Aktuální vydání

celé číslo

11

2018

SPS IPC Drives 2018

Elektrické, hydraulické a pneumatické pohony

celé číslo

Talk2M – první cloud IIoT pro dálkové připojení řídicích systémů

Cloud Talk2M, určený jako doplněk k routerům VPN značky eWON od firmy HMS, je první cloud průmyslového internetu věcí (IIoT), který nabízí službu přístupu na dálku k průmyslovým řídicím systémům. 

Cloud Talk2M je provozován již od roku 2006 a umožňuje výrobcům strojů a inženýrským firmám zabezpečený přístup k řídicím systémům jejich strojů (PLC, HMI apod.). K Talk2M je již připojeno více než 170 tisíc routerů eWON a prostřednictvím 13 milionů spojení VPN bylo přeneseno 140 TB dat (obr. 1).

Cloud Talk2M umožňuje servisním inženýrům:

  • programovat a odlaďovat programy PLC na dálku,
  • monitorovat instalovaná zařízení prostřednictvím přístupu k HMI, IP kamerám, počítačům apod.,
  • používat chytré telefony a tablety pro přístup k webové aplikaci HMI.

V praxi je možné pozorovat silný příklon k řešením vycházejícím z konceptu průmyslového internetu věcí (IIoT). Trendem v průmyslu je upřednostňování propojených systémů, které umožňují využít možnosti automatizace mnohem lépe než při automatizaci solitérních strojů. Zcela na začátku je třeba udělat první krok: zajistit bezpečné a spolehlivé připojení k systému.

Cloud Talk2M je proto pravidelně testován nezávislými společnostmi (NVISO, Admeritia), aby byla zajištěna nejvyšší míra zabezpečení v rychle se rozvíjejícím prostředí průmyslových komunikačních sítí.

Od května 2017 má Talk2M certifikaci ISECOM STAR – poté, co prošel certifikací u nezávislé německé společnosti Admeritia GmbH, zabývající se kybernetickou bezpečností. Tato společnost se specializuje na vyhodnocování rizik pro informační systémy (tzv. etický hacking), bezpečnostní management a systémy založené na vyhodnocování KPI. Hodnocení probíhalo podle metodologií OSSTMM 3.0 a OWASP, jež zahrnují i penetrační testy služby Talk2M zaměřené na cloudovou infrastrukturu.

Od roku 2017 má HMS pro Talk2M také certifikát podle ISO 27001:2013. ISO 27001 (s českým názvem Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky) je mezinárodní norma pro zajištění správy zabezpečení informačních systémů a jeho dlouhodobé udržování a vylepšování. Certifikát ISO 27001 udělený firmě HMS zahrnuje infrastrukturu Talk2M, datová centra a služby.

 Jak to funguje

Všechna řešení eWON jsou navržena s ohledem na jednoduchost a zabezpečení. Cloud Talk2M je v podstatě vložen mezi hardware v místě instalace a klientskou aplikaci, která chce k tomuto hardwaru přistupovat na dálku (obr. 2).

Na straně stroje je třeba nainstalovat průmyslový router eWON (Cosy nebo Flexy, viz poslední odstavec) připojený k PLC nebo jinému řídicímu systému automatizovaného zařízení. Routery eWON vytvářejí odchozí spojení prostřednictvím UDP nebo HTTPS s infrastrukturou Talk2M a vytvářejí tunel VPN (Virtual Private Network) se zabezpečením založeným na SSL (Secure Sockets Layer). Použitím softwaru eCatcher, dodávaného zdarma, který funguje jako klient VPN, jsou autorizovaní uživatelé schopni přihlásit se do svého účtu Talk2M a spojit se se svými zařízeními eWON, ať jsou kdekoliv na světě. Druhou možností je použít M2Web Portal, vhodný pro zobrazení aplikací HMI a SCADA na mobilních telefonech nebo tabletech.

Služba Talk2M má dvě úrovně: Talk2M Free+ a Talk2M Pro. Verze Talk2M Free+, která je zdarma, vyžívá několik hostingových partnerů a je vhodná pro nejběžnější úlohy. Verze Talk2M Pro využívá pro hosting výhradně Rackspace a poskytuje nejvyšší úroveň dostupnosti pro kritické úlohy.

„Většina našich zákazníků využívá verzi Talk2M Free+, která je zdarma. K verzi Pro přecházejí až v případě, když využijí přednosti pokročilých funkcí, a především tehdy, když se přístup na dálku stane strategickou funkcí v jejich podnikání. Například tehdy, když jim to umožní rozšířit jejich nabídku zákazníkům o poskytování servisních balíčků a služeb sběru dat,“ komentuje Yvan Rudzinski, vedoucí obchodu HMS pro region CEE. 

Výkonná infrastruktura

Infrastrukturu Talk2M tvoří plně redundantní síť distribuovaných přístupových serverů, serverů VPN a dalších zařízení a služeb, které tvoří zabezpečený prostor pro routery a uživatele eWON (obr. 3). Pro zvýšení spolehlivosti a dostupnosti a zkrácení doby obnovení při poruše spolupracuje eWON s několika předními poskytovateli hostingu s úrovní Tier 1, Tier 2 a Tier 3 (klasifikace podle Uptime Institute). Talk2M je hostován výhradně v datových centrech certifikovaných podle ISO 27001, které prošly auditem SOC 1 nebo SOC 2 (Service Organization Control) podle SSAE 16 (Standards for Attestation Engagements 16). Síť serverů je nepřetržitě monitorována, aby bylo možné zajistit maximální dostupnost. Zabezpečení zajišťují systémy IDS – Intrusion Detection System, HIPS – Host Intrusion Prevention System, a sada výstražných mechanismů.

Pro zabezpečení co nejkratší latence je nejprve vybrán nejbližší možný server VPN. Celkem 23 serverů je rozmístěno v různých regionech v Evropě, Severní Americe, Číně, Indii, jižní Africe a v Japonsku (obr. 1). 

Multiúrovňový přístup k zabezpečení

Společnost HMS brzy pochopila, že zajištění zabezpečení sítě je pro přijetí řešení ve světě informačních systémů rozhodující. Současně ale její technici dobře vědí, že zákazníci nebudou chtít používat řešení, které je složité, obtížně pochopitelné a snižuje produktivitu práce. Proto HMS vytvořila řešení, které vyvážením dostatečně silného zabezpečení a snadného použití vyhovuje koncovým uživatelům i manažerům IT.

Řešení eWON (obr. 4) používají ucelený aparát zabezpečení, aby bylo zajištěno, že v žádném případě nemůže dojít k neautorizované akci. Mechanismus zvaný hloubková ochrana, Defense in Depth, zaručuje integritu a spolehlivost informací.

Mimo jiné se pro zajištění kontroly přístupu používají tato opatření:

  • unikátní uživatelské jméno a přizpůsobitelná pravidla pro vytváření hesel,
  • dvoufaktorová autentizace prostřednictvím mobilního telefonu,
  • časový limit pro odhlášení uživatele,
  • konfigurování skupin uživatelů a zařízení,
  • různé úrovně firewallů umožňující přizpůsobit zabezpečení komunikace se vzdálenými zařízeními,
  • komunikace prostřednictvím tunelů end-to-end s využitím protokolů SSL-TLS,
  • digitální vstup pro externí uzamykatelný spínač.

Dokonce i po připojení k serveru je prověřováno, kdo je připojen, kdy se připojil a jak dlouho je připojen, a je o tom pořizován záznam.

Zabezpečení je dlouhodobý a složitý úkol. Z organizačního hlediska HMS Industrial Networks zajišťuje nejvyšší úroveň ohledů na požadavky zabezpečení a otázky shody tím, že vyhradila osoby, které se nepřetržitě věnují prevenci a monitorování bezpečnostních hrozeb, stejně jako zavádění přísných pravidel kolem eskalace událostí a rychlé odezvy. Společnost HMS proto doporučuje složitější případy konzultovat osobně s oddělením pro zabezpečení produktů eWON (ewonsecurity@hms-networks.com). 

Vyberte si z nabídky eWON ten správný router

Routery eWON Cosy (obr. 5) jsou určeny pro snadný přístup k jakémukoliv zařízení. Prostřednictvím tří kroků ve wizardu v konfigurační webové stránce je uživatel během několika minut úspěšně online. Routery eWON Cosy využívají pro připojení ke cloudu Talk2M sítě Ethernet WAN, bezdrátové sítě a sítě GSM. Mohou využívat mnoho různých protokolů běžných v průmyslu, takže je lze připojit k většině PLC dostupných na trhu (prostřednictvím Ethernetu, sériové linky, MPI a USB).

Jednotky eWON Flexy (obr. 6) jsou průmyslové modulární routery a komunikační brány. Jejich modularita poskytuje uživatelům možnost připojit vzdálená zařízení v prostředí, kde se komunikační sítě neustále mění. Umožňují komunikaci s mnoha typy provozních přístrojů bez ohledu na to, jaký protokol používají. Uživatelé dokonce mohou do routeru zaznamenávat data (např. proměnné z PLC nebo hodnoty I/O) a odeslat je zabezpečeným způsobem prostřednictvím cloudu Talk2M na server zákazníka nebo do jiného cloudu. Další funkcí je správa alarmů, dovolující odesílat alarmová hlášení např. prostřednictvím SMS nebo e-mailů (tato funkce bude dostupná také u eWON Cosy od verze 131). K dispozici je rovněž uživatelsky konfigurovatelné webové rozhraní s aktuálními daty, možnost skriptování, tvorby aplikací v jazyce Java. To vše činí z eWON Flexy výbornou platformu pro vývojáře IIoT. 

Kam pro další informace

V České republice distribuují produkty HMS pod značkou eWON firmy FCC průmyslové systémy (www.fccps.cz) a Foxon (www.foxon.cz). Další informace mohou zájemci získat také u vedoucího obchodu pro region CEE Yvana Rudzinského (yvru@hms-networks.com).

[Tisková zpráva HMS Industrial Networks.]

(Bk)

Obr. 1. Ke cloudu Talk2M je již připojeno 170 tisíc routerů eWON, které umožňují na dálku přistupovat k PLC jednotlivých strojů

Obr. 2. Jak to funguje

Obr. 3. Výkonná infrastruktura

Obr. 4. Multiúrovňový přístup k zabezpečení

Obr. 5. Router eWON Cosy pro jednodušší úlohy

Obr. 6. Flexibilní router a komunikační brána eWon Flexy