Niniejszy tekst zawiera podstawowe informacje na temat zagrożeń bezpieczeństwa funkcjonowania przemysłowych systemów sterowania oraz możliwości ich ograniczenia. Eksperci z całego świata dzielą się z czytelnikami Control Engineering Polska swoimi spostrzeżeniami.
Organizacja The North American Electric Reliability Corp. (NERC) zaangażowana jest w działania zmierzające do poprawy niezawodności i bezpieczeństwa funkcjonowania energetycznego systemu zasilania. W celu zagwarantowania ciągłej obsługi, monitoringu i serwisu tego systemu organizacja NERC ?obserwuje? stan sieci energetycznej za pośrednictwem specjalnego systemu sieciowego, którego funkcjonowanie zależy od stanu olbrzymiej, zewnętrznej sieci komputerowej, a tym samym od obowiązujących w niej zasad komunikacji. Zasady te, dopuszczalne i obowiązujące w sieciach środowiska nieprzemysłowego, musiały byćwięc wykorzystane w modelu zapewniającym bezpieczeństwo i niezawodność w sieciach przemysłowych.
? Dokument zatytułowany ?10 najistotniejszych zagrożeń przemysłowych systemów sterowania i sposoby ich łagodzenia ? 2006? to już trzecia, zaktualizowana lista tych zagrożeń ? wyjaśnia Scott R. Mix, kierownik ds. bezpieczeństwa systemów i obsługi sytuacji awaryjnych. ? Dokument ten został opracowany przez Grupę Roboczą ds. Bezpieczeństwa Systemów Sterowania, działającą przy organizacji NERC i komitecie Ochrony Infrastruktury Strategicznej. Jest on co roku uaktualniany tak, by odzwierciedlać zachodzące zmiany w strukturze zagrożeń systemowych, jak również postęp w dziedzinie zabezpieczeń i łagodzenia tychże zagrożeń.
Na skutek tej strategii dokument ewoluował od pierwotnej postaci prostej, krótkiej listy zagrożeń opublikowanej w roku 2004 ? aż do obecnej formy, w której dla każdego z zagrożeń zapisano trzy poziomy możliwych działań łagodzących.
W dalszej części artykułu omówiono wszystkie dziesięć głównych zagrożeń, wraz z dotyczącymi ich poradami i uwagami dostawców i konsultantów z branży przemysłowych systemów sterowania.
Oto lista tych dziesięciu zagrożeń:
1. Nieodpowiednia polityka, strategie, procedury i mentalność użytkowników w zakresie bezpieczeństwa systemów sterowania
Bezpieczeństwo to przede wszystkim kwestia odpowiedniej kultury, nastawienia i myślenia użytkowników systemu. ? W ostatnim czasie nasila się tendencja do postrzegania kwestii bezpieczeństwa jedynie poprzez pryzmat odpowiednich rozwiązań technicznych: zapory (firewalle), hasła dostępu itp. ? zauważa Bob Huba, kierownik produkcji systemu Delta V w firmie Emerson Process Management. ? W rzeczywistości jednak elementy testanowią jedynie około 20% ogółu koniecznych do podjęcia działań i procedur bezpieczeństwa, pozostałe 80% to odpowiednia implementacja i przestrzeganie zasad bezpieczeństwa przez personel obsługujący systemy. Posłużę się tu cytatem jednego z praktyków przemysłowych: ?Po prostu należy zaprzestać robienia bezmyślnych, niepotrzebnych działań?. Postawmy więc pytanie: ?Czy Wasz zakład ma i realizuje odpowiednią politykę związaną z bezpieczeństwem?? To przecież bardzo proste: jeśli ktoś obcy jest w sterowni, to trzeba zapytać, co tam robi. Należy też upewnić się, czy pracownicy przynoszą do zakładu i nieumiejętnie korzystają z różnych przenośnych urządzeń (np. odtwarzacze plików MP3 i inne) oraz czy nie instalują zbędnych lub nielegalnych programów.
? Bez opracowania odpowiedniej i skutecznej polityki bezpieczeństwa, bez procedur postępowania i strategii łagodzenia wpływu negatywnych czynników oraz okresowych szkoleń wszystkie inne działania w sferze bezpieczeństwa spełzną na niczym ? zauważa Kim Fenrich, kierownik projektów dla branży energetycznej w firmie ABB. ? Aby system bezpieczeństwa był skuteczny, musi być przez wszystkich postrzegany jako ciągły, zmieniający się proces, nie zaś jako jednorazowa inwestycja: w odpowiedni sprzęt typu firewalle, elementy wykrywania i zapobiegania niepożądanym wtargnięciom z zewnątrz czy różne techniki kodowania itp.
? Operatorzy systemów sterowania są na ogół przekonani, iż systemy te są zasadniczo dobrze zabezpieczone przed atakami z zewnątrz i niepożądanymi zaburzeniami, ponieważ w większości przypadków nie są ?bezpośrednio? połączone z siecią Internet oraz składają się z wielu różnych elementów zarówno sprzętowych, jak i programowych, spośród których część ma własne wbudowane procedury bezpieczeństwa. Warto jednak pamiętać, że choć większość produktów branży IT ma wbudowane elementy zabezpieczeń, takie jak: dostęp poprzez hasło czy procedury kodowania, a nawet proste zapory i filtry danych, to jednak większość z nich w ich standardowych ustawieniach jest wyłączona i nie zapewnia właściwej ochrony ? wyjaśnia Bryan Geraldo, kierownik sekcji energetycznej w firmie Symantec Consulting Services.
Dlatego też, zdaniem Marilyna Guhra, starszego menedżera działu marketingu w firmie Honeywell Process Solutions, odejście od struktury firmowych systemów sterowania wymaga wprowadzenia zasadniczych zmian: ? Wraz z przyjęciem otwartej struktury systemu sterowania konieczne jest ustalenie odpowiedniej polityki i procedur jego bezpieczeństwa. Często okazuje się bowiem, że zakładowy personel nie jest przygotowany do tego typu zadań lub też przekonany jest, że za bezpieczeństwo obsługiwanego przez nich systemu powinien odpowiadać kto inny. Pracownicy różnych firm branży IT mają świadomość tego zjawiska, jednakże nie od razu przenosi się ona na pracowników obsługujących bezpośrednio urządzenia systemowe na poziomie procesu produkcyjnego.
Niestety, brak odpowiedniej wiedzy powoduje powstawanie licznych błędów i awarii. ? Błędy w obsłudze przemysłowych systemów sterowania to zjawisko ciągłe, które może powodować niewłaściwe funkcjonowanie wszystkich, nawet najbardziej wyrafinowanych procedur bezpieczeństwa ? wyjaśnia Eric Byres, prezes i dyrektor generalny firmy zajmującej się bezpieczeństwem w zakładach przemysłowych. ? Na przykład, w czasie jednego z prowadzonych przez nas audytów okazało się, że kable sieciowe przesyłające dane do systemu SCADA omijały jego wewnętrzną zaporę (firewall). Jak nam wyjaśniono, w aplikacji tej nie przeprowadzono analizy ryzyka, stwierdzającej, czy taka zapora jest potrzebna oraz nie przyjęto żadnej polityki bezpieczeństwa, w której zastosowanie zapory byłoby wskazane jako niezbędne.
?Bez opracowania odpowiedniej i skutecznej polityki bezpieczeństwa, bez procedur postępowania i strategii łagodzenia wpływu negatywnych czynników oraz okresowych szkoleń wszystkie inne działania w sferze bezpieczeństwa spełzną na niczym?
2. Niewłaściwy projekt sieci wraz z niedostatecznym szczegółowym ustaleniem poziomów ochrony
Ochrona systemu sterowania to nie tylko ustalenie odpowiednich ograniczeń. ? Zapewnienie właściwego poziomu bezpieczeństwa systemu sterowania wymaga kompleksowego i systematycznego działania ? doradza Todd Stauffer, kierownik i menedżer w firmie Siemens Energy & Automation. ? Jednym z najczęstszych i niebezpiecznych nieporozumień jest przekonanie, iż prosty system z zaporami firewall jest już systemem bezpiecznym. To stwierdzenie jest bardzo dalekie od prawdy. W rzeczywistości w przemysłowych systemach sterowania powinno stosować się warstwowe podejście do kwestii bezpieczeństwa, bazujące na ustaleniu kilku poziomów bezpieczeństwa w różnych obszarach struktury systemowej. Poziomy te powinny być między sobą zagnieżdżone i nawzajem się przenikać, tak by struktura całego systemu była w rezultacie podzielona na wiele zamkniętych stref bezpieczeństwa. Każda z tych stref musi mieć ściśle określone i na bieżąco monitorowane punkty dostępu do sieci, umożliwiające kontrolę danych i komunikacji we wszystkich kierunkach.
Systemy sterowania powinny więc mieć hierarchiczną strukturę bezpieczeństwa.
? Aplikacje o największym ryzyku zagrożenia bezpieczeństwa danych, jak sterowniki oraz interfejsy HMI, powinny mieć odpowiednio ustalone restrykcyjne procedury ochrony ? stwierdza Kevin Staggs, projektant procedur bezpieczeństwa w firmie Honeywell Process Solutions. ? Niezbędnym minimum działań ochronnych wprzypadku sieci sterowania jest ich odseparowanie od popularnych sieci teleinformatycznych za pomocą zapór (firewalli) oraz całkowite uniemożliwienie bezpośredniego połączenia z globalną siecią Internet. Warto zauważyć, co podkreślono już wcześniej, że znajomość tej kwestii jest powszechna środowisku informatyków, jednak niestety niedostateczna wśród operatorów procesów przemysłowych.
? Działania zespołów informatyków nie mogą zatem sprowadzać się tylko do zainstalowania zapór i stwierdzenia, że system jest bezpieczny ? dodaje cytowany już wcześniej Eric Byres. ? Muszą oni zainstalować również: odpowiednie oprogramowanie antywirusowe, osobiste zapory, automatyczne aktualizacje itp.; praktycznie w każdym serwerze, laptopie i pulpicie operatorskim, tak aby każde z tych urządzeń było w stanie ochronić same siebie w przypadku chociażby awarii lub wyłączenia zewnętrznych zapór itp. Ma to szczególne znaczenie w systemach przemysłowych, gdzie często firmy instalują tylko jedną (lub żadnej) zaporę między siecią systemu sterowania a zakładową siecią teleinformatyczną, kompletnie pomijając kwestię specjalizowanej ochrony istotnych elementów i urządzeń systemowych typu sterowniki PLC, RTU czy urządzenia inteligentne sieci rozproszonych DCS. Dlatego też dobre przygotowanie procedur bezpieczeństwa musi zapewniać ochronę strefową tak, by w przypadku przełamania jednego poziomu bezpieczeństwa zadziałały kolejne. Oznacza to konieczność zabezpieczenia wszystkich elementów systemu sterowania w takim stopniu, by one same mogły automatycznie ochronić siebie w przypadku przełamania zapór zewnętrznych chroniących cały system.
? To nie jest proste, ale powinno być zawsze realizowane ? kończy swoją wypowiedź Eric Byres.
Procedury bezpieczeństwa mogą również mieć swoje słabe strony. Adam Stein, wiceprezes działu marketingu firmy Mu Security ostrzega: ? W przypadku systemów sterowania współpracujących z systemami SCADA ochrona warstwowa w rzeczywistości zabezpiecza tylko najbardziej zewnętrzne struktury sieciowe. Ich użytkownicy bowiem nie tolerują żadnych opóźnień wprowadzanych przez mechanizmy ochronne. Jeżeli operator urządzenia wysyła sygnał do zamknięcia zaworu lub zatrzymania niebezpiecznego procesu, nie chce, aby jego informacja opóźniała się ze względu na konieczność przejścia przez ?jakieś tam? zapory.
Cytowany już wcześniej Bob Huba widział już na własne oczy efekty popularnego w zakładach przemysłowych łączenia różnych platform sprzętowych i systemowych: ? Wiele współczesnych przemysłowych sieci sterowania zbudowanych jest jako swobodne połączenie sterowników różnych firm, ze wspólnym interfejsem użytkownika HMI oraz popularnymi urządzeniami sieciowymi. Bardzo często systemy takie nadzorowane są i obsługiwane przez inżynierów oraz integratorów, którzy w ogóle lub w niewielkim stopniu rozważali w nich kwestie bezpieczeństwa i ochrony danych. Ze względu na znaczną popularność tego typu systemów niezwykle ważne staje się, aby ich użytkownicy mieli świadomość istniejących w nich zagrożeń i naciskali na grupy IT oraz inżynierskie, w celu wprowadzenia odpowiednich procedur bezpieczeństwa.
3. Zdalny dostęp do sieci bez użycia odpowiednich procedur ochronnych
? Kluczowym aspektem w zarządzaniu bezpieczeństwem przemysłowych systemów sterowania jest kontrola osób i aplikacji mających dostęp do danych z sieci systemowej ? stwierdza Todd Stauffer. ? W zasadzie konta użytkowników powinny mieć ustawienia poziomu dostępu zależne od ich stanowiska i pozycji w zakładzie przemysłowym (inżynierowie, operatorzy, serwis techniczny, zdalne przeglądanie danych na odległość itp.). Dzięki temu możliwe jest ustalenie zasad dostępu i ustawienie minimalnych parametrów konta, niezbędnych do wykonania powierzonych zadań dla każdego z użytkowników.
Jednakże całkowite ograniczenie zdalnego dostępu do sieci ogranicza możliwości współpracy z dostawcami systemów ? w celu zdalnego ich serwisowania, które mogłoby być korzystne i przydatne w niektórych sytuacjach oraz przyczynić się do zwiększenia ich osobistych umiejętności i wiedzy na temat obsługiwanych systemów. ? Usługi terminalowe, sieci bezprzewodowe, sprzęt radiotelemetryczny, modemy i niezabezpieczone komputery to źródła potencjalnego zagrożenia bezpieczeństwa. Wszędzie tam, gdzie wprowadzenie bezpieczeństwa przez elementy elektroniczne jest utrudnione, konieczna jest realizacja jego procedur w warstwie fizycznej sieci ? stwierdza Bryan Singer, prezes zarządu ISA SP99, starszy konsultant Komitetu Bezpieczeństwa Produkcji i Systemów Sterowania. ? Takie postępowanie zwiększa możliwości wykrycia dołączenia niepożądanych urządzeń oraz nieuprawnionych użytkowników. Większość sieci bowiem nie jest zabezpieczona przed nieautoryzowanym podłączaniem urządzeń sieciowych i dlatego dodatkowe sterowniki, komputery, a nawet całe stacje operatorskie mogą zostać do nich swobodnie podłączone, a ich obecność i dostęp do sieci nigdy niezauważone przez obsługę.
4. Oddzielne mechanizmy audytów i administrowania
Mowa tu o aktualizacjach systemu, wprowadzaniu własnych ustawień, wartości parametrów itp.
Elementy te nie są integralną częścią procesu implementacji systemu. ? System jest narażony na atak bezpośrednio ze strony osób uruchamiających i użytkujących system sterowania ? stwierdza Marilyn Guhr. ? Zazwyczaj bowiem nie są oni specjalistami z zakresu branży IT, a w systemie mogą pojawiać się zagrożenia charakterystyczne właśnie dla typowych aplikacji tej branży i sieci teleinformacyjnych. Dlatego potrzebne są narzędzia i funkcje umożliwiające ustalenie, jakie urządzenie zostało ostatnio dołączone do sieci lub jakie zmiany systemowe zostały wprowadzone i przez kogo. Jeżeli coś jest nie tak, wiedza o tych wszystkich zmianach jest niezbędna.
Z opinią tą zgadza się również Todd Stauffer, stwierdzając: ? W związku z tym, że hakerzy wciąż poszukują nowych słabych elementów w różnych systemach sieciowych i wymiany danych, sterowane procesy przemysłowe wymagają ciągłego monitoringu systemów w celu zapewnienia ich bezpieczeństwa i niezawodności oprogramowania. Systemy i oprogramowanie kontrolne nie zawsze jest intuicyjne dla operatorów typowych aplikacji przemysłowych i dlatego powinni oni przejść odpowiednie przeszkolenie.
? Większość przemysłowych systemów sterowania i wykorzystywanych w nich programów ma narzędzia i funkcje do generacji alarmów na skutek wybranych zdarzeń, jednakże najczęściej nastawione są one na zdarzenia mogące pojawić się w procesie przemysłowym ? wyjaśnia z kolei Bryan Singer. ? Detekcja nieuprawnionego logowania do sieci z zewnątrz to zadanie niezwykle trudne, a zaawansowane komputerowe algorytmy śledzenia i kontroli są zbyt skomplikowane do realizacji przez urządzenia systemu sterowania. Niektóre z rozwiązań wykorzystywanych w monitoringu sieci, jak chociażby systemy detekcji nieuprawnionych wejść do niej, są całkowicie niezgodne i nieodpowiednie dla protokołów sieci przemysłowych i często zdarza się, iż pomimo zastosowania ich wraz z zaporami firewall, wejścia takie nie są w ogóle wykrywane.
5. Niewłaściwie zabezpieczona komunikacja bezprzewodowa
? Bezpieczeństwo komunikacji bezprzewodowej nie jest wielkim problemem w przemysłowych sieciach sterowania, warto jednak zastanowić się nad tą kwestią, z powodu coraz większej popularności tego typumedium transmisji danych ? stwierdza cytowany już wcześniej Kevin Staggs. ? Przyłączenie urządzeń drogą bezprzewodową w każdym miejscu sieci to zadanie niezwykle proste. Użytkownik musi mieć jednak pewność zasięgu sygnału oraz uzyskania wiedzy o niepowołanym przyłączeniu do systemu.
? Z tych też względów przed instalacją sieci bezprzewodowej ważne jest dokonanie kompleksowej oceny środowiska, w którym sieć ma funkcjonować wybór najlepszych stref, gdzie może być ona pomyślnie zrealizowana, przy zapewnienieniu minimalnego poziomu ?wycieku? informacji na zewnątrz. Takie ?wycieki? mogą mieć miejsce, gdy pracownicy wykonują swoje zadania za pomocą bezprzewodowych stacji roboczych lub mobilnych nadajników, tabletów PC czy przenośnych przyrządów. Tego typu urządzenia mogą transmitować dane do obszarów znajdujących się poza zakładem ? wyjaśnia Kevin Staggs.
Jednocześnie zachęca on do poznawania i szerszego stosowania technologii bezprzewodowych: ? W przemysłowych sieciach bezprzewodowych zaleca się stosowanie technik zgodnych ze standardami 802.11 b i g, pracującymi w paśmie 2,4 GHz. Niestety najczęściej są one jednak stosowane bez prowadzenia wcześniejszych oględzin środowiska funkcjonowania sieci oraz oceny możliwości wyjścia informacji na zewnątrz zakładu, dlatego też ważne jest świadome ich użytkowanie przez pracowników zakładu ? stwierdza ostatecznie pan Staggs.
Zdaniem Kena Steinberga, naczelnego dyrektora firmy Savant Protection, problemy związane z otwartą emisją danych można podzielić na cztery podstawowe kategorie: nieautoryzowane użycie, przechwycenie danych w eterze, interferencja częstotliwości oraz nieautoryzowana rozbudowa sieci. ? Specjaliści ds. bezpieczeństwa systemów sieciowych w celu ich ochrony muszą mieć możliwość kontroli i interwencji w każdej z nich ? dodaje Steinberg. W opinii Hesha Kaganaz firmy Invensys oraz przewodniczącego Stowarzyszenia Bezprzewodowych Sieci Przemysłowych zagrożenia te są wynikiem złego, niewłaściwego zarządzania siecią lub też brakiem zrozumienia wykorzystywanych technologii sieciowych. Niechronio na sieć to sieć słaba, a brak solidności jej wykonania i obsługi jest dla niej tak samo dokuczliwy, jak brak ochrony dla sieci teleinformatycznych.
W niektórych sytuacjach najlepszym rozwiązaniem jest odseparowanie obszarów korzystających z technik bezprzewodowych. ? Jeżeli to możliwe, część bezprzewodową warto oddzielić do reszty sieciowego systemu sterowania. Co więcej, zalecana jest ochrona dostępu bezprzewodowego poprzez wymóg identyfikacji oraz wymuszenie autoryzacji dostępu z części bezprzewodowej systemu, do jego pozostałej części ? stwierdza Bryan Geraldo z firmy Symantec.
6. Korzystanie z niededykowanych kanałów komunikacyjnych do sterowania i zarządzania siecią
Kwestia ta dotyczy w szczególności sieci sterowania z systemami SCADA bazującymi na protokole internetowym. W takich przypadkach słabością systemu jest możliwość wykorzystania jego pasma przeznaczonego do innych celów, np. komunikacji głosowej VOIP (ang. Voice over Internet).
?Przyłączenie urządzeń drogą bezprzewodową w każdym miejscu sieci to zadanie niezwykle proste. Użytkownik musi mieć jednak pewność zasięgu sygnału oraz uzyskania wiedzy o niepowołanym przyłączeniu do systemu?
? Wielu przedstawicieli branży IT wykupuje dedykowaną linię sieciową i uważa sprawę bezpieczeństwa sieci za załatwioną ? stwierdza Bryan Singer. ? Widzimy obrazy z kamer, przesyłamy informacje głosowe, funkcjonuje zakładowa sieć teleinformatyczna i wszystkie systemy nadrzędne, znika praktycznie koniecznośćserwisowania sieci sterowania. Specjaliści branży IT zwracają uwagę głównie na osiągi pracujących aplikacji komputerowych w systemie, a kwestie konieczności jego funkcjonowania w tzw. czasie rzeczywistym są im nieraz całkowicie obce. 300-500 ms opóźnienie w dostarczeniu wiadomości e-mail lub wyświetleniu się strony WWW nie ma w zasadzie żadnego znaczenia, gdy tymczasem w aplikacjach sterowania przemysłowego to samo opóźnienie może mieć skutki katastrofalne. Obciążenie czy nasycenie kanału transmisyjnego niestanowiące problemu z punktu widzenia typowych sieci teleinformatycznych w sieciach przemysłowych może wiązać się z olbrzymią awarią ? podkreśla dalej Singer.
Z kolei Kevin Staggs ostrzega przed pochopnymi decyzjami dotyczącymi wyboru i rezerwacji kanałów transmisyjnych. Wykupywanie dodatkowych kanałów to postępowanie bardzo kosztowne i utrudnione z punktu widzenia rozbudowy istniejącej już wcześniej infrastruktury sieciowej. Dlatego też wcześniej należy ustalić i zaplanować, jaki będzie tor przepływu konkretnych informacji w sieci i dostosować do niego kanały transmisyjne, tak by w jak największym stopniu (najlepiej całkowicie) oddzielić od siebie zakładowe sieci teleinformatyczne od przemysłowych sieci sterowania. Nie należy dla nich obu używać tych samych kanałów. To bardzo zła praktyka. ? Wykorzystanie sieci systemu sterowania do komunikacji niezwiązanej ze sterowaniem może prowadzić do pojawienia się problemów w szybkości transmisji istotnych danych sterowania, które mogą nie dotrzeć w odpowiednim czasie do sterowanego urządzenia i wywołać awarię procesu produkcyjnego ? przyznaje Bob Huba.
7. Brak prostych narzędzi do wykrycia / raportowania nietypowych zachowań i działań w sieci sterowania
Omawiane tu zagrożenie związane jest z zastosowaniem niedostatecznych lub też braku metod audytu i kontroli funkcjonowania sieci. ? Rozwój metod zabezpieczenia przemysłowych systemów sterowania będzie wymagał nowego rozumienia pojęcia ochrony sieci na styku między siecią przemysłową a zakładowymi sieciami teleinformatycznymi czy innymi, zewnętrznymi sieciami wymiany danych. Jedynym logicznym rozwiązaniem wydaje się tu być zastosowanie jak najciaśniejszego ?gardła? łączącego sieci przemysłowe z zewnętrznymi systemami, tak wąskiego na ile tylko pozwala w danym momencie technologia, a wszystko to w celu utrzymania ciągłości funkcjonowania zakładu i biznesu jego właściciela ? stwierdza Ernest Rakaczky, menedżer w zakresie ochrony systemów sterowania w firmie Invensys.
Gama dostępnych w tym celu narzędzi jest niezwykle szeroka. ? Wśród licznych narzędzi pozwalających na uniknięcie ryzyka zagrożeń sieciowych znajdują się m.in.: elementy zabezpieczenia przed atakami z zewnątrz (zapory ? firewall, pakiety antywirusowe, zabezpieczenia przed ?włamaniem?, filtry danych itp.); narzędzia detekcji wtargnięcia z zewnątrz (skanery sieciowe ? wykrycie nieautoryzowanego dostępu do sieci lub podłączenia dodatkowych urządzeń systemowych, detekcja zmian w obciążeniu łącz sieciowych itp.) oraz narzędzia monitoringu osiągów i podstawowych parametrów transmisyjnych sieci.
Stosowanie niewłaściwych metod do wykrywania i raportowania zdarzeń w sieci to znaczący problem we współczesnych systemach sterowania. ? Narzędzia takie są powszechnie dostępne i stosowane w sieciach lokalnych i teleinformatycznych, jednakże nie są one odpowiednie dla zastosowań przemysłowych ? stwierdza cytowany już wielokrotnie Kevin Staggs. ? I właśnie dlatego zrealizowane już systemy sterowania procesami przemysłowymi najczęściej nie mają funkcji zapewniających im odpowiedni poziom bezpieczeństwa działania, a ich użytkownikom, gdy coś działa nie tak, jak trzeba, pozostaje dochodzenie swoich praw od wykonawców sieci na drodze sądowej.
Z opinią tą zgadza się Bryan Singer, który dostrzega jednak pewien ruch na rynku w tym zakresie. ? Ostatnio na rynku pojawiło się kilka narzędzi zapewniających takie funkcje, jednak wciąż mają one wyraźny związek z typowymi narzędziami sieci IT; widać wyraźnie, że tworzone są one przez specjalistów z tej branży i z przeznaczeniem głównie dla niej ? komentuje Singer.
8. Instalowanie niewłaściwych aplikacji w komputerach nadrzędnych
Najważniejszym zadaniem przemysłowych, sieciowych systemów sterowania jest zagwarantowanie bezpiecznego i skutecznego sterowania urządzeniami biorącymi udział w procesie produkcyjnym. ? W procesie sterowania powinny być wykorzystywane tylko najbardziej niezbędne aplikacje systemowe. Wszelkie dodatkowe aplikacje programowe, jak: programy obsługi poczty elektronicznej, gry, odtwarzacze multimediów itp., są zbędne i zmniejszają odporność, bezpieczeństwo ogólne systemu. W celu zwiększenia tej odporności konieczne jest usunięcie z niego wszelkich niepotrzebnych aplikacji i zabezpieczenie przed możliwością instalacji nowych. Kontrola instalacji nowych aplikacji powinna być przeprowadzana przy każdej wymianie danych między przemysłową siecią sterowania a zewnętrznymi sieciami teleinformatycznymi.
9. Niewłaściwie analizowane i nadzorowane oprogramowanie systemu sterowania
? Jednymi z najpopularniejszych sposobów narażenia systemu sterowania na problemy w funkcjonowaniu związane z kodowaniem danych są: stosowanie statycznych buforów danych oraz niezabezpieczonych lub niesprawdzonych bibliotek ? zauważa Bryan Singer. ? Często wykonawcy systemów uzależniają ich prawidłowe działanie od typu narzędzi analizujących kody źródłowe, co wyraźnie wskazuje na ograniczenie detekcji ewentualnych błędów do możliwości i poziomu wyznaczonego przez dany typ narzędzia analizującego. Standardy kodowania i zapisu kodów bezpieczeństwa są obecnie udostępniane i powinny być wzięte pod uwagę przy takich analizach. Użytkownicy końcowi, integratorzy systemów oraz konsultanci powinni dążyć do rygorystycznego testowania aplikacji przeznaczonych dla systemów sterowania, z uwzględnieniem wszystkich standardów kodowania ? stwierdza dalej Singer.
Z kolei Ken Steinberg ostrzega, że w systemie zawsze pozostaną jakieś słabe punkty. ? Nie ma fizycznej możliwości usunięcia wszystkich błędów czy słabych punktów w standardach kodowania danych oraz opracowania idealnych procedur testowania. Najlepszym, kompromisowym rozwiązaniem jest zatem: tworzenie jak najprostszych aplikacji, wykonywanie dokładnych testów i przeglądów systemów operacyjnych i kodów pracujących w nich aplikacji. Zależnie od dostępnego czasu i środków finansowych sensowne jest również tworzenie dwóch niezależnych zbiorów aplikacji przez dwa zespoły robocze, w celu ograniczenia możliwości pojawienia się dwóch identycznych błędów czy słabych punktów w budowanym systemie ? wyjaśnia dalej Steinberg.
10. Nieautoryzowane komendy i zmiany pojawiające się w systemie sterowania
? Nie wszystkie sterowniki w systemach automatyki przemysłowej mają funkcje autoryzacji dostępu i możliwości dokonywania zmian nastaw ? zauważa Kevin Staggs. ? Co więcej, w większości takich systemów procedury zabezpieczeń i ochrony realizowane są na wyższych poziomach struktury sieciowej, nie zaś tam, gdzie zainstalowane są właśnie sterowniki. W ten sposób pozostają one elementami narażonymi, które powinny być dodatkowo zabezpieczane. Zawsze należy upewnić się, czy sterowniki w sieci automatyki mają wystarczający stopień zabezpieczenia i ochrony, który powinny zapewnić układy i systemy znajdujące się w wyższych poziomach struktury sieciowej.
? Jeżeli tak nie jest, sterowniki stają się urządzeniami otwartymi i dostępnymi praktycznie dla każdego z poziomu sieci globalnej Internet ? ostrzega Staggs.
? W kwestii kontroli autoryzowanych zmian i komend w systemie sterowania szczególny nacisk należy położyć na czynnik ludzki oraz procedury śledzenia zmian, przepływu informacji sieci itd. To podstawowy element dobrej polityki i działań praktycznych w zakresie ochrony danych w sieciach przemysłowych ? podkreśla Ken Steinberg.
Kolejne kroki
Oczywiście istnieją już odpowiednie strategie, które mają na celu złagodzenie tych wszystkich opisanych w tekście niekorzystnych zjawisk, zagrażających bezpieczeństwu funkcjonowania sieci przemysłowych, a obejmują one sobą szerokie spektrum środków i narzędzi; poczynając od pakietów oprogramowania, aż po zmiany mentalności i kultury obsługi tego typu systemów.
Na koniec warto wspomnieć o tym, co pojawiło się na początku niniejszego artykułu: odpowiednie i nowoczesne rozwiązania techniczne w zakresie ochrony i bezpieczeństwa rozwiązują problem tylko w 20%. Pozostała część wiąże się: z koniecznością wprowadzenia zmian w powszechnym rozumieniu i postrzeganiu kwestii bezpiecznego użytkowania przemysłowych, sieciowych systemów sterowania, koniecznością zmian zachowań i mentalności ludzi.
Jest to największe wyzwanie w tej dziedzinie.
ce
Artykuł pod redakcją
dr. inż. Andrzeja Ożadowicza,
adiunkta w Katedrze Automatyki Napędu
i Urządzeń Przemysłowych w Akademii
Górniczo-Hutniczej w Krakowie
Więcej o zagrożeniach i sposobach zapobiegania im
Wspomniane w artykule zagrożenia i strategie ich łagodzenia omówiono szerzej w dokumencie anglojęzycznym dostępnym na stronie: www.esisac.com/library-cip-doc.htm.
O kwestiach prawidłowych procedur budowania sieci przemysłowych oraz ich integracji z systemami teleinformatycznymi poziomu biznesowego w przedsiębiorstwie pisano również wielokrotnie na łamach magazynu Control Enginnering Polska. Oto tytuły, które bezpośrednio wiążą się z tematyką niniejszego artykułu:
-
Konsolidacja sieci automatyki; nr 9 (32) ? listopad 2006.
-
Rozwój przemysłowych systemów sterowania ? QUO VADIS Ethernet?; nr 9 (32) ? listopad 2006.
-
Cykl artykułów ?Integracja infrastruktury przedsiębiorstwa?:
-
Technologie biznesowe podnoszą rangę inżynierii produkcji ? cz. 1; nr 4 (27) ? maj 2006.
-
Komunikacja pomiędzy różnymi poziomami w przedsiębiorstwie ? cz. 2; nr 7 (30) ? wrzesień 2006.
-
Dwa różne światy ? konfrontacja, czy kooperacja? ? cz. 3; nr 9 (32) ? listopad 2006.
-
IT umacnia się w sferze sterowania i automatyki ? cz. 4; nr 4 (37) ? maj 2007.
W tekstach tych pojawiają się odniesienia do niektórych z zagrożeń i metod ich redukcji omawianych w niniejszym artykule. Na przykład w ostatnim z nich, dotyczącym rozwoju i przyszłości systemów sterowania, pojawia się kwestia hierarchiczności systemów sterowania i wymiany danych w przedsiębiorstwie oraz bezpieczeństwa połączeń pomiędzy poszczególnymi poziomami struktury sieciowej, które stanowią przedmiot zagrożenia nr 7 wymienionego w prezentowanej liście zagrożeń.
Zachęcamy zatem do lektury przytoczonych powyżej tytułów, poszerzenia swej wiedzy na temat prawidłowego projektowania i użytkowania sieci przemysłowych oraz ich współpracy z sieciami teleinformatycznymi i globalną siecią Internet.