Aktuální vydání

celé číslo

12

2021

Automatizace v chemickém a petrochemickém průmyslu

Průtokoměry a regulační ventily

celé číslo

Informační bezpečnost v automatizaci

Výhody neomezeného přenosu technologických dat prostřednictvím standardního ethernetového protokolu napříč komplexními sítěmi (intranet a internet) a zpracování těchto dat standardními prostředky výpočetní techniky (Information Technology – IT) jsou všeobecně uznávány a využívány. Je tomu tak zejména proto, že:
  • Ethernet je obecný a otevřený standard, který zajišťuje homogenní síťové prostředí umožňující vzájemně komunikovat nejrůznějším typům zařízení,
  • všeobecné používání jediné síťové sběrnice usnadňuje programování, konfigurování a sledování zařízení technologických provozů „napříč celou sítí“,
  • jde o standard běžně rozšířený v kancelářském prostředí, tzn. že pro další zpracování dat (sledování, SCADA atd.) lze používat poměrně levné standardní komponenty IT.
Z hlediska informační bezpečnosti však uvedené výhody s sebou také nesou některá rizika:
  • přítomnost Ethernetu a ethernetových protokolů TCP/IP nebo UDP/IP umožňuje potenciálním útočníkům poměrně snadný přístup do sítě; znalosti potřebné ke škodlivému útoku jsou přitom běžně k dispozici a z webu si lze i stáhnout příslušné nástroje,
  • neúmyslné chybné zkonfigurování komponent (např. zadání špatné IP adresy) může vést k poruchám stroje nebo zařízení,
  • u standardního hardwaru a softwaru není pro útočníka obtížné využít známá slabá místa, např. typu přetečení vyrovnávací paměti.
Obecně platí, že prostředky IT používané v kancelářském prostředí mají vedle uvedených předností také své specifické nedostatky, které se projevují i při použití kancelářské techniky k automatizačním účelům. Je tudíž nutné používat metody zajištění informační bezpečnosti osvědčené v kancelářském prostředí, přičemž se ale nesmí pouštět ze zřetele zvláštní požadavky kladené na automatizační techniku, jako je odolnost a snadná konfigurovatelnost.
 

Informační bezpečnost versus bezpečnost IT

Obor informační bezpečnosti (v oblasti IT) se zabývá obzvláště ohroženími, kterým jsou vystaveny informační systémy a v nich přítomná data. Toto ohrožení pramení především z možného aktivního průniku útočníka, který má přístup do systému nebo jej dokáže v případě úspěšného útoku získat. Jako příklad lze uvést sabotáž nebo špionáž. Pojem sabotáž zde bude používán v širokém významu a budou v něm zahrnuty i nespecifické útoky typu odepření služby (Denial of Service – DoS), které např. při útoku na firemní intranet s použitím malwaru a virů nebo červů mohou mít dopad i na integrovanou automatizační síť.
Aspekty jako odolnost proti výpadkům a rizika způsobená chybnou obsluhou patří do kategorie bezpečnost IT. Mezi oběma kategoriemi neexistuje zřetelná hranice. Odolnost komponent proti výpadkům jakožto klasické kritérium bezpečnosti IT se vzhledem k požadavku na velkou dostupnost systému při některých typech útoků stává spíše aspektem informační bezpečnosti. Typickým mechanismem zajišťujícím bezpečnost IT je ochrana před chybnými kroky obsluhy formou autentifikace a autorizace uživatelů.
Rizika pramenící z připojení infikovaného notebooku k firemní síti patří do oblasti informační bezpečnosti, protože nebezpečí zde představuje malware. Tento příklad ukazuje na potřebu předcházet bezpečnostním rizikům (často v první řadě) vhodnými organizačními opatřeními (např. zavedení a používání bezpečnostní politiky). Technická opatření na ochranu techniky lze smysluplně používat až na základě pravidel stanovených bezpečnostní politikou.
 

Řešení pro kancelářské prostředí

V zásadě platí, že je nezbytné řídit přístup ke kritickým segmentům sítě. Pro použití v kancelářském prostředí se nabízí osvědčená řešení v podobě firewallů a virtuálních privátních sítí (Virtual Private Network – VPN).
Firewally chrání segmenty sítě před nadbytečným datovým provozem, který není určen pro uživatelské programy (úlohy) běžící v daném segmentu. Zároveň je možné vykonávat hrubé filtrování pokusů o přístup podle adresy IP nebo MAC. Přitom se nesmí zapomínat, že filtrování adres MAC, často označované jako zabezpečení portů (port security), není žádným zabezpečením z hlediska informační bezpečnosti. Útočník totiž snadno může datové pakety označit libovolnou adresou MAC (MAC spoofing) a proniknout, kam potřebuje (obr. 1).
 

Specifické požadavky na průmyslový Ethernet

Technická zpráva ISA [1] podává přehled o běžných způsobech zajištění informační bezpečnosti v oblasti IT (cyber security). Vedle všeobecného popisu jednotlivých metod uvádí jejich slabé stránky a také použitelnost při řízení nespojitých (manufacturing automation) i spojitých (process control) výrob. Jako technika VPN se v [1] označuje zabezpečení datového provozu na úrovni IP (vrstva 3 modelu ISO/OSI) při použití protokolu IPsec i použití metod SSL/TLS (Secure Sockets Layer/Transport Layer Security; vrstva 4) a SSH (Secure Shell). To je nezvyklé, protože jako VPN se zpravidla označuje pouze zabezpečení sítě na úrovni IP.
Při hodnocení VPN z hlediska použití v průmyslovém prostředí se berou v úvahu tyto aspekty:
  • vzájemná komunikace zařízení,
  • nastavování (konfigurování),
  • podpora a údržba,
  • zvláštní řešení pro zajištění informační bezpečnosti provozu s jiným protokolem než IP (Profinet, Ethernet/IP),
  • (ne)dostupnost systémů VPN pro vestavné (embedded) operační systémy,
  • latence v provozu a během navazování spojení,
  • nedostatek zkušeností s projektováním a správou při vytváření a provozu VPN v oboru velkých automatizačních sítí nebo dělených systémů typu SCADA.
Jako příklad koncepce informační bezpečnosti pro ethernetové komunikační sítě v automatizační technice lze uvést bezpečnostní směrnici pro Profinet [2], prosazující použití tzv. zabezpečovacích modulů s kombinovanou funkcí firewallu a VPN. Standard Profinet počítá s použitím jednoho zabezpečovacího modulu na vstupu každé automatizační buňky. Prostřednictvím zabezpečovacích modulů je vyloučen datový provoz v reálném čase. Směrnice přitom neuvádí žádnou přesnou specifikaci protokolů na ochranu datového provozu. Je třeba vycházet z toho, že produkty různých výrobců, kteří realizují koncepci podle [2], nedokážou navzájem spolupracovat. Dále je diskutabilní, zda směrnice [2] pokrývá všechny možné případy použití, a zda ty splňují různé, v praxi oprávněné požadavky na bezpečnost.
Širší záběr než [2] má dokument [3], který popisuje koncepci zajištění informační bezpečnosti jednotlivých komponent až na úroveň snímačů a akčních členů.
 

Komplexní povaha protokolu IPsec

Protokol IP security (IPsec), který je u VPN standardem, v sobě zahrnuje tyto tři jednotlivé protokoly:
  • AH (Authenticated Header, tj. autentifikovaná hlavička),
  • ESP (Encapsulation Security Payload, tj. zapouzdřený bezpečnostní prostor) pro vlastní zabezpečení datového provozu ve vrstvě 3 (vrstva IP, síťová),
  • IKE (Internet Key Exchange, tj. mezisíťová výměna klíčů) pro výměnu klíčů potřebných pro obě již zmíněné specifikace.
Jednotlivé protokoly lze použít pro různé konfigurace spojení (síť – síť, hostitel – síť, hostitel – hostitel), a to ve dvou různých režimech: transportním a tunelovém. Dále může uživatel volit mezi různými kryptografickými protokoly a mechanismy.
Vzhledem ke složitosti protokolu IPsec je třeba při úvahách o něm vzít v potaz tyto skutečnosti:
  • nelze prvoplánově počítat s interoperabilitou různých implementací IPsec,
  • konfigurace systému umožňující použít IPsec bývá nákladná,
  • analyzovat dostatečně spolehlivě celou sadu protokolů z hlediska informační bezpečnosti je v podstatě nemožné.
Na poslední z uvedených tří aspektů upozorňovali odborníci na bezpečnost Nils Ferguson a Bruce Schneier v rozsáhlém hodnocení IPsec [4] již v roce 1999. Jejich tezi nedávno podpořilo NISCC (National Infrastructure Security Co-Ordination Centre, Velká Británie) ve zprávě o závažných bezpečnostních nedostatcích ve speciálních případech použití IPsec [5]. O tom, že absolutní informační bezpečnosti v oblasti IT nelze dosáhnout, svědčí také současné útoky na hašovací algoritmy, které se nacházejí i v protokolech IPsec (viz [6]). Prozatím mají takové útoky akademický charakter. Ukazují však, že protokoly anebo jejich implementace musí reagovat na slabá místa těchto algoritmů.
 

Informační bezpečnost v automatizačních sítích

Z hlediska možného uplatnění protokolu IPsec je s ohledem na požadavky, které na něj klade automatizační technika, důležité omezit jeho potenciální možnosti. Vhodná metoda spočívá v sestavování pevně daných profilů, při jejichž použití lze realizovat informačně bezpečné síťové struktury vyžadující jen minimální konfigurační úsilí.
Z hlediska informační bezpečnosti sítí v automatizační technice představují dlouhodobý problém identifikace a zabezpečení datového provozu s jiným protokolem než IP. Obvyklou metodou je tunelování příslušných paketů prostřednictvím paketů protokolu vyšší vrstvy sítě, např. UDP. Nadále ale zůstává otevřená otázka, které procedury a operace v reálném čase lze ještě u takto zabezpečených spojení garantovat.
Propojování různých sítí, zejména integrace systémů typu WLAN, nakonec vede k nezbytnosti jednotné bezpečnostní infrastruktury IT. Při použití protokolu IPsec lze komplexně informačně zabezpečit i heterogenní sítě, typické pro automatizační techniku.
 
Literatura:
[1] ISA-TR99.00.01-2004 Security Technologies for Manufacturing and Control Systems. ISA – The Instrumentation, Systems, and Automation Society, 2004.
[2] Profinet Security Guideline, version 1.0. Profibus Nutzerorganisation (PNO), 2005.
[3] System Protection Profile – Industrial Control Systems, Ver. 1.0. Process Control Security Requirements Forum (PCSRF), 2004.
[4] FERGUSON, N. – SCHNEIER, B.: A Cryptographic Evaluation of IPsec. Dostupné na http://www.schneier.com/paper-ipsec.pdf
[5] Vulnerability Advisor IPSec-004033. National Infrastructure Security Co-Ordination Centre, 9. 5. 2005.
[6] X. WANG, X. – YIN, Y. L. – YU, H.: Finding Collisions in the Full SHA-1. In: Advances in Cryptology, Crypto ‚05.
 
prof. Dr. Stefan Heiss, Fachhochschule
Lippe und Höxter, Lemgo,
Dipl.-Ing. Oliver Puls, Phoenix Contact
GmbH & Co. KG, Blomberg,
Ing. Václav Chytil, manažer produktu
Automatizace
 
Obr. 1. Používání bezdrátových místních sítí (WLAN) a neustálé přenosy dat prostřednictvím internetu vyžadují zvláštní bezpečnostní koncepty specifické pro automatizační techniku