Aktuální vydání

celé číslo

12

2018

Automatizační technika v energetice a teplárenství

celé číslo

Proč je v průmyslu kromě bezpečnosti stále důležitější i zabezpečení dat?

V moderní automatizaci se stále častěji používají otevřené systémy. To je užitečné z hle­diska jejich vzájemné spolupráce, ale nese to s sebou velká rizika z hlediska zabezpečení dat a komunikace. Otevřené systémy jsou také náchylnější k sabotážím nebo průmyslo­vé špionáži. Komunikační infrastruktura výrobních podniků a všechny komponenty je­jich řídicích systémů by proto měly být certifikovány nezávislou certifikační institucí. To platí zejména pro bezpečnostně relevantní systémy.

 
Bezpečnostně relevantní systémy jsou stá­le častěji realizovány prostřednictvím soft­warových komponent. Příkladem mohou být řídicí systémy v automobilech. Výrob­ci automatizační techniky hlásí rekordní ná­růsty objemu výroby komunikačních prvků pro systémy zajišťující funkční bezpečnost. Jak dosáhnout dostatečného zabezpečení dat a komunikace, současně i velkého stupně in­tegrace a komunikačního propojení systé­mů, a přitom neomezit funkční bezpečnost?
 
Zvyšující se možnost výměny dat mezi vý­robními systémy přináší větší flexibilitu a niž­ší výrobní náklady. Omezuje se zmetkovitost, šetří se čas, materiál i energie. Není to začá­tek procesu integrace výrobních systémů, ale již jeho průběh: není náhodou, že tématem loň­ského veletrhu Hannover Messe byla „integro­vaná výroba“. Komponenty, které dříve komu­nikovaly prostřednictvím vyhrazených proto­kolů, jsou nyní vybavovány rozhraními pro komunikaci prostřednictvím otevřených sítí.
 

Ochrana otevřených a uzavřených systémů

Na rozdíl od uzavřených systémů, založe­ných na specifikacích jednotlivých výrobců, obsahují otevřené systémy standardizované hardwarové i softwarové prvky, jejichž spe­cifikace jsou všeobecně známy. V automati­zaci a informační technice otevřenost pomá­há při integraci nových komponent, koncoví uživatelé mohou díky otevřeným systémům snáze a rychleji reagovat na nové požadavky zákazníků a inovace výrobních postupů, ale současně tento postup usnadňuje přístup ne­povolaným účastníkům komunikace. Ovšem ani uzavřené systémy dnes nejsou nepřeko­natelnou překážkou. Je to jen otázka času a úsilí, které jsou narušitelé ochotni pronik­nutí do těchto systémů věnovat.
 
Riziko narušení bezpečnosti a integrity dat roste s mírou propojení komponent v řídicích systémech. Stuxnet, průmyslový virus urče­ný k sabotáži, nebo průmyslový špionážní malware Flame posunují otázku zabezpečení dat do centra zájmu odborníků. Neplatí to jen pro podnikání v oblasti bezpečnostně kritické infrastruktury, jako jsou elektrárny a rozvod­né nebo vodárenské sítě, ale i pro průmyslovou výrobu, zvláště pro potravinářský, che­mický a farmaceutický průmysl. Téma za­bezpečení dat se tu náhle setkává s tématem bezpečnosti výroby. Například v chemii a pe­trochemii mohou chyby ve výrobních pro­cesech vést ke katastrofě spojené s velkými materiálními škodami a obětmi na životech. V těchto oborech je zabezpečení dat a komu­nikace nutné nejen pro zajištění bezpečnosti výroby a ochrany zdraví pracovníků, ale i pro ochranu životního prostředí a ochranu zdraví obyvatel v okolí výrobního závodu.
 

Bezpečnost a zabezpečení dat patří k sobě

Bezpečnost i zabezpečení dat jsou úzce spojeny s prvky, které se používají v průmys­lových řídicích systémech a komunikační in­frastruktuře výrobních závodů. To, jak jsou technické komponenty ve skutečnosti bez­pečné, závisí na jejich funkci, oblasti použití a kvalitě. Zvláště je důležité brát ohled na to, k jakému účelu je prvek použit. Jestliže řídicí systém ovládá např. osvětlení ve výrobní hale, není jeho selhání tak nebezpečné, jako když řídí výrobu např. průmyslových hnojiv, kde se používají výbušné vstupní suroviny. Jest­liže mají řídicí systémy i bezpečnostní funk­ce, musí být vyloučena manipulace s jejich daty a případná sabotáž.
 
Nejvyšší míry bezpečnosti lze dosáh­nout jedině tehdy, když jsou brány v úvahu nejen komponenty samotné, ale celá infra­struktura, v níž pracují, a to po celou dobu jejich životního cyklu: od návrhu, přes uve­dení do provozu a provoz až po update je­jich softwaru, modernizaci, popř. jejich vý­měnu. Z hlediska bezpečnosti to např. zna­mená navrhnout řídicí systém z komponent odolných proti poruše, s redundancí a vel­kou mírou diverzity. Konkrétní požadavky vycházejí z důkladné kvalitativní i kvantita­tivní analýzy rizik.
 
Z hlediska zabezpečení dat a komunikace je třeba pro utajení bezpečnostně relevantních dat používat šifrování a dostatečně odolné mechanismy autentizace. To se týká přístupu prostřednictvím veřejně otevřených komuni­kačních kanálů i ochrany komunikačních sys­témů před přetížením. Proto je doporučováno sledovat otázku zabezpečení dat a komunika­ce již v počátku vývoje, do řídicího systému zavádět potřebné bezpečnostní funkce, testo­vat je a realizovat penetrační testy.
 

Bezpečnost a zabezpečení prostřednictvím standardizace a certifikace

Pro oblast bezpečnosti existuje mnoho osvědčených norem, podle nichž je možné vy­víjet a certifikovat jednotlivé komponenty, ko­munikační infrastrukturu a celé systémy. Příkla­dem může být norma ČSN IEC 61508 Funkční bezpečnost elektrických/elektronických/progra­movatelných elektronických systémů souvisejí­cích s bezpečností. Po splnění požadavků této normy je riziko spojené se škodami na zdraví a životech, na životním prostředí a na výrobním zařízení omezeno na přípustnou míru.
 
Ale jak je tomu v oblasti zabezpečení dat a komunikace? Zatímco pro oblast běžných „kancelářských“ informačních systémů pří­slušné normy existují, v oblasti průmyslových informačních a řídicích systémů jsou teprve vyvíjeny. Přestože pro tuto oblast momentál­ně není k dispozici žádná norma, jsou někte­ré, jež lze částečně použít. Odborníci ze spo­lečnosti TÜV Süd Embedded Systems např. berou jako základ pro testování normu IEC 62443 Industrial communication networks – Network and system security. Na základě této normy vyvinuli plán testů, který zahrnu­je zkoušky systémů ve fázi vývoje, postupy pro testování implementovaných zabezpečo­vacích funkcí a rozsáhlý soubor penetračních testů. V oblasti bezpečnosti tento postup vy­chází z normy IEC 61508, která je základní normou pro funkční bezpečnost.
 

System tested – pilotní projekt EUROS

Tento zkušební postup, který kombinuje hlediska bezpečnosti a zabezpečení, byl zá­kladem pro možnost udělit první certifikáty v této oblasti. Certifikát označený jako Sys­tem tested představila společnost TÜV Süd loni v únoru na veletrhu Embedded World v Norimberku. V současné době probíhá cer­tifikace v praxi na několika pilotních projek­tech. Je mezi nimi také mikrojádro od spo­lečnosti EUROS Embedded Systems GmbH z Norimberku. Mikrojádro je základní staveb­ní prvek, který najde uplatnění v různých ří­dicích systémech, mimo jiné i v systémech určených pro procesní průmysl.
 
Protože některé řídicí systémy plní i bez­pečnostní funkce, jsou požadavky na spoleh­livost a dostupnost jejich jádra obzvlášť vyso­ké. Jádro nesmí být citlivé na útoky hackerů nebo pokusy o sabotáž. Podstatným předpo­kladem pro certifikaci bylo, aby byly zároveň zajištěny bezpečnost i zabezpečení a aby toto zajištění nemělo žádný negativní vliv na čin­nost jádra – např. prodloužení doby reakce v úlohách reálného času. Tento bod je zvláš­tě důležitý, protože v průmyslu je doba re­akce často kritickou veličinou. Nejvýznamnější předností nového certifikačního postu­pu vyvinutého společností TÜV Süd je to, že jedním postupem testuje bezpečnost i zabez­pečení a v případě úspěšného završení certi­fikační procedury dostane zákazník jako do­klad příslušný certifikát.
 

Riziko a investiční náklady

Stále nové druhy malwaru dokazují, že i v průmyslovém prostředí je bezpodmíneč­ně nutné důkladné zabezpečení komunikace. Certifikace, založená na odpovídajících nor­mách, je v této oblasti velkou šancí. Pro to, aby byla současně zajištěna funkční bezpeč­nost i zabezpečení komunikace proti nežádoucím přístupům, je nutné pečlivé společ­né vyhodnocení obou hledisek, vycházející z analýzy jednotlivých komponent. K tomu je třeba brát v úvahu i hledisko hospodárnos­ti. Zabezpečení automatizační techniky a in­frastruktury průmyslových komunikačních systémů klade velké požadavky na odborné znalosti. Je nutné zvážit investiční náklady potřebné na certifikaci hardwaru a softwaru a poměřit je s dosaženou mírou omezení rizi­ka. V každém případě je zapotřebí individuálně vyvážit bezpečnost a hospodárnost. Zá­kladní orientaci uživatelům strojů a zařízení poskytují platné normy a nezávislé certifikáty, udělené výrobcům jednotlivých komponent.
Dr. Kai Strübbe, TÜV SÜD AG
 
Obr. Dr. Kai Strübbe
 
Tab. 1. Základní rozdíly mezi bezpečností a zabezpečením dat
 

Co je třeba pro zabezpečení dat a komunikace v průmyslu?

Používat komponenty jen z autorizova­ných zdrojů (nejlépe přímo od výrobce).
 
Používat výhradně programy s digitál­ním podpisem a zakódované na ochranu proti reverznímu inženýrinku.
 
Zajistit, aby v zařízení bylo možné spus­tit jen určené programy (využití digitálních certifikátů).
 
Zaručit důvěryhodnost zdrojů dat (pou­žívat autentizaci a šifrovanou komunikaci).
 
Pro komponenty infrastruktury v provo­zu používat bezpečnostní hesla; tato hesla chránit (neposílat elektronicky).
 
Zavést systém přístupových práv (hes­la pro vývojové inženýry, výrobní techni­ky atd.).
 
Udělat taková opatření, aby při průniku slabým místem do chráněného systému ne­bylo možné získat přístup do celého systému a ovládnout jej.
 
 

TÜV SÜD Embedded Systems

Společnost byla založena v roce 2011. V roce 2012 otevřela zkušební a testovací laboratoř v Mnichově. Následovala její akreditace podle UCA (Utilities Communication Architecture) a akreditace jako kompetenčního centra pro IEC 61850. Na veletrhu SPS IPC Drives před­stavila program certifikace IEC 61850 Conformance. TÜV Süd Embedded Systems je sou­částí mezinárodní společnosti TÜV Süd, která působí v oblasti certifikace v průmyslu a do­pravě. Klíčové kompetence jsou poradenství, testování, certifikace a vzdělávání. Více než 17 000 zaměstnanců pracuje v 800 kancelářích v Evropě, Americe, Asii a Africe.