Aktuální vydání

celé číslo

08

2024

Automatizace v potravinářství a farmacii

Měření a regulace průtoku, čerpadla

celé číslo

Anketa o zabezpečení řídicích, informačních a komunikačních systémů v průmyslové praxi

Domácí a kancelářské počítače jsou v současné době většinou více či méně dobře chráněny firewally, antivirovými programy a dalšími hardwarovými a softwarovými prostředky. Komunikační sítě bývají chráněny minimálně heslem a šifrováním. Jak je tomu v průmyslu? Na tyto otázky odpověděli Ing. Jaromír Klaban, obchodní ředitel Teco, a. s., a Ing. Vladimír Ševčík, produktový specialista Simatic NET/Scalance Siemens, s. r. o.

 Setkali jste se s v praxi s útokem nebo jiným bezpečnostním incidentem v souvislosti se zabezpečením průmyslových řídicích, informačních a komunikačních systémů? Vyžadují uživatelé zabezpečení těchto systémů? Je podle Vás toto zabezpečení důležité?

Jaromír Klaban:

S útokem či jiným bezpečnostním incidentem proti našim systémům jsme se nesetkali. Nicméně je to oblast, které je věnována pozornost a zejména v budoucnu bude význam takového zabezpečení ještě růst.

Vladimír Ševčík:

V českém prostředí je ze strany zákazníků zabezpečení systémů stále velmi podceňovanou kapitolou, která se řeší až v případě, kdy se problém objeví, a navíc mnohdy zcela bez respektování specifických podmínek platných pro průmyslové instalace. V každém případě je průmyslové zabezpečení velmi důležité téma. I proto Siemens investuje do stálého vylepšování svých produktů. Například jako první výrobce automatizačního hardwaru na světě má svoje PLC a další komponenty s bezpečnostními certifikáty Achilles úrovně 2 pro komunikační robustnost. Siemens nabízí kompletní portfolio aktivních síťových prvků, a to včetně bezpečnostních a tzv. Security Integrated komponent.

 Přicházejí podle vašeho názoru útoky na tyto systémy spíše zvenčí, nebo zevnitř firmy? Jsou to převážně útoky vedené profesionálně, amatérsky (např. bývalými zaměstnanci), nebo jsou to náhodné incidenty, způsobené např. selháním hardwaru nebo softwaru?

Jaromír Klaban:

Protože jsme se zatím s takovým útokem nesetkali, nemohu mluvit ze zkušenosti. Domnívám se ale, že se nemůže nikdy jednat o náhodný incident nebo selhání vlastního hardwaru či softwaru. Vždy je za tím člověk. Zda zvenku, nebo zevnitř, je jedno. Motivace a cíle, kterých má být dosaženo, jsou různé a budou se v čase vyvíjet. Tak jako se vyvíjí nové a nové viry, budou vznikat i speciální zabezpečovací procedury pro průmyslové aplikace.

Vladimír Ševčík:

Bezpečnostní incident může být skutečně způsoben jakýmkoliv zdrojem. Správná bezpečnostní politika tedy musí reagovat na všechny zmiňované hrozby v té míře, jaká je ještě akceptovatelná pro danou technologii.

 Jaký je rozdíl mezi zabezpečením domácí nebo kancelářské a průmyslové komunikační sítě? Do jaké míry lze metody a prostředky používané v kancelářích a domácnostech využít v průmyslových řídicích a informačních systémech?

Jaromír Klaban:

Průmysl postupně přijal technickou základnu z kancelářského světa – PC bylo modifikováno na průmyslové PC, v PC i PLC běží pro průmysl modifikované operační systémy, Ethernet a jeho přenosové protokoly byly doplněny na tzv. průmyslový Ethernet. Z toho plyne, že i zabezpečení průmyslových sítí vychází a bude vycházet z praxe zabezpečování kancelářských, databázových nebo bankovních systémů. Také zde se dočkáme modifikací. Budou respektovat skutečnost, že průmyslové systémy jsou z principu vybaveny akčními členy, kterými se ovládají reálná zařízení a energie.

Vladimír Ševčík:

Základní principy jsou stejné, ale ne vše lze realizovat stejným způsobem, jako je běžné v oblasti informačních systémů. Průmyslové instalace jsou mnohdy bez přístupu k internetu a i v případě, že je přístup k internetu umožněn, není možné za provozu např. instalovat bezpečnostní záplaty, aktualizovat firewall atd.

Je smysluplné realizovat základní bezpečnostní opatření formou oddělování informačních a automatizačních sítí, segmentovat jednotlivé výrobní celky na menší segmenty chráněné vhodným hardwarovým firewallem a nastavit vhodná bezpečnostní organizační pravidla v rámci výroby.

 Jaký význam má vytvoření bezpečnostních pravidel firmy a kontrola jejich dodržování?

Jaromír Klaban:

Bezpečnostních opatření asi nebude nikdy dost. Je ale nutné je udržet v rozumné míře, aby nakonec náklady na bezpečnostní opatření nepřevážily přínosy, které zavedení automatizace mělo přinést.

Vladimír Ševčík:

Pro funkční systém zabezpečení průmyslové aplikace je zcela klíčové správné nastavení bezpečnostních pravidel v rámci výrobní firmy. Stejně tak je nutná kontrola jejich naplňování a aktivní vyžadování, aby byla dodržována. Pochopitelně vždy s přihlédnutím ke specifikům průmyslové automatizace. Nelze jen jednoduše přenést pravidla platná pro kancelářské prostředí a násilně je aplikovat na výrobní sféru. Vše musí začínat již samotným zabezpečením vstupu do výrobního závodu, i k samotnému rozváděči, dále přes vrstvu zabezpečení sítí až po zabezpečení vlastních systémů.

 V oblastech bezpečnosti strojů a strojních zařízení, funkční bezpečnosti, ochrany proti požáru nebo výbuchu existuje množství norem a doporučení, z nichž mohou dodavatelé a uživatelé vycházet. Čeho se mají držet dodavatelé a uživatelé průmyslových řídicích, informačních a komunikačních systémů, chtějí-li svá data zajistit proti ztrátě konzistence nebo zneužití?

Jaromír Klaban:

Výrobci by se měli držet těch norem a doporučení, které již existují. A potom také zdravého rozumu, kterým posoudí v každém jednotlivém případě náklady na zabezpečení a srovnají je s možnými škodami, které způsobí zneužití nebo ztráta dat či ztráta komunikace.

Vladimír Ševčík:

Siemens se danému problému věnuje velmi komplexně. Na oficiálních internetových stránkách (www.siemens.com/industrialsecurity) veřejně prezentuje známé bezpečnostní incidenty, včetně doporučených nápravných opatření. Jsou k dispozici velmi podrobné manuály týkající se zabezpečení průmyslových sítí a systémů DCS a SCADA (PCS7/WinCC) od firmy Siemens. Vždy je však nutné brát v úvahu, že zabezpečení průmyslové instalace je neustálý proces, nikoliv konečný stav. Pravděpodobně nikdy a prostřednictvím žádných technických prostředků a organizačních pravidel nelze dosáhnout naprostého zabezpečení. Rozhodně se ukazuje jako správné doporučit koncept oddělování sítí. I v rámci vlastního provozu je vhodné vytvářet jednotlivé chráněné segmenty oddělované pomocí komponent Security Integrated (hardwarový firewall, VPN). Největší část odpovědnosti však leží na straně zákazníků, kteří musí vytvořit správná organizační pravidla a následně kontrolovat jejich respektování ze strany všech zainteresovaných osob.

 Anketu vedl Petr Bartošík.

Jaromír Klaban, obchodní ředitel, Teco, a. s.

Průmysl postupně přijal technickou základnu z kancelářského světa – PC bylo modifikováno na průmyslové PC, v PC i PLC běží pro průmysl modifikované operační systémy, Ethernet a jeho přenosové protokoly byly doplněny na tzv. průmyslový Ethernet. Z toho plyne, že i zabezpečení průmyslových sítí vychází a bude vycházet z praxe zabezpečování kancelářských, databázových nebo bankovních systémů.“

Ing. Vladimír Ševčík, produktový specialista Simatic NET/Scalance Siemens, s. r. o.

V českém prostředí je ze strany zákazníků zabezpečení systémů stále velmi podceňovanou kapitolou, která se řeší až v případě, kdy se problém objeví, a navíc mnohdy zcela bez respektování specifických podmínek platných pro průmyslové instalace.“

Anketa na webové stránce časopisu Automa

Na webové stránce časopisu Automa byla spuštěna anketa o normách pro tzv. kybernetickou bezpečnost. Stav je ze 4. prosince 2012, kdy došlo prvních deset odpovědí. Zapojit se můžete na www.automa.cz.

Domníváte se, že by se měl stát více starat o vznik závazných norem a směrnic pro zabezpečení řídicích, informačních a komunikačních systémů v průmyslových podnicích?

  • Ano, očekávám, že stát by měl vytvořit závazné směrnice pro ochranu průmyslových řídicích, informačních a komunikačních systémů alespoň pro vybrané obory průmyslu. 30 %
  • Ne, záleží na podnicích, jak si svoje řídicí, informační a komunikační systémy zabezpečí. 60 %
  • Ne, útok na řídicí, informační nebo komunikační systémy průmyslových podniků nepovažuji za pravděpodobný, nebezpečí se přeceňuje. 10 %