Aktuální vydání

celé číslo

12

2021

Automatizace v chemickém a petrochemickém průmyslu

Průtokoměry a regulační ventily

celé číslo

Foxboro Evo a kybernetická bezpečnost

Pro zabezpečení řídicích a informačních systémů před kybernetickými útoky je důležité přijmout a dodržovat bezpečnostní pravidla, procedury a doporučené postupy. Je třeba zdůraznit, že právě v tom je síla obrany řídicích a informačních systémů před narušiteli. To je svorník, který nese vše ostatní, a každé narušení stanovených pravidel představuje výraznou bezpečnostní slabinu. Systém Foxboro Evo je od základů navržen tak, aby co nejlépe zajišťoval provozní bezpečnost i zabezpečení informací řízeného závodu. Tento článek popisuje jeho strukturu složenou z mnoha vrstev, přičemž v každé vrstvě jsou k dispozici nástroje určené k ochraně před rostoucí hrozbou kybernetických útoků zvenčí, ale i zevnitř podniku.

 
Značka Foxboro je v oboru procesní výroby známa již přes sto let. Její úspěch je založen na schopnosti absorbovat novou techniku a využít ji k uspokojení ustavičně se měnících potřeb uživatelů. Je třeba stále vstřebávat novinky a trendy v oboru – od nových komunikačních protokolů až po nové operační systémy.
 
Největší hrozbu pro řídicí systémy pro procesní výrobu (PAS – Process Automation System) z hlediska zabezpečení informací v současné době představuje jejich propojení se světem informačních systémů. Před deseti lety se v souvislosti s těmito hrozbami hovořilo o počítačových virech; v současné době se spektrum rozšířilo o další malware a speciální jednoúčelové programy určené pro dosažení osobních, ekonomických a politických cílů (spyware, adware apod.).
 
Zatímco dříve byla počítačová kriminalita spojena s hackery, jež více než co jiného vzrušovalo riziko jejich odhalení, dnes je tu nový trend: hackeři analyzují softwarové programy a systémy, aby odhalili jejich slabá místa, zveřejnili je a získali tím pro sebe slávu a proslulost.
 

Bezpečnostní pravidla, procedury a doporučené postupy

Pro omezení rizika kybernetických útoků je nutné přijmout a dodržovat bezpečnostní pravidla, procedury a doporučené postupy. To je naprosto základní požadavek a jakákoliv odchylka od stanovených pravidel a postupů představuje pro chráněné řídicí a informační systémy bezpečnostní slabinu.
 
V nejnovější době by podniky měly přijmout a dodržovat pravidla systému správy bezpečnosti informací – ISMS (Information Security Management System), jak je stanoven v normě ISO 27001. Norma ISO 27001 Information technology – Security techniques – Information security management systems – Requirements (u nás jako ČSN ISO/IEC 27001) je solidní základ pro ty firmy, které chtějí (nebo na základě požadavku svých zákazníků musí) být certifikovány podle norem a doporučení ISASecure, WIB nebo IEC 62443 (dříve ISA 99).
 

Hrozby

Nejúspěšnější kybernetické útoky na průmyslové řídicí systémy v uplynulých letech byly iniciovány tak, že škodlivý kód do systému zavlekli vlastní pracovníci firmy či její dodavatelé na vyměnitelném médiu nebo tím, že se do firemní komunikační sítě připojili se svým infikovaným notebookem. Chránit řídicí systém jednoduše tím, že se ukryje za firewall, tedy není stoprocentně účinné: systém to zbaví jen vnějších hrozeb. Pro účinnou obranu je třeba ochranné mechanismy implementovat do všech úrovní systému.
 
Kde začít? Ochrana před riziky začíná snahou co nejlépe jim porozumět. Zabezpečení systému Foxboro Evo se tedy kontinuálně vyvíjí podle aktuálních hrozeb a vyhodnocení rizik.
 
Věnujme se napřed externím hrozbám. Přichází doba autonomních řídicích systémů. Roste tlak na to, aby firma dokázala pružně reagovat na všechny požadavky svých zákazníků a na měnící se podmínky na trhu. Zareagovat správně a včas předpokládá mít aktuální informace z provozu. A to znamená, že systémy řídící výrobu a informační systémy podniku musí být propojeny.
 
Oddělení informatiky, odpovědné za celopodnikové systémy, má bohaté zkušenosti se zabezpečením komunikačních sítí. Pracovníci oddělení IT jsou denně bombardováni informacemi o hrozbách, jimž jsou vystaveny jejich informační systémy. Konfigurují svoje firewally, nastavují switche, instalují bezpečnostní záplaty na operační systémy a aktualizují antivirové programy – často i několikrát denně. Mnohdy využívají záložní servery a komunikační linky, takže dokážou případné následky útoku rychle napravit. Výpadek informačního systému v řádu jednotek minut přitom u informačních systémů není nijak kritický a často ho ani nikdo nepostřehne.
 
Dojde-li k útoku na systémy řídící technologické procesy, je to zcela jinak. Způsobí- li takový útok třeba i krátkodobý výpadek řídicího systému, může to vést k nutnosti zastavit výrobu a to může být spojeno s milionovými ztrátami a dlouhodobým procesem opětovného najetí výroby. Nepodaří-li se navíc zařízení odstavit bezpečným způsobem, může to vést k průmyslové havárii, ztrátám na životech a škodám na životním prostředí.
 
Jak bylo uvedeno, pro dosažení potřebné flexibility výroby je tedy třeba informační a řídicí systémy podniku propojit. Pro zabezpečení výroby před výpadky způsobenými kybernetickými útoky je naopak zapotřebí je oddělit. Z toho vyplývá, že zabezpečení řídicích systémů proti kybernetickým hrozbám je značně složitý úkol a jeho řešení vede ke komplikované struktuře komunikačních sítí, kde jsou jednotlivé části sice propojeny, ale v případě nebezpečí je lze rychle a spolehlivě oddělit, aby infekce z jedné části nepronikla do druhé.
 

Systém Foxboro Evo je navržen tak, aby chránil

Systém Foxboro Evo je navržen tak, aby chránil provozní integritu závodu. Jeho struktura je rozdělena do vrstev. V každé vrstvě jsou seskupeny ty systémy, které spolu musí komunikovat v reálném čase; mezi jednotlivými skupinami se naopak vyměňují jen zcela nezbytné informace. Jestliže má řídicí systém takovouto vrstvovou strukturu, zvyšuje se tím jeho spolehlivost, je lépe chráněn před šířením poruch a umožňuje realizovat koncept zabezpečení informací, který bude popsán v následujících odstavcích.
 
Zabezpečení začíná demilitarizovanou zónou (DMZ). To je bariéra, která externímu útočníkovi dovolí proniknout jen do části sítě přímo připojené k internetu nebo propojené jiným rozhraním s externím světem. Cílem DMZ je chovat se jako stráž u brány: chránit vnitřní izolovanou síť proti všem
útokům zvnějšku.
 
Komponenty v interní síti ovšem potřebují také instalovat bezpečností záplaty operačního systému a pravidelně aktualizovat antivirový program, aby byly chráněny před hrozbami šířenými jinak než internetem (např. na přenosných paměťových médiích). Jenomže aktualizovat operační systém často nelze bez přerušení jeho činnosti, což v tomto případě znamená velké náklady, ztrátu času i nárůst rizika z hlediska provozní bezpečnosti.
 
Dalším příkladem hrozby je zcizení identity. Nespokojený pracovník se rozhodne svému podniku uškodit a pro přístup do systému použije přihlašovací údaje svého kolegy. Pro ochranu proti této hrozbě používá Foxboro službu Microsoft Active Directory. Řadič domény spravuje přístupová práva každého uživatele a každého počítače v jedné doméně. Přístupová práva jsou nastavena tak, aby každý uživatel mohl vykonávat ty úkony, které jsou v jeho povinnostech, a přitom neměl přístup tam, kam ho mít nemusí.
 
Řadič domény podává hlášení o každé neobvyklé aktivitě, např. o nezdařeném pokusu o přístup do systému nebo o změně struktury adresářů, a včas varuje administrátora, že se v systému děje něco podezřelého. Prostřednictvím služby Active Directory lze nastavit nejen to, aby měl daný uživatel přístup jen k určeným souborům, ale také to, aby mohl spouštět pouze vybrané programy. Lze rovněž zakázat, aby jeden počítač komunikoval s druhým.
 
Ačkoliv má služba Active Directory mnoho možností, jak systém účinně zabezpečit, je pro průmyslové sítě až příliš složitá a její správná konfigurace vyžaduje detailní znalosti řídicího systému. Foxboro Evo proto používá pro celou řídicí síť jen jednu doménu s několika organizačními jednotkami, skupinovými pravidly a zabezpečením skupin (tab. 1).
 
Co když hrozba pochází z vnějších zdrojů, jako jsou disky CD-ROM nebo paměťová média USB? Foxboro Evo používá Enterprise Policy Orchestrator (EPO) od McAfee – soubor nástrojů, které řídí přístup k hardwarovým komponentám. Tento nástroj zabezpečuje, že k portům USB a mechanikám CD-ROM mají přístup jen oprávnění a autorizovaní uživatelé. Osoby, které nemají potřebné oprávnění, nemohou tato zařízení nijak využívat.
 
Enterprise Policy Orchestrator ovšem usnadňuje ve Foxboro Evo realizovat i další druhy zabezpečení, např. systém prevence průniku do hostitelského počítače (HIPS – Host-based Intrusion Prevention System), audit pravidel (PA – Policy Auditing) nebo detekci systémů, které nejsou pod centrální správou (RSD – Rogue System Detection). Všechny tyto funkce EPO a mnohé další využívá Foxboro Evo ke zvýšení zabezpečení svých informací. To uživatelům umožňuje centrálně spravovat svůj systém prostřednictvím funkcí:
  • vytváření seznamů o přístupu k systému (logging),
  • vytváření zpráv o aktivitách systému (reporting),
  • centrálně řízená distribuce softwaru,
  • aktualizace softwarových balíčků,
  • plánování skenování systému a vyhledávání malwaru,
  • sledování neobvyklých aktivit a generování výstrah (alerting).

Záruka návratnosti investic

Foxboro Evo vychází z koncepce systémů I/A Series nazvané Continuously Current: zaručuje zákazníkům ochranu jejich investic v budoucnu možností cenově výhodných aktualizací, modernizace a migrace na nové systémy.
 
Hardware systému Foxboro Evo bere ohled na zabezpečení informací od návrhu až po dodávku systému. Vyhovuje mezinárodním standardům, např. ISASecure a WIB. Vestavná zařízení jsou testována podle certifikačních procedur ISASecure EDSA (Embedded Device Security Assurance) a Wurldtech Achilles. Také řídicí a komunikační moduly a provozní přístrojová technika jsou konstruovány s ohledem na zabezpečení informací.
 

Služby

Pro účinné zabezpečení informací je nutné, aby operační systém a antivirový systém byly vždy aktuální. Společnost Invensys, nyní jako součást koncernu Schneider Electric, testuje všechny aktualizace a prověřuje jejich kompatibilitu se svými systémy (aktuální verzí a třemi předchozími verzemi). Na základě těchto testů potom svým zákazníkům doporučuje aktualizace vhodné právě pro jejich systémy.
 
Na základě programu technické podpory FIRST mohou být tyto aktualizace distribuovány přímo do závodů a provozů. Tím se šetří čas a náklady spojené s tím, že by bylo nutné vždy zjistit aktuální verzi systému a k ní vyhledat a stáhnout příslušné aktualizace.
 
Kromě dodávek systému Foxboro Evo nabízí Invensys také služby projektování, instalace a technické podpory v oblasti komunikačních sítí a systémů. Prostřednictvím týmu, který se zabývá kybernetickou bezpečností, nabízí Invensys tyto služby:
  • návrh komunikačních sítí a řídicích a informačních systémů,
  • vyhledávání slabých míst zabezpečení,
  • audity komunikační sítě a řídicího a informačního systému,
  • vyhledávání bezpečnostních děr a jejich oprava,
  • posilování odolnosti komunikační sítě a řídicího a informačního systému proti kybernetickým hrozbám,
  • návrh komunikační infrastruktury,
  • návrh nebo posouzení zabezpečení informačních a řídicích systémů a jeho optimalizace,
  • pomoc při kybernetickém útoku a v krizových situacích,
  • školení v oblasti zabezpečení komunikačních sítí a řídicích a informačních systémů,
  • zálohování a obnova po havárii.
 

Závěr

Systém Foxboro Evo představuje výrazný krok směrem ke zlepšení ochrany provozní integrity a zabezpečení informací v závodě. Je zpětně kompatibilní s řídicími systémy různých generací I/A Series, ale přináší nové možnosti, jak může každý pracovník v závodě získat situační povědomí potřebné pro to, aby mohl plnit své pracovní úkoly lépe, rychleji, bezpečněji a s menším úsilím.
 
Systém Foxboro Evo se vyvíjí spolu s prostředím, v němž pracuje. Nejde jen o to, že reaguje na aktuální hrozby, jak popisuje tento článek, ale vyvíjí se také v souladu s nejnovějšími technickými trendy a novými standardy.
 
V dubnu 2014 byla ukončena podpora operačního systému Microsoft Windows XP. To s sebou nese nutnost investovat do aktualizace a modernizace softwaru mnohých PLC a serverů SCADA. Kritické je právě ohrožení informační bezpečnosti nepodporovaných systémů. Zákazníci ovšem nechtějí investovat do kompletní výměny komunikační a informační infrastruktury. Tam, kde je to možné, je jen aktualizován operační systém a zajištěna kompatibilita softwarového vybavení s novým operačním systémem. Kde taková aktualizace možná není, je nutné investovat i do výměny nebo doplnění hardwaru. Často přitom jde jen o doplnění některých komponent, např. firewallů.
 
Z historického hlediska jsou dodavateli těchto doplňkových komponent většinou malé a střední firmy, kdežto řídicí systémy průmyslových procesů DCS nebo PAS dodávají zpravidla velké firmy. To může způsobit nerovnost ve smlouvách o technické podpoře. Navíc kompatibilita každé aktualizace a modernizace musí být testována z pohledu řídicího systému i doplňkových komponent. Ačkoliv jsou investice do doplňkového hardwaru nezbytné, čím více je dodavatelů, tím vyšší je i cena za servis a technickou podporu. Zákazníci proto tlačí na dodavatele řídicích systémů, aby dodávali i zmíněné doplňkové komponenty a zajišťovali jejich kompatibilitu a technickou podporu. To je právě cesta, kterou jde i Foxboro. Systém Foxboro Evo se vyvíjí podle požadavků zákazníků a může být dodán a podporován včetně všech doplňujících subsystémů a komponent.
 
Foxboro Evo umožňuje řídit průmyslové procesy způsobem, který je provozně bezpečný a zabezpečený proti kybernetickým útokům. Jestliže zákazník dodržuje bezpečnostní pravidla, procedury a doporučené postupy, ochrání Foxboro Evo jeho informace před všemi kybernetickými hrozbami, které se vyskytují nyní, i před těmi, které se mohou objevit v budoucnu.
 
Gary Williams, manažer pro kybernetickou bezpečnost a komunikační techniku,
Schneider Electric Process Automation
 
 

Funkce a služby dostupné ve Foxboro Evo a související se zabezpečením řídicích a informačních systémů před kybernetickými útoky

 
EPO – Enterprise Policy Orchestrator
Je to otevřená a unifikovaná platforma pro správu zabezpečení před kybernetickými útoky od firmy McAffee. Usnadňuje implementaci nástrojů pro zabezpečení řídicích a informačních systémů do konkrétní podnikové infrastruktury a zvyšuje efektivitu a sílu bezpečnostních opatření.
 
Antimalwarový program
Antimalwarový program brání počítače a komunikační sítě před viry napadajícími operační systém i softwarové aplikace, počítačovými červy, trojskými koni, spywarem, adwarem a dalšími škodlivými nebo obtížnými programy. Antimalwarový program pravidelně skenuje chráněný systém, detekuje škodlivé programy a eliminuje je.
 
HIDS – Host-based Intrusion Detection System
Systém detekuje průniky do hostitelského počítače. Monitoruje celý chráněný počítač nebo jeho vyhrazenou část, analyzuje jeho chování, detekuje podezřelé akce a vyhodnocuje aktuální stav.
 
DLP – Data Lost Prevention
Omezuje nebezpečí ztráty informací a jejich předání do nepovolaných rukou.
 
AD – Active Directory
Služba společnosti Microsoft, která umožňuje centrální správu zabezpečení sítě a všech připojených účastníků. Spravuje pravidla pro autentizaci počítačů a uživatelů v sítích s doménovým uspořádáním. Prostřednictvím AD jsou určována bezpečnostní pravidla a sledováno jejich dodržování. Jeho prostřednictvím lze také distribuovat a instalovat software a jeho aktualizace.
 
Harden OS
Harden OS je operační systém se zvýšenou odolností proti kybernetickým hrozbám. Zvýšené odolnosti je dosahováno důslednou instalací všech bezpečnostních aktualizací, instalací antivirového programu a jeho udržováním v aktuálním stavu, důsledným odpojováním všech nepoužívaných portů a komunikačních rozhraní a dalšími opatřeními. Zvýšit odolnost operačního systému je u průmyslových počítačů nutnost, protože běžné operační systémy kladou větší důraz na jednoduché používání než na zabezpečení.
 
Whitelistening
Whitelistening je vytváření seznamu pravidel, která určují, kdo, kdy a jak může využívat daný software. Whitelistening zajistí, že se do systému nemůže připojit počítač, který není v seznamu povoleného hardwaru, že ani na autentizovaném počítači se nemůže přihlásit uživatel, který není v seznamu povolaných uživatelů, a že ani autentizovaný uživatel na autentizovaném počítači nemůže spustit žádný program, který není v seznamu povoleného softwaru.
 
BESR – Backup Exec System Recover
Jde o službu centrálního zálohování a obnovy pro všechny určené počítače v síti. Nastavené zálohování běží automaticky a výrazně neovlivňuje rychlost sítě. Zálohování může být spouštěno pravidelně v určených intervalech nebo určenou událostí.
 
SAT – Foxboro Evo Station Assessment Tool
Aplikace od firmy Foxboro pro OS Windows, která se automaticky instaluje na všechny servery a pracovní stanice Foxboro Evo spolu s operačním systémem. Dohlíží na plnou funkčnost všech serverů a stanic.
 
 

Tab. 1. Organizační jednotky, pravidla skupin a zabezpečení skupin

Organizační jednotka Pravidla skupiny Zabezpečení skupiny
počítače Foxboro Evo default domain  
uživatelé Foxboro Evo default domain uživatelé domény
údržba závodu údržba závodu údržba závodu
technici závodu technici závodu technici závodu
operátoři závodu operátoři závodu operátoři závodu

Pozn.: Údržbáři závodu, technici závodu a operátoři závodu jsou také obsaženi ve skupině uživatelů Foxboro Evo. Charakterizovány jsou ještě dvě další dodatečné organizační jednotky: instalační technici a servisní pracovníci. Tyto jednotky jsou vytvořeny jen pro účel instalace softwaru a realizace specifického servisu.