Článek ve formátu PDF je možné stáhnout
zde.
Před několika lety nám pomatení hackeři dopřávali v rámci rozvíjení svého zvláštního sportovního ducha, z pocitu dlouhé chvíle či z nutnosti zvrhlé seberealizace jen bezesné noci, ovšem dnes je ohrožení mnohem komplexnější. Například tzv. phishing, útoky orientované na snahu ukořistit údaje o bankovních kontech a kreditních kartách, mají ryze kriminální původ – jejich cílem není „jen“ poškodit informační systém, ale získat finanční prostředky oběti. Ještě dramatičtější jsou ale scénáře ve výrobním odvětví, kde jsou strojní zařízení zasíťována, a tak se znenadání dostávají na mušku bezpečnostních útoků. Nedostatečná opatrnost v takovém prostředí nejen stojí peníze, ale může ohrozit i životy. Kde tedy hledat nebezpečí v průmyslových informačních systémech a jak mu mohou výrobní podniky co nejlépe čelit?
Zdroje nebezpečí pro podnikové sítě
Perimetr, tedy hranice podnikové sítě s vnějším světem, představuje stále ještě první a nejdůležitější obrannou linii. Již jen jediné nezajištěné spojení s externím PC stačí k otevření zadních dveří do podniku hackerům a škodlivým kódům. Ale ze statistik je známo, že většina bezpečnostních incidentů, úmyslných i neúmyslných, se odehrává uvnitř sítě. Jen s ochranou perimetru nelze toto ohrožení eliminovat, neboť útočníci se nacházejí za hranicemi sítě. Proto jsou nutná interní bezpečnostní řešení, která podnikovou síť hlídají a umožňují rychle reagovat na vzniklá rizika. Vnitřní segmentace, např. v rámci finančního úseku nebo k ochraně výzkumných či vývojových oddělení, je v mnoha podnicích běžná.
Často však bývají přehlíženy zdroje nebezpečí zcela jiného původu. Zatímco ještě nedávno byly řídicí systémy strojů a výrobních linek s jejich počítači s operačními systémy Windows 98, NT a OS/2 terčem útrpných posměšků pracovníků oddělení IT, nyní již mnohé z nich smích přešel − a sice od chvíle, kdy tato zařízení našla cestu do podnikové sítě LAN.
Uveďme konkrétní příklad z kovozpracujícího průmyslu: podnik s celosvětovou působností s více než čtyřmi tisíci zaměstnanci a výrobními provozy na třech kontinentech disponuje více než stovkou výrobních provozů, v nichž jsou stroje a linky řízeny stolními i vestavnými počítači. Je-li v každém provozu dvacet až padesát těchto technologických počítačů schopných komunikovat prostřednictvím LAN, pro osobu zodpovědnou za provoz a bezpečnost počítačové sítě − provozního technika sítě − tím vznikají doposud nikdy nepředpokládané problémy: v jím spravované síti se nachází asi 2 300 technologických PC, o jejichž údržbu se ale zpravidla starají výrobci strojů, a kontrola nad nimi leží mimo jeho přímou zodpovědnost. Ve jmenovaném konkrétním případě má provozní technik sítě pod svou skutečnou kontrolou jen asi 45 % koncových zařízení.
Pachatel a zároveň oběť
Osudem řídicích systémů strojů zapojených do sítí LAN je být současně viníkem i obětí bezpečnostních incidentů. Splňují všechna kritéria systémů, které patří „pod zámek“ − tj. za firewally. Jejich „bezpečnostní díry“ zpravidla nemohou být spraveny záplatami, a proto jsou tyto systémy snadno napadnutelné. Zároveň jsou pro podnik kritické, protože bezprostředně ovlivňují výrobní procesy. Poruchy mohou citelně narušit hladký průběh výroby, protože mohou celé provozy odsoudit k nečinnosti. Výpadky výrobních zařízení mohou mít pro podniky ničivé finanční dopady, zvláště v odvětvích s výrobou just in time, kde je třeba bezpodmínečně dodržovat dohodnuté termíny. A protože tyto firmy často bývají úzce propojeny dodavatelskými řetězci se svými partnery a dodavateli, problém se snadno šíří dál.
Je zde však ještě mnohem horší nebezpečí, naneštěstí stejně reálné a často nedostatečně brané na zřetel: nebezpečí pro zdraví a život obsluhy.
Stroje smí být zpravidla řízeny jen ze stanovišť, odkud je do jejich pracovní oblasti přímo vidět. Je-li tomu jinak, je třeba stanovit přesné pracovní postupy, které vylučují ohrožení obsluhy. Co ale se systémy, k nimž lze přistupovat prostřednictvím LAN? Jak zabránit jejich zneužití cizí osobou?
Řešení pro ochranu výrobních linek
Jaké vlastnosti by měly mít zabezpečovací systémy, aby mohly být využity jako účinné opatření proti zneužití u výrobních linek a jiných strojních zařízení? Dostatečně průkazná autentizace a komplexní ověřování přístupů jsou minimální požadavky, které by měly být kladeny na systémy dálkového řízení. Samotné řídicí systémy ovšem tyto podmínky splňují jen zřídka. Oproti tomu firewally jsou právě pro tyto úkoly koncipovány.
V porovnání se systémy čistě preventivní ochrany před útoky (Instrusion Prevention System), které strojní zařízení umí chránit před viry a červy, mají rozhodující výhodu: umožňují přísnou autentizaci všech způsobů přístupu s jednoznačnou identifikací osob, s určením, co smí identifikovaná osoba dělat, a s detailním vymezením přístupových práv. V mnoha odvětvích je to jednoznačný požadavek norem a bezpečnostních předpisů.
Ovšem stovky, nebo dokonce tisíce firewallů jsou velmi nákladné, vyžadují enormní nasazení kvalifikovaného personálu a negativně ovlivňují spolehlivost systému.
Řešením jsou centralizované zabezpečovací prvky. Jejich příkladem jsou zařízení netfence industrial® a phion M®, která kombinují funkce UTM (Unified Threat Management) s diagnostikou provozu na komunikační síti a centralizovanou správou a prosazováním bezpečnostních funkcí a pravidel. Díky vyspělé diagnostice a funkci disasterrecovery mají administrátoři možnost efektivně a bez velkých personálních nákladů odhalovat a odstraňovat závady a problémy (troubleshooting). Netfence Industrial je zařízení zvláště vhodné do průmyslového prostředí. Je velmi robustní a odolává vibracím i nepříznivému prostředí. Jak je v průmyslovém prostředí běžné, montuje se na lištu DIN. Neobsahuje rotační disky ani ventilátor, a je proto velmi spolehlivé i energeticky úsporné. Počet IP adres není omezen licencí, limitující je jen výkon procesoru. K dispozici jsou všechny funkce UTM s výjimkou brány pro elektronickou poštu a antispamového filtru. Počet simultánně aktivních tunelů VPN je omezen na pět.
Zařízení Phion M jsou určena k použití mimo průmyslové prostředí. Dodávají se v několika variantách podle počtu uzlů v síti, a uživatel si tak může vybrat cenově výhodné řešení pro malé sítě s nejvýše dvaceti uzly i pro rozsáhlé sítě s až dvěma tisíci uzly.
Vzhledem k jednotnému uživatelskému rozhraní obou typů zařízení je jejich obsluha velmi snadná a přehledná.
Nezapomeňme, že v průmyslu lepší zabezpečení nejen spoří finanční prostředky, ale pomáhá i chránit lidské životy.
Dr. Wieland Alge, phion AG
Dr. Wieland Alge pracoval jako pedagog a vědecký pracovník v Institutu teoretické fyziky na univerzitě v Innsbrucku. Zabýval se výstavbou a implementací počítačových sítí. Nyní je výkonným ředitelem firmy Phion AG, kterou spoluzakládal. Má mnohaleté zkušenosti v oblasti bezpečnostních projektů.
Obr. 1. Jednotka phion nf–850