Článek ve formátu PDF je možné stáhnout
zde.
Není to tak dávno, kdy si výrobci mysleli, že jejich řídicí systémy jsou před jakýmkoliv škodlivým softwarem chráněny prostě už tím, že jsou to „uzavřené“ systémy, které jen řídí interní procesy stroje, zařízení, výrobní linky nebo závodu, kde jsou instalovány. O kybernetickou bezpečnost se musí starat banky a jiné finanční instituce, ale ne průmyslové podniky. Průmyslové komunikační sítě jsou navíc zpravidla spravovány inženýry, kteří jsou odborníky na optimalizaci výrobních postupů, správné nastavení regulačních smyček atd., ale svět informatiky je jim poněkud vzdálený.
V uplynulých několika letech se však kybernetické útoky na výrobní závody a infrastrukturu začaly objevovat stále častěji a vnímání kybernetické bezpečnosti ze strany průmyslu se změnilo. Dnes je situace zcela jiná. Svůj podíl na tom má i pronikání informační techniky a mobilních zařízení do průmyslové automatizace, trend využívat cloudové služby a nejnověji i internet věcí.
Vyvíjejí se také všechny druhy škodlivého softwaru, jež jsou souhrnně označovány jako malware. Ten je stále dokonalejší a záludnější. Pro koncepce, jako jsou Industrial Internet, Connected Enterprise nebo Industrie 4.0, už není kybernetická bezpečnost volbou, ale základní nutností.
Avšak opatření proti malwaru nejsou ve všech oborech a odvětvích vyvíjena stejně rychle. Společnosti jako McAfee, Symantec nebo Tripwire drží krok s vývojem malwaru a navrhují opatření, pokud možno proaktivní, určená však primárně pro celopodnikové informační a komunikační systémy. Na straně provozních řídicích systémů se nedaří přicházet s přiměřenými opatřeními, která by reagovala na neustálý vývoj malwaru. Mnohé podniky to přitom ani necítí jako problém a jsou mylně přesvědčeny, že jejich provozní systémy jsou proti kybernetickým hrozbám imunní. Nevnímají rizika, protože měly štěstí a zatím se se žádným útokem nesetkaly.
Zde je třeba poznamenat, že už možná ale byly napadeny. Moderní malware totiž nemusí nutně bezprostředně ohrozit provoz řídicích systémů. Jeho úkolem nemusí být ničit, ale sbírat údaje o stavu výroby, výrobních postupech a další důvěrné informace a zcizovat duševní vlastnictví firmy. Protože uživatel vůbec nepozná, že jeho řídicí systém je napaden, nevidí důvod pro zavádění agresivních bezpečnostních opatření. Jen těžko se lze bránit proti riziku, které není rozeznáno. Uživatel tak ani nezjistí, že musí přijmout proaktivní a efektivní bezpečnostní strategii. A že ji musí přijmout okamžitě. Při pohledu na moderní průmysl je patrná narůstající aktivita spojená se strategií zajištění kybernetické bezpečnosti. Odborná média varují před nebezpečími a trh jejich varování bere stále vážněji. Reportáže o napadení hackery se dobře prodávají a vystrašení ředitelé angažují odborníky a vytvářejí týmy pro boj s kybernetickou kriminalitou, které mají za úkol vypořádat se se všemi nebezpečími, jež podniku hrozí. Ovšem stejně jako dříve se v těchto týmech angažují především informatici – odborníci na průmyslovou automatizaci zůstávají stranou.
Správné produkty a správná opatření pro průmyslovou výrobu
V současné době je kybernetická bezpečnost jedním z hlavních problémů bránících využití internetu věcí. Moderním trendem v průmyslové výrobě je využívání vlastního zařízení, ale i vlastní aplikace (BYOD, Bring Your Own Device, BYOA, Bring Your Own Application). Pro ty, kdo mají na starost bezpečnost dat a komunikace, je to skutečně noční můra.
Společnost Belden nabízí široký sortiment prostředků pro zajištění kybernetické bezpečnosti, které jsou určeny zvláště pro kritické úlohy a správu sítě a umožňují vytvořit účinnou ochranu proti úmyslným i náhodným incidentům ohrožujícím data a komunikaci. Například Eagle One (obr. 1) je typová řada hardwarových zařízení, která obsahuje firewally, přepínače (switch) a směrovače (router), jež dokážou ochránit jakoukoliv provozní komunikační síť. Jde o zařízení se zvýšenou odolností proti extrémním teplotám, vibracím atd., takže na rozdíl od běžných firewallů a směrovačů mohou pracovat i v průmyslovém prostředí, dokonce v prostředí s nebezpečím výbuchu (Class 1 Div. 2 podle ANSI/NFPA, zóna 2 podle ATEX).
Produkty typové řady Tofino Xenon (obr. 2) jsou zvláště vhodné pro segmentaci sítě do bezpečnostních zón nebo pro ochranu kritických zařízení. Produkty Tofino Xenon umožňující hloubkovou kontrolu paketů (DPI – Deep Packet Inspection), a dokážou proto ochránit průmyslová zařízení využívající komunikaci Modbus TCP nebo OPC. Řada Tofino Xenon zahrnuje firewally, přepínače a směrovače v průmyslovém provedení s integrovanými funkcemi nejen pro zabezpečení komunikace proti kybernetickým útokům, ale i pro zvýšení dostupnosti sítě např. možností vytvářet redundantní sítě a kontrolovat stav spojení mezi účastníky komunikace.
Všechna zařízení od firmy Belden určená pro zajištění kybernetické bezpečnosti lze snadno spravovat a monitorovat softwarem Industrial HiVision. Jde o software, pomocí něhož je možné snadno a přehledně nastavovat bezpečnostní pravidla jednotlivým účastníkům. To je neocenitelné u sítí, jejichž topologie se často mění. Zařízení lze konfigurovat off-line, což je výhodné u sítí, které jsou v provozu: v průběhu konfigurace zařízení nehrozí výpadek komunikace.
Technika od firmy Belden je navržena pro ochranu kritických komunikačních sítí a prvků vytvořením ochranného perimetru, segmentací sítě do bezpečnostních zón nebo přímou ochranou komunikace s vybraným kritickým prvkem. Pomáhá chránit kritická zařízení proti cíleným útokům, neoprávněné manipulaci i náhodným změnám konfigurace.
Frank Williams,
Senior Manager Cyber Security, Belden
Obr. 1. Bezpečnostní směrovače Eagle One
Obr. 2. Bezpečnostní směrovače Tofino Xenon