Integracja sieciowych systemów sterowania

Spośród wykorzystywanych obecnie w zakładach przemysłowych sieciowych systemów sterowania tylko niewielka ich część dysponuje zintegrowanymi, wbudowanymi procedurami i narzędziami zabezpieczającymi poprawność transmisji i bezpieczeństwo przesyłanych danych. Wiele z nich instalowano jeszcze przed okresem burzliwego rozwoju popularnych dziś sieci teleinformatycznych typu Ethernet czy Internet, niosących ze sobą wiele dobrodziejstw, ale również i nieznanych wcześniej niebezpieczeństw. Czy systemy, o których mowa, mogą zatem stać się integralną częścią nowoczesnych sieciowych systemów sterowania i monitoringu? Czy można je tak zabezpieczyć, by nie była konieczna ich wymiana, a jednocześnie, by były odporne na współczesne sieciowe zagrożenia?
Kwestie bezpieczeństwa danych w cyfrowych systemach komunikacji i akwizycji w ciągu ostatnich lat stały się kluczowym elementem działań grup inżynierskich branż informatyki, telekomunikacji, automatyki, a ich rozwój i postęp dokonuje się praktycznie każdego dnia. Nowe, wchodzące na rynek systemy IT czy platformy sieciowych systemów automatyki i monitoringu dla zastosowań przemysłowych, są wyposażane w zaawansowane i wypróbowane narzędzia z zakresu bezpieczeństwa danych i kontroli poprawności komunikacji. Zasadniczym problemem jest jednak fakt, że gros istniejących już i poprawnie działających sieci sterowania w zakładach przemysłowych zbudowano i uruchomiono wiele lat temu, gdy wspomniane kwestie nie miały jeszcze tak wielkiego znaczenia, gdy nie było rozwiniętej infrastruktury lokalnych i globalnych sieci teleinformatycznych, a wiedza o nich nie była tak rozpowszechniona i ogólnie dostępna. Okazuje się, że całkowicie bezkrytyczne i nieprzemyślane dołączanie takich systemów do większej sieci monitoringu i zdalnego sterowania sprzyja atakom hakerów, umożliwiając nieuprawniony dostęp do danych z obsługiwanych procesów, wprowadzanie zmian parametrów urządzeń czy zbiorów baz danych itp. Pytanie zasadnicze więc brzmi: czy starsze systemy sieciowe, integrowane z nowymi rozwiązaniami teleinformatycznymi, mogą być odpowiednio zabezpieczone, tak by nadal prawidłowo i bez niepowołanych zakłóceń spełniały swoją rolę?
– W branży automatyków przyjęło się, że systemy sieciowe kupowano, instalowano, konfigurowano i uruchamiano, a następnie praktycznie można było o nich zapomnieć na co najmniej kilkanaście lat – stwierdza Ernie Rakaczky, architekt bezpieczeństwa systemów sieciowych w firmie Invensys Process Systems. – Co więcej, taka metodologia postępowania nadal jest bardzo popularna u wielu automatyków, choć w ciągu ostatnich kilku lat sytuacja w tej branży bardzo się zmieniła. Większość ze wspomnianych starszych systemów nie ma możliwości połączenia i integracji z jakimikolwiek innymi systemami nadrzędnymi. Zwykle opracowywano je bowiem do realizacji konkretnych zadań, obsługi określonych i niezmiennych aplikacji: otwarcie i zamknięcie zaworu, pomiar temperatury, ciśnienia, poziomu cieczy itp., w których funkcjonalności typowe dla systemów teleinformatycznych i cyfrowych nie mają większego znaczenia – dodaje. Branża automatyki i monitoringu zarzuciła jednak tę drogę rozwoju systemów, stawiając na integrację z systemami nadrzędnymi. Jest to podyktowane bardzo szybkim rozwojem technik komunikacji sieciowej i sieci teleinformatycznych w życiucodziennym oraz aplikacjach biznesowych, skutkiem czego wzrosły oczekiwania użytkowników systemówzwiązane z większym zdalnym dostępem do danych o stanie maszyn, urządzeń, wybranych parametrów aplikacji. – Tradycyjne starsze systemy sterowania niemal w 100% realizowały tylko zadania związane bezpośrednio z poprawnym sterowaniem obsługiwanymi aplikacjami; zadania współczesnych sieciowych systemów automatyki można w praktyce podzielić na dwie kategorie – 50% to sterowanie, a 50% to transmisja danych i monitoring. Postępująca integracja z sieciami teleinformatycznymi poziomu biznesowego oraz nowe możliwości łączenia sieci magistralowych różnych standardów wymusiły również podjęcie działań w zakresie ochrony danych transmitowanych w sieciach oraz zwiększenia pewności i poprawności niezakłóconych transmisji pomiędzy urządzeniami, modułami akwizycyjnymi, bazami danych itp. – wyjaśnia dalej Ernie Rakaczky.
Bezpieczna łączność?
W branży teleinformatycznej utarło się twierdzenie, że najbezpieczniejsze połączenie to po prostu brak połączenia. – W niemal wszystkich przypadkach sieciowe systemy firmowe bazują również na firmowych protokołach i magistralach komunikacyjnych – przyznaje Kevin Staggs z firmy Honeywell Process Solutions. – Próba ich połączenia z innymi sieciami to potencjalne zagrożenie dla transmitowanych w nich danych, gdyż nie są one przygotowane do ich wymiany z sieciami zewnętrznymi i nie mają zaaplikowanych zaawansowanych narzędzi programowych czy sprzętowych, służących ich ochronie. Stąd konieczność precyzyjnego ustalania punktów łączeniowych w systemie, gdzie możliwe będzie wpięcie innych sieci, w połączeniu ze znajomością obu komunikowanych technologii – wyjaśnia dalej.
Kolejne mityczne przekonanie wielu przedstawicieli branży automatyki w aplikacjach przemysłowych, to twierdzenie o absolutnym bezpieczeństwie tzw. sieci izolowanych, w których transmitowane są już bez ograniczeń wszelkiego typu dane o procesach, sygnały sterujące itp. Często jednak okazuje się, że do takiej sieci możliwy jest dostęp z poziomu komputera nadrzędnego, nowoczesnych paneli operatorskich i innych urządzeń peryferyjnych, za pomocą których możliwe jest skopiowanie danych z sieci lub zbiorów z modułów akwizycyjnych oraz przypadkowe (lub celowe) wprowadzenie plików wirusowych. Dlatego też w przypadku korzystania z takich systemów sieciowych należy szczególną uwagę zwrócić na to, by użytkownicy przyłączonych do nich urządzeń mieli zabronione lub ograniczone możliwości korzystania przy ich obsłudze z przenośnych pamięci PenDrive, dysków CD czy DVD.
Systemy starszych generacji – czy są bezpieczne?
Starsze platformy sieciowych, przemysłowych systemów sterowania charakteryzują się dość długimi okresami żywotności, stąd też wiele z działających implementacji może pochodzić jeszcze z początkowego okresu rozwoju rozproszonych systemów sterowania – DCS. W praktyce można je podzielić na dwie podstawowe grupy: systemy firmowe i z architekturą bazującą na systemie operacyjnym Microsoft Windows.
Niektórzy z użytkowników takich starszych systemów okazują dość spory komfort psychiczny, gdyż są przekonani, że haker – nawet jeśli w jakiś sposób włamie się do ich sieci systemowej – i tak nie będzie wiedział, jak odczytać i wykorzystać dane przesyłane w jednym z firmowych, starszych standardów komunikacji przemysłowej. Czy to jednak dobra i pewna strategia bezpieczeństwa danych sieciowych? Specjaliści branżowi oceniają ją jako stąpanie po bardzo kruchym lodzie. Może bowiem się okazać, że włamywacz jest dobrze przygotowany i świadomy, gdzie się włamuje, a mając odpowiednią wiedzę o danym standardzie komunikacji, może w łatwy sposób naruszyć jej prawidłowe funkcjonowanie. Co więcej, przy wspomnianej błogiej nieświadomości użytkownika systemu, można dokonać w nim praktycznie dowolnych zmian, bez szybkiej jego reakcji. Problemem ostatnich lat jest jednak wciąż rosnąca grupa „wykształconych”hakerów, pojawiających się na rynku ze względu na recesję w gospodarkach zachodnich i dość liczne zwolnienia nawet wykwalifikowanych pracowników działów automatyki, utrzymania ruchu, informatyki itp. Jeżeli przedstawiciele tych kilku grup połączą swe wysiłki, to kwestia włamania się do sieci, a następnie sprawnego poruszania się w niej, pobrania najważniejszych danych czy zmiana najistotniejszych parametrów pozostaje całkowicie otwarta. Mamy więc do czynienia nie tyle z wzrastającym poziomem inteligencji, wiedzy i sprytu popularnych hakerów komputerowych, co ze wzrostem poziomu praktycznej wiedzy o systemach w grupach zwalnianych z firm teleinformatycznych i zakładów przemysłowych.
Kolejna grupa użytkowników systemów automatyki to ci, którzy sądzą, że odpowiednią ochronę ich danych w systemie zapewniają narzędzia bezpieczeństwa platformy systemu operacyjnego Microsoft Windows, który od połowy lat 90. ubiegłego stulecia instalowany był w niektórych rozwiązaniach dla automatyki przemysłowej. W opinii ekspertów zabezpieczeń systemowych faktycznie systemy bazujące na tej platformie są relatywnie bezpieczne pomimo wielu zastrzeżeń do produktów firmy Microsoft w środowiskach informatyków i integratorów sieciowych. Najbardziej narażone na ataki zewnętrzne są rozproszone systemy sterowania i monitoringu właśnie z lat 90., kiedy to platforma Windows w zastosowaniach przemysłowych była zwykle oparta na systemie Windows NT. Stosowano go wówczas w komputerach przemysłowych, modułach interfejsów operatorskich HMI i innych, gdy tymczasem system ten nie miał odpowiednich narzędzi zabezpieczających dane (zwykle przenoszone bezpośrednio ze starszych wersji systemu Windows) dla tego typu zastosowań. W aplikacjach z taką platformą systemową należy zwrócić szczególną uwagę na bezpieczeństwo i szybką modernizację tej sfery systemu sieciowego. – Sieci z platformami systemowymi starszych generacji pakietu Windows nie powinny być łączone bezpośrednio z nadrzędnymi systemami sieci biznesowych – podkreśla cytowany już wcześniej Kevin Staggs. – Każdorazowo należy je dobrze uszeregować i zweryfikować, ustalając, jakiego typu dane są z nich niezbędne do kierowania procesami decyzyjnymi w zakładzie i ewentualnie pozyskiwać je poprzez bardzo dobrze skonfigurowany firewall, najlepiej współpracujący z nowoczesnym serwerem akwizycyjnym – dodaje. Pod pojęciem starszych generacji systemu operacyjnego Windows rozumie się w tym wypadku wszystkie wersje pakietu, które nie są już wspierane technicznie i aktualizowane przez firmę Microsoft, co nie gwarantuje ich zabezpieczenia przed wciąż rozwijanymi w sieci Internet wirusami.
Co można zrobić?
– Zapewnianie bezpieczeństwa systemów sieciowych przez ich izolowanie lub łączenie w skomplikowanych architekturach, z nadzieją, że skomplikowanie układu sieciowego zniechęci potencjalnych hakerów, to we współczesnej dobie działanie niewystarczające – ostrzega Sean McGurk, dyrektor działu bezpieczeństwa sieciowego przy amerykańskim Departamencie Bezpieczeństwa Narodowego. – Niedawno przeprowadziliśmy analizę podatności na zagrożenia sieciowe systemów stosowanych we wszystkich branżach przemysłowych sektora publicznego i militarnego. Okazało się, że w sektorze niezmilitaryzowanym aż w 46% aplikacji największe zagrożenie bezpieczeństwa komunikacji występuje na styku sieci poziomu produkcyjnego z biznesowym/zarządzania – komentuje dalej Sean McGurk. – To wskaźnik nie do zaakceptowania, szczególnie wziąwszy pod uwagę znaczenie i konieczność komunikacji pomiędzy tymi poziomami we współczesnych przedsiębiorstwach. Dlatego też ograniczenie dostępu do transmitowanych danych na tym poziomie integracji systemów sieciowych nabiera tak dużego znaczenia – dodaje.
To wszystko prawda, łatwiej jednak to stwierdzić, niż w praktyce wykonać, bowiem zabezpieczanie czegoś, co nigdy nie było przewidziane do ochrony lub nie jest jużwspierane technologicznie przez producenta, to zadanie dość trudne. Szczególnym wyzwaniem dla integratorów i architektów bezpieczeństwa w systemach sieciowych jest to, że ich użytkownicy coraz częściej domagają się bezproblemowego i jednocześnie bezpiecznego połączenia sieci obsługujących procesy produkcyjne z nadrzędnymi systemami biznesowymi i zarządzania; te pierwsze jednak – zwłaszcza w starszych wersjach, zarówno z perspektywy sprzętu, jak i narzędzi programowych oraz systemów operacyjnych, nie są przygotowane do uruchomienia współczesnych narzędzi bezpieczeństwa sieciowego, takich jak chociażby zaawansowane funkcjonalnie pakiety antywirusowe, bez wpływu na wydajność komunikacyjną łączonych systemów oraz ograniczenie dostępności niektórych typów danych. Tego typu aplikacje sieciowe to środowisko szczególnie delikatne i wrażliwe, dlatego też wszelkie strategie bezpieczeństwa muszą być tu dobrze przemyślane.
Warto również zwrócić uwagę, że scenariusze takich strategii już istnieją i zostały wdrożone w licznych aplikacjach w praktyce, a użytkownicy systemów mają dostęp do poradników i serwisów zawierających wskazówki i porady dotyczące ich wdrażania. Większość ze wspomnianych strategii rozpoczyna się etapem szczegółowej analizy istniejącej w danej aplikacji architektury systemów sieciowych oraz inwentaryzacją dostępnego oprogramowania i platform systemów operacyjnych. Krok kolejny to identyfikacja wszystkich połączeń z sieciami zewnętrznymi, co niejednokrotnie kończy się odkryciem wielu nieznanych wcześniej punktów dostępowych, ze względu na częste praktyki szybkich, tymczasowych połączeń, niewpisywanych do dokumentacji, które jednak z czasem pozostają ciągle aktywne. Aby ustalenie wszystkich takich przyłączy było skuteczne, specjaliści radzą skupić się na analizie łączy obsługujących wszelkiego typu serwery OPC, gatewaye, modemy, moduły bezpieczeństwa lokalnego, moduły komunikacji standardu ModBUS i IP, Profibus i innych standardów sieci przemysłowych.
Czas na zmiany
Czy zastosowanie technik zabezpieczających sieci będzie jednak działaniem wystarczającym? W ostatecznym rozrachunku w niektórych aplikacjach może się okazać, że rozwiązaniem bardziej opłacalnym byłaby zmiana całej infrastruktury systemów sieciowych na nowsze rozwiązania, oferujące więcej funkcjonalności przy jednoczesnym wysokim poziomie bezpieczeństwa danych i pewności transmisji. Oczywiście to zadanie niełatwe, zarówno pod względem organizacyjnym, jak i finansowym. – Wiem, że wielu inżynierów automatyków i informatyków pracujących na co dzień z omawianymi systemami ma świadomość występujących w nich zagrożeń, jednak ich dokładne, a najlepiej ilościowe, wskaźnikowe oszacowanie nie jest proste. Równie trudne okazuje się często przedstawienie odpowiednich argumentów przemawiających za modernizacją lub wymianą sieci wobec kadr zarządzających sferą biznesową zakładów i przedsiębiorstw – stwierdza Ken Keiser z firmy Siemens Energy & Automation. – Dlatego też wielu z nich ma obiekcje co do przedstawienia rzeczywistej sytuacji przedstawicielom kierownictwa i zarządu firmy. Zawsze lepiej powiedzieć po prostu „system nie działa poprawnie i ma to bardzo znaczący wpływ na wydajność produkcyjną”, niż z trudem dobierać słowa i argumenty w tłumaczeniu zawiłych kwestii bezpieczeństwa danych, wymiany informacji itp. Zwykle w takich sytuacjach wybiera się najsłabsze ogniwo całego systemu – najczęściej interfejsy HMI – i przeprowadza jego wymianę lub aktualizację. Jeżeli to nie przynosi znaczących rezultatów, konieczne jest podjęcie kolejnych kroków, które wymagają przeważnie znacznie większych nakładów finansowych i organizacyjnych – wyjaśnia dalej Ken Keiser.
Proces całkowitej wymiany starszych, często firmowych systemów sieciowych istniejących już w zakładach przemysłowych, wielu ekspertów branżowych uważa za zbytkosztowny i długotrwały. W ich opinii w większości przypadków dążyć należy przede wszystkim do unowocześnienia i aktualizacji standardów już wykorzystywanych, a ewentualną wymianę na nowsze rozwiązania technologiczne rozłożyć na kilka etapów lub skupić się jedynie na najbardziej krytycznych aplikacjach, strefach sieci. Wprowadzenie nowych procedur, narzędzi bezpieczeństwa to proces do zrealizowania na przestrzeni kilku dni, zaś wymiana infrastruktury to w zasadzie okres jednego do kilku miesięcy lub nawet roku. Wymaga ona bowiem zachowania szczególnej ostrożności przy likwidacji i odtwarzaniu istniejących połączeń fizycznych i funkcjonalnych w systemie, które nie zawsze są dobrze udokumentowane.
Czynnik ludzki
Dyskusja na temat bezpieczeństwa w systemach sieciowych automatyki zwykle dotyczy kwestii rozwiązań technicznych. Trzeba jednak mieć świadomość, że niebagatelną rolę odgrywa tu również czynnik ludzki. Utrzymanie należytego poziomu bezpieczeństwa wymaga bowiem świadomego zaangażowania pracowników. Jednym z podstawowych problemów przy modernizacji lub aktualizacji starszych systemów automatyki jest zwykle brak aktualnej lub jakiejkolwiek kompletnej dokumentacji technicznej; w systemie mogą być wprowadzone liczne zmiany, modyfikacje itp., które możliwe są do odtworzenia tylko z pamięci (czasem zawodnej) obsługujących go pracowników. – Poprawne zarządzanie i bieżąca weryfikacja wprowadzanych w systemach zmian to powszechny problem nie tylko dotyczący systemów działających bezpośrednio na poziomie produkcyjnym, ale również na poziomach wyższych – sieciach teleinformatycznych działu biznesowego – zaznacza Tood Nicholson z firmy Industrial Defender. – Na przykład otwarcie jakiegoś portu dostępowego do sieci dla użytkownika z zewnątrz powinno być ściśle limitowane i kontrolowane. Często jednak zdarza się, że z czasem o takim porcie „oknie na świat” się zapomina, a sytuację taką wykorzystuje ktoś nieuprawniony, pobierając dane lub wprowadzając np. modyfikacje parametrów pracy urządzeń.  Sytuacje takie stanowią nie lada wyzwanie dla pracowników działów IT i automatyków, którzy w celu skutecznej realizacji programów bezpieczeństwa systemowego muszą wprowadzać liczne procedury rejestracji, identyfikacji i analizy zdarzeń oraz działań dotyczących awarii, aktualizacji i modyfikacji sieci komunikacyjnych – wyjaśnia dalej Tood Nicholson. Jak podają inni eksperci branżowi, w swej praktyce zawodowej często obserwują wprowadzanie zamian w systemach bez ich dokumentowania, odnotowania i w konsekwencji należytego potwierdzenia. W przekonaniu wielu osób, które takich zmian dokonują, elementy systemowe włączone w sieci powinny same z siebie zagwarantować zachowanie właściwego poziomu bezpieczeństwa danych po ich działaniu.
Okazuje się jednak, że stosowane w nich narzędzia programowe i sprzętowe nie zawsze są przygotowane na obsługę sieci o zmieniającej się architekturze i stąd mogą wystąpić pewne zagrożenia.
Podsumowując – procedury bezpieczeństwa w systemach sieciowych są oczywiście niezbędne, jednak pracownicy również muszą mieć świadomość swojej roli w utrzymaniu należytego poziomu ochrony i bezpieczeństwa. Badania branżowe wskazują, że popularyzacja wiedzy inżynierskiej w środowiskach pracowniczych jest aktualnie największym wzywaniem, a zarazem koniecznością w perspektywie rosnącej konkurencji rynkowej i ogólnym trendem zmierzającym ku optymalizacji produkcji oraz zwiększeniu jej efektywności. Nieodłącznym elementem tych szkoleń kadr pracowniczych powinno stać się również bezpieczeństwo urządzeń i systemów sieciowych, które coraz powszechniej są stosowane w aplikacjach produkcyjnych i przetwórczych, a większość pracowników tych branż wciąż ma przekonanie, że za bezpieczeństwo i poprawne ich funkcjonowanie odpowiadają jedynie grupy utrzymania ruchu czy zakładowi automatycy lub informatycy. Niezbędne jest zatem wykreowanie kultury bezpieczeństwa, która pozwoli na osiągnięcie odpowiedniego jego poziomu w zakładzie i to niezależnie od zaaplikowanej w nim technologii czy standardów komunikacyjnych. Każdy z pracowników przed podjęciem jakichkolwiek działań aktualizacyjnych, optymalizacyjnych czy modyfikacyjnych w systemie sieciowym, algorytmie procesu czy parametrach pracy urządzeń, powinien w pierwszym rzędzie przeanalizować ich możliwy wpływ na bezpieczeństwo funkcjonowania całego procesu, systemu automatyki i monitoringu itp.
Artykuł pod redakcją dr. inż. Andrzeja Ożadowicza – AGH Kraków.