nutno zvážit, než je povolen jakýkoli vzdálený přístup k vlastním strojům.

 


17 hlavních doporučení pro zabezpečený vzdálený přístup


(1)  Dodavatel stroje musí mít přístup ke stroji, nikoli k síti závodu
V ideálním případě by měl mít dodavatel strojů přístup pouze ke strojům v závodě, za něž je odpovědný. Systém proto musí umožňovat konfiguraci pro oddělení sítě strojů od zbytku sítě. Proto nejsou strojní zařízení připojena k síti závodu přímo a musejí být nakonfigurována s odlišnými IP adresami. 


(2)  Vyhněte se používání některého z řídicích zařízení ve stroji (HMI, PC, PLC apod.) jako hostitele VPN pro vzdálený přístup
Používání jakéhokoli zařízení, které je součástí řízení stroje (PC, HMI nebo PLC), jako hostitele VPN může odčerpávat jeho zdroje a tím zhoršovat jeho výkon v rámci jeho hlavního úkolu, kterým je vlastní řízení. Nesmíme také zapomínat, že pro zajištění dostupnosti řídicího systému musí být také schopen fungovat v degradovaném režimu během útoku typu DoS.  Proto bude externí router fungovat jako hraniční ochranné zařízení pro odfiltrování určitých typů paketů za účelem ochrany řídicího systému před přímým ovlivněním útoky typu DoS. Zabrání tím, aby měl jakýkoli externí útok přímý dopad na řídicí systém a zastavil stroj. 


(3)  IP adresa routeru nesmí být viditelná na internetu
IP adresa routeru musí být před veřejným přístupem skrytá, aby hackerům znemožnila snadné skenování cíle. Používejte proto pro připojení k routeru pouze privátní VPN adresy namísto veřejných IP adres. 


(4)  Umožněte pouze odchozí spojení z důvěryhodných do nedůvěryhodných zón
Na internetu nesmí být vystaveny žádné interní firewallové porty a nesmí být vyžadovány žádné statické internetové IP adresy. 
Průmyslový router inicializuje odchozí zabezpečený VPN tunel typu point-to-point s vyhrazeným účtem v cloudu. Tento tunel je autentizován a šifrován prostřednictvím HTTPs a přechází přes podnikovou síť a skrz firewall (pouze odchozí směr). Na internetu pak přechází do cloudové sítě se službami vzdáleného přístupu. 


(5)  Veškerý síťový provoz musí být šifrován
Pracovníci vzdáleného přístupu, kteří se připojují po internetu, musejí využívat šifrovaný protokol, například provozovat klienta připojení VPN, aplikační server nebo přístup přes zabezpečený protokol HTTP a autentizovat se prostřednictvím silného mechanismu, jako je vícefaktorová autentizace na bázi tokenu. 
Pro šifrování je nutno využívat veřejné certifikáty na bázi běžně akceptovaných standardů a pokynů, jako je Internet Engineering Task Force (IETF), Request for Comment (RFC) 3647 pro PKI (Public Key Infrastructure se 2 048 bity) na bázi X.509. 


(6)  Při prvním nastavování zařízení změňte výchozí heslo
Výchozí hesla jsou v komunitě průmyslové automatizace dobře známá a lze je snadno najít na internetu nebo v uživatelské příručce. Když zařízení nebo aplikaci nastavujete poprvé, nezapomeňte toto heslo změnit. Změnou výchozích hesel chráníte systém před neoprávněnými uživateli usilujícími o získání přístupu prostřednictvím výchozích hesel. 


(7)  Zásady používání hesel aplikujte také na PLC
Konečným cílem vzdáleného přístupu je změnit konfiguraci stroje přístupem k zařízením, která stroj přímo ovládají. Přísné zásady pro hesla u PLC poskytují konečnou vrstvu obrany.


(8), (9), (10)… 
 „Chcete-li si prostudovat zbývajících 17 doporučení, kontaktujte nás a my vám rádi poskytneme plnou verzi technického dokumentu ‚Nejdůležitější doporučení pro zabezpečený vzdálený přístup‘ (v angličtině). Poskytovat zákazníkům zabezpečená řešení vzdáleného přístupu je naším hlavním předmětem podnikání, stejně jako spolehlivé služby pro zajištění kontinuity podnikání,“ uvedl Yvan Rudzinski (yvru@hms.se), obchodní ředitel společnosti HMS pro region CEE.

 


A co cloudová služba Talk2M?

Cloudová služba Talk2M je určena k doplnění VPN routerů eWON společnosti HMS a je první cloudovou službou pro IIoT, která nabízí službu vzdáleného přístupu pro průmyslové řídicí systémy.
Službu Talk2M využívají výrobci strojů, systémoví integrátoři a majitelé výrobních závodů. Ke službě Talk2M je již po celém světě připojeno více než 190 000 routerů eWON.
Prostřednictvím cloudové služby Talk2M může pracovník technického servisu na dálku programovat a odstraňovat problémy u svých PLC, monitorovat instalace přístupem k HMI, IP kamerám, počítačům atd.
 
Službu Talk2M pravidelně testují nezávislé společnosti (NVISO, Admeritia atd.) pro udržení vysoké míry zabezpečení v dnešním rychle se rozvíjejícím technologickém prostředí. 

Od května 2017 má služba Talk2M certifikaci ISECOM STAR, poté co prošla posuzováním společností Admeritia GmbH, nezávislou německou firmou zaměřenou na kybernetické zabezpečení. Tato společnost se specializuje na posuzování zabezpečení IT (etický hacking) a měření zabezpečení na bázi klíčových výkonnostních ukazatelů (KPI). 
Od konce roku 2017 společnost HMS disponuje pro službu Talk2M certifikátem ISO27001:2013. ISO27001 je široce známým a mezinárodně uznávaným standardem zabezpečení, který zajišťuje dlouhodobou správu zabezpečení a průběžné zlepšování.

 

Zdroj: Control Engineering Česko 

Routery eWON od společnosti HMS naleznete v našem e-shopu v sekci Vzdálený přístup a monitoring

 



< Zpět do rubriky
Eshop
Youtube
Magazín
Kalalog
FCC průmyslové systémy


Již více než 25 let na českém trhu

FCC průmyslové systémy je technicko – obchodní společností, zastupující významné výrobce v oblasti průmyslové automatizace a telekomunikační techniky. V oblasti průmyslové automatizace zahrnuje naše nabídka spektrum sahající od senzorových systémů přes průmyslové sběrnice a průmyslové komunikace po průmyslové výpočetní, řídicí a dispečerské systémy na bázi specializovaných PC. Naší významnou specializací jsou systémy pro strojové vidění využívané v oblasti výrobní automatizace a kontroly kvality. Spolupracujeme s nejvýznamnějšími světovými dodavateli průmyslové výpočetní techniky a komunikací z Evropy a Asie a disponujeme i vlastním vývojovým a konstrukčním zázemím včetně vývoje softwaru.

up