Bezpieczna technologia pomiaru poziomu

Dobrze zabezpieczona przed cyberatakami

Cyfryzacja oznacza, że ​​coraz więcej urządzeń będzie ze sobą połączonych w sieci. To sprawia, że ​​kwestia niezawodnej ochrony przed cyberatakami staje się jeszcze ważniejsza.

Uniwersalna sonda VEGAPULS 6X niezawodnie mierzy poziom cieczy i materiałów sypkich nawet w najbardziej wymagających warunkach procesowych. Jeśli chodzi o aspekty IT, użytkownicy mogą mieć pewność: sonda radarowa jest jednym z pierwszych czujników poziomu zaprojektowanych w oparciu o normę IEC 62443-4-2.

Wielu użytkowników związanych z produkcją przemysłową nie poświęcało do tej pory uwagi tematowi cyberbezpieczeństwa. Albo dlatego, że nadal uważali to za domenę działu IT albo też nie upatrywali w tym bezpośredniego zagrożenia. Jednak obydwie te postawy są dosyć ryzykowne. Po pierwsze bezpieczeństwo IT zawsze powinno być wspólnym zadaniem dla osób odpowiedzialnych za technologie informatyczne oraz technologie operacyjne. Po drugie w zakładach przemysłowych cyfrowe sieci rozwijają się w bardzo szybkim tempie. Koncepcje takie jak NOA (NAMUR Open Architecture), MTP (Modular Type Package) czy Ethernet-APL (Advanced Physical Layer) są wdrażane coraz częściej.  Wszystko to otwiera możliwości dla zupełnie nowego poziomu automatyzacji, ale także, przynajmniej teoretycznie, odkrywa dodatkowe pola do ataków.

Niebezpieczeństwa pracy w sieci

Nowoczesne, zintegrowane rozwiązania dedykowane do automatyzacji produkcji sprawiają, że procesy są lepiej zoptymalizowane i wydajne, a ich obsługa prostsza. Jednak ze względu na tą otwartość inżynierowie zajmujący się tą tematyką zaczęli coraz bardziej skupiać się na kwestii bezpieczeństwa.

Dla zobrazowania problemu wystarczy przywołać te dane: powołując się na stowarzyszenie przemysłu Bitkom e. V., niemiecka gospodarka co roku ponosi straty na poziomie 203 miliardów euro z powodu kradzieży sprzętu IT i danych, a także działań sabotażowych i szpiegowskich. Szczególnie problematyczny zdaje się być fakt, że natura cyberprzestępców jest bardzo różna: od przypadkowych osób po zorganizowane grupy. Takie ataki są wciąż rzadkością w sektorze przemysłowym, jednak operatorzy instalacji w zakładach energetycznych, koncernach paliwowych czy gospodarce wodno-ściekowej powinni mieć się na baczności. Często bowiem ignoruje się fakt, że ataki na infrastrukturę IT mogą bardzo szybko oddziaływać na obszar OT.

Certyfikacja zgodnie z IEC 62443 w czujniku poziomu: VEGA również w zakresie cyberbezpieczeństwa stawia na prostotę i wspiera operatorów w jego realizacji.

Zalety komunikacji bezprzewodowej

Niemniej jednak nowa, otwarta komunikacja oferuje użytkownikom liczne korzyści. Czujniki poziomu dostarczają ważnych danych w wielu różnych obszarach przemysłu. Dostęp do danych procesowych jest możliwy z dowolnego miejsca, co pozwala na zarządzanie stanami magazynowymi na całym świecie. Sondy VEGA od lat wykorzystywane są do pomiaru poziomu soli drogowej w silosach wzdłuż autostrad lub na przykład surowca w młynach – przekazują te informacje do systemów nadrzędnych w celu optymalnego zarządzania magazynowaniem i logistyką dostaw. Jednostki odpowiedzialne za utrzymanie dróg i młyny mogą dzięki temu polegać na automatycznym uzupełnianiu magazynów. VEGA rozpoczęła rozwój w tym kierunku na długo przed popularyzacją koncepcji Przemysłu 4.0.

Rozwój bezprzewodowej komunikacji Bluetooth tylko przyśpieszył rozwój tego typu aplikacji. Bluetooth ułatwia parametryzację i uruchamianie czujników oraz sterowników, co w wielu przypadkach pomaga również uniknąć sytuacji, w których może dojść do wypadku. Niezależnie od tego, czy pomiary są wykonywane w ogromnych silosach, odległych punktach pomiarowych takich, jak przelewy burzowe, strefy zagrożenia wybuchem czy rozbudowane instalacje w dużych zakładach – czujniki VEGA udostępniają dane tam, gdzie są potrzebne. Bezprzewodowa transmisja danych umożliwia także monitorowanie statusu urządzeń, w tym konieczności konserwacji lub aktualizacji. Pozwala to realnie ograniczyć czas przestojów.

Ochrona przed cyberatakami nie jest sprawą jednorazową: towarzyszy użytkownikom przez cały okres eksploatacji zakładu.

Holistyczna koncepcja bezpieczeństwa VEGAPULS 6X 

Z tego powodu VEGA włożyła wiele wysiłku w uzyskanie certyfikatu zgodnie z normą IEC 62443-4-2 na etapie projektowania swojej nowej sondy radarowej – VEGAPULS 6X. Ta międzynarodowy zestaw regulacji tworzy ramy dla systematycznej oceny, ewaluacji i wdrażania standardów bezpieczeństwa. Wytyczne dotyczące bezpieczeństwa są przygotowane zarówno dla sprzętu, jak i oprogramowania. Są skierowane do projektantów i użytkowników instalacji, a także producentów urządzeń takich, jak VEGA.

Cały proces opracowywania VEGAPULS 6X był zatem dostosowany do standardu bezpieczeństwa IEC 62443-4-2. Obejmował on między innymi analizę możliwych zagrożeń już od samego początku, aby zidentyfikować potencjalne słabe punkty na wczesnym etapie i wypracować środki zaradcze. Swoją drogą, to podejście odnosiło się nie tylko do samego urządzenia, ale do całego procesu produkcji. Prace były nadzorowane przez niezależną instytucję TÜV Nord, która oceniała każdy aspekt.

Jednym ze środków bezpieczeństwa zastosowanych w VEGAPULS 6X jest moduł elektroniki wykonany w sposób uniemożliwiający manipulację. Uwzględniona jest również tzw. strategia Defense-in-Depth, czyli wielopoziomowa koncepcja bezpieczeństwa, na którą składa się kilka warstw bezpieczeństwa IT. Koncepcja obejmuje m.in. bezpieczeństwo sprzętu na etapie produkcji, bezpieczeństwo sieci i strategie bezpieczeństwa różnych komponentów systemu. Dla VEGAPULS 6X oznacza to ochronę przed zagrożeniami takimi, jak:

  • Manipulowanie danymi (naruszenie integralności)
  • Denial of Service „DoS” (naruszenie dostępności)
  • Szpiegostwo (naruszenie poufności)

Urządzenie ma dodatkowe cechy bezpieczeństwa:

  • Uwierzytelnianie użytkownika: Każdy VEGAPULS 6X jest dostarczany z indywidualnym kluczem urządzenia i kodem dostępu Bluetooth. Połączenia Bluetooth są szyfrowane przy użyciu standardowych metod kryptograficznych i oferują użytkownikowi możliwość ponownej dezaktywacji po skonfigurowaniu urządzenia.
  • Pamięć zdarzeń (logowanie): VEGAPULS 6X rejestruje procesy blokowania i odblokowywania w pamięci zdarzeń; zarówno udane, jak i nieudane próby. Funkcjonalność tego zabezpieczenia można sprawdzić wprowadzając nieprawidłowy kod podczas odblokowywania czujnika. Błąd uwierzytelniania musi zostać zapisany w pamięci zdarzeń „Bezpieczeństwo IT”. Jeśli pamięć zdarzeń jest regularnie sprawdzana, łatwo wykryć ataki lub próby manipulacji.
  • Kontrole integralności oprogramowania: Pakiet aktualizacji jest zaszyfrowany i podpisany. Zapobiega to wgraniu do VEGAPULS 6X nieautoryzowanego oprogramowania.
  • Kopia zapasowa: Używając DTM można zapisać parametry VEGAPULS 6X używając funkcji tworzenia kopii zapasowej. Odtworzenie jej jest możliwe z wykorzystaniem systemu sterowania bazującego na protokole HART.
Dla użytkowników czujnik wykorzystujący bezprzewodową komunikację Bluetooth niesie ze sobą wiele korzyści. Jednocześnie, gdy urządzenia połączone są w sieć, kluczowym czynnikiem staje się cyberbezpieczeństwo.

Co może się stać, jeśli spełni się najgorszy scenariusz?

Podczas odpierania cyberataku największą rolę odgrywa czas. Wszystkie firmy powinny poczynić odpowiednie przygotowania, które obejmują sporządzenie jasno określonego planu awaryjnego, aby w sytuacji, w której spełni się najgorszy scenariusz nie marnować czasu. Obejmuje to również tworzenie planów odbudowy bezpiecznego systemu na wypadek poważnych szkód. VEGA posiada PSIRT (Product Security Incident Response Team), czyli zespół reagowania na incydenty związane z bezpieczeństwem produktów, który jest zawsze gotowy do pomocy. Eksperci ci nieustannie wyszukują słabe punkty zabezpieczeń, zapewniają pomoc w zakresie aktualizacji i poprawek, odpowiadają na pytania klientów i natychmiast podejmują działania w sytuacjach krytycznych. Jednocześnie VEGA ściśle współpracuje z CERT@VDE, platformą bezpieczeństwa IT dla firm przemysłowych, w zakresie zgłaszania i badania luk w zabezpieczeniach.

Od wielu lat czujniki poziomu VEGA ułatwiają użytkownikom monitorowanie procesów przemysłowych. Dzięki VEGAPULS 6X użytkownik nie musi zastanawiać się nad obszarem zastosowania, technologią, częstotliwością czy wersją czujnika – wystarczy kilka kliknięć myszką, aby go uruchomić. W zakresie cyberbezpieczeństwa VEGA również stara się, aby wszystko było jak najprostsze. Oczywiście nie można zwolnić operatora instalacji z całej odpowiedzialności, w końcu cyberbezpieczeństwo to proces, który wymaga stałej uwagi. VEGA zapewnia jednak wsparcie w tym zakresie – bezpieczne i prawidłowe korzystanie z czujnika opisane jest w dokumentacji dostarczanej z urządzeniem. Użytkownicy są zatem dobrze przygotowani.


Krótki wywiad z Philippem Kettererem, product managerem VEGA

 

Jak duże jest ryzyko cyberataków w przypadku czujników poziomu?

 

W publicznej debacie na temat cyberbezpieczeństwa czujniki poziomu z pewnością nie są w centrum uwagi, zwłaszcza, że w przypadku ograniczonego zasięgu Bluetooth, atakujący musiałby fizycznie zbliżyć się do urządzenia. Oznacza to, że musiałby już znajdować się w zakładzie lub obiekcie. Jednak wiele osób zapomina, że ​​atak na strukturę IT firmy oddziałuje na wszystkie zautomatyzowane procesy. Dlatego ważne jest, aby czujniki były odpowiednio zaprojektowane. Oczywiście bezpośrednia manipulacja przy sondzie może również prowadzić do niechcianych sytuacji, jak na przykład wyłączenie systemu zabezpieczenia przed przepełnieniem zbiornika.

 

Gdzie dostrzegasz największe wyzwania?

 

Na pewno jednym z nich jest przekonanie użytkowników, aby potraktowali ten temat poważnie – myślę, że nadal tego nie robią. Wygląda jakby każdy chciał przerzucić odpowiedzialność na dział IT. Jednak nie ma możliwości, aby pracownicy IT nadzorowali każdy czujnik w zakładzie przemysłowym. Z tego powodu wszyscy użytkownicy muszą mieć świadomość czynników wpływających na niezawodne działanie czujnika – nie tylko od strony bezpieczeństwa systemu, ale także wiedzieć, jak radzić sobie z cyberatakiem. Co więcej, ochrona przed cyberatakami nie jest czymś, o czym użytkownicy i operatorzy instalacji mogą porozmawiać raz i mieć to za sobą – jest to temat, do którego będą musieli powracać przez cały okres eksploatacji zakładu. Tak jak dbają o fabrykę i cały powierzony sprzęt, powinni również dbać o czujniki, a także ich aktualizację mając na uwadze cyberbezpieczeństwo.

 

Czy certyfikacja IEC dotyczy tylko sondy radarowej VEGAPULS 6X czy także innych czujników VEGA?

 

Certyfikacja zgodnie z IEC 62433 jest możliwa jedynie w trakcie tworzenia produktu i uwzględnia się ją podczas konstruowania sondy. Oznacza to, że nie można uzyskać takiej certyfikacji z mocą wsteczną. Z tego powodu certyfikat posiada tylko nasza najnowsza sonda radarowa VEGAPULS 6X. Oczywiście wszystkie nowe czujniki planujemy rozwijać zgodnie z normą IEC 62433.


VEGA