Jak stworzyć kompleksowe bezpieczeństwo automatyzacji dla przemysłu przetwórczego?

Fot. Freepik

ISA (International Society of Automation) definiuje automatyzację jako tworzenie i stosowanie technologii do monitorowania i kontrolowania produkcji oraz dostarczania produktów i usług.

Zgodnie z normą IEC 62443-1-1, przemysłowy system automatyki i sterowania (IACS) to zbiór procesów, personelu, sprzętu i oprogramowania, które mogą wpływać na bezpieczne, pewne i niezawodne działanie procesu przemysłowego. Chociaż słowo IACS zyskuje na popularności, ICS (przemysłowy system sterowania) jest nadal szeroko stosowany w odniesieniu do systemu IACS. ICS jest ogólnie akceptowalny i szeroko stosowany.

Bezpieczeństwo ICS można kompleksowo podzielić na bezpieczeństwo funkcjonalne i cyberbezpieczeństwo. Przyjrzenie się każdemu z nich z osobna może pomóc w zrozumieniu, w jaki sposób się one pokrywają.

Norma IEC61508 (Międzynarodowe normy bezpieczeństwa dotyczące projektowania bezpiecznych systemów dla sprzętu i oprogramowania) zawiera definicję bezpieczeństwa, a norma IEC62443 (Międzynarodowa seria norm dotyczących cyberbezpieczeństwa dla technologii operacyjnych w systemach automatyki i sterowania) definiuje bezpieczeństwo. Uważam, że głównym celem każdego zabezpieczenia jest bezpieczeństwo, zwłaszcza w przemyśle przetwórczym, ponieważ zdrowie publiczne i personelu może zostać narażone na szwank. Poniżej, bezpieczeństwo i ochrona są kompleksowo określane jako bezpieczeństwo ICS.


Bezpieczeństwo funkcjonalne, wgląd w cyberbezpieczeństwo

Bezpieczeństwo procesowe wymaga zwrócenia uwagi na bezpieczeństwo funkcjonalne i cyberbezpieczeństwo przemysłowego systemu sterowania (ICS).

 

Pomocne mogą być definicje i standardy bezpieczeństwa funkcjonalnego i cyberbezpieczeństwa, a także znajomość punktów awarii sprzętu i rodzajów cyberzagrożeń dla ICS.

 

Znajomość trzech procesów cyklu życia bezpieczeństwa i ochrony oraz wdrażanie wytycznych dostępnych w normach może pomóc we wdrażaniu cyberbezpieczeństwa i określaniu poziomu nienaruszalności bezpieczeństwa (SIL).


Definicja bezpieczeństwa funkcjonalnego

Czym jest bezpieczeństwo funkcjonalne? Jest to część ogólnego bezpieczeństwa systemu lub urządzenia, które zależy od automatycznej ochrony i działa prawidłowo w odpowiedzi na wejściowe informacje zwrotne lub awarię w przewidywalny sposób (bezpieczny w razie awarii).

Definicja cyberbezpieczeństwa różni się w środowiskach ICS

Czym jest cyberbezpieczeństwo? Cyberbezpieczeństwo jest szeroko klasyfikowane jako cyberbezpieczeństwo i bezpieczeństwo fizyczne. Chociaż słowo cyberbezpieczeństwo sugeruje, że intencją jest przyjrzenie się tylko połączeniu “internetowemu”, nie jest to prawdą w odniesieniu do środowisk ICS.

Jeszcze kilka lat temu bezpieczeństwo funkcjonalne i cybernetyczne były uważane za odrębne i traktowane oddzielnie. Nie może już tak być, ponieważ normy bezpieczeństwa przemysłu procesowego wymagają oceny cybernetycznej. Ocena ryzyka cybernetycznego jest wymagana zgodnie z ANSI/ISA 61511/IEC 61511 w celu spełnienia normy.

Przed dalszym zrozumieniem bezpieczeństwa ICS należy zrozumieć awarie i zagrożenia.

System ICS powinien być zaprojektowany tak, aby zapewnić odpowiednie bezpieczeństwo funkcjonalne, a awarie mogą wynikać z awarii sprzętu, błędów ludzkich, błędów systematycznych oraz stresu operacyjnego i środowiskowego.

Punkty awarii sprzętu ICS

Awaria sprzętu pochodzi od sprzętu terenowego, czujników i instrumentów w systemie ICS. Awarie sprzętu, znane również jako awarie losowe, są powszechne. Awarie te zdarzają się z różnych powodów i mogą być spowodowane awarią podzbioru komponentów w sprzęcie, stresem operacyjnym, środowiskowym lub niewłaściwą konserwacją.

Błędy systematyczne to błędy projektowe, które mogą również wynikać z błędów w dokumentacji. Awarie sprzętu również można uznać za błędy systematyczne. Należy je jednak rozdzielić i nie traktować jako jeden.

Stres operacyjny lub środowiskowy występuje w zależności od tego, gdzie znajduje się ICS, w kontrolowanym środowisku lub w obszarze niejawnym.

Rodzaje cyberzagrożeń

Zagrożenia cybernetyczne mogą mieć charakter zewnętrzny lub wewnętrzny i zostać skategoryzowane jako celowe lub przypadkowe. Typowe zagrożenia zewnętrzne to hakerzy (profesjonalni, amatorzy lub tzw. script kiddies), konkurenci biznesowi oraz rywalizujące organizacje lub państwa narodowe. Typowe zagrożenia wewnętrzne to błędne działania, niewłaściwe zachowanie i zagrożenia wewnętrzne. (Zagrożenia środowiskowe są wyłączone z tej dyskusji).

Rysunek pokazuje, że właściwe bezpieczeństwo ICS oznacza, że zarówno bezpieczeństwo funkcjonalne, jak i cyberbezpieczeństwo muszą być spełnione i zintegrowane. Właściwe bezpieczeństwo ICS można osiągnąć, gdy oba obszary są odpowiednio uwzględnione.

Istnieje błędne przekonanie, że posiadanie oprzyrządowanego systemu bezpieczeństwa (SIS) jest wystarczające, a cyberbezpieczeństwo jest opcjonalne. Ataki mogą nastąpić na sam SIS, zagrażając bezpieczeństwu. Jednocześnie brak systemu SIS nie oznacza, że cyberbezpieczeństwo nie jest wymagane, ponieważ niezależne warstwy ochronne BPCS mogą zostać naruszone, a tym samym zagrozić bezpieczeństwu.

Trzy procesy cyklu życia bezpieczeństwa i ochrony, normy pomagające

Zarówno cykle życia bezpieczeństwa, jak i ochrony zależą od trzech procesów: analizy, wdrożenia i utrzymania.

Rządy i organizacje branżowe opracowują wytyczne i zalecenia dotyczące bezpieczeństwa i ochrony, aby to wspierać.

IEC 61508/ANSI/ISA 61511/IEC 61511 dla bezpieczeństwa funkcjonalnego. Norma IEC 61508 jest uważana za normę podstawową lub “parasolową”. ANSI/ISA 61511/IEC 61511, norma sektorowa dla przemysłu przetwórczego. W przemyśle przetwórczym norma IEC 61508 ma zastosowanie przede wszystkim do komponentów specyficznych dla danego dostawcy. Dlatego analiza bezpieczeństwa i niezawodności ICS powinna być przeprowadzana w ramach tych dwóch norm.

ANSI/ISA 61511/IEC 61511 składa się z trzech części:

  • Część 1: Ramy, definicje, wymagania systemowe, sprzętowe i dotyczące programowania aplikacji.
  • Część 2: Wytyczne dotyczące stosowania części 1.
  • Część 3: Wytyczne dotyczące określania poziomów nienaruszalności bezpieczeństwa (SIL).

Spełnienie norm 61511 może skutkować powstaniem systemu SIS lub nie, w niektórych przypadkach, w oparciu o nieodłączny projekt procesu i dostępną implementację oprzyrządowania i sterowania. Ponadto nie jest obowiązkowe stosowanie sterownika PLC bezpieczeństwa, ponieważ system SIS można również uzyskać poprzez zaprojektowanie okablowania sprzętowego. Okablowanie sprzętowe zwykle wiąże się ze złożonymi kwestiami związanymi z okablowaniem i utrzymaniem ruchu. Normy niekoniecznie zalecają stosowanie PLC bezpieczeństwa, ale PLC bezpieczeństwa ma wiele zalet, takich jak uproszczenie złożonego okablowania, łatwość konfigurowania opcji i dostępność diagnostyki w terenie.

Korzystanie z inteligentnych przyrządów i sterowników bezpieczeństwa PLC zapewnia korzyści, takie jak konserwacja predykcyjna i zapobiegawcza z wykorzystaniem metod gromadzenia danych oraz zwiększa niezawodność zakładu.

Rysunek pokazuje, że właściwe bezpieczeństwo przemysłowego systemu sterowania (ICS) oznacza, że zarówno bezpieczeństwo funkcjonalne, jak i cyberbezpieczeństwo muszą być spełnione i zintegrowane. Właściwe bezpieczeństwo ICS można osiągnąć, gdy oba obszary są odpowiednio uwzględnione.

Dzięki uprzejmości: Air Products

Pomoc w zakresie cyberbezpieczeństwa dla przemysłu przetwórczego, ogólna i szczegółowa

W zakresie cyberbezpieczeństwa dostępna jest seria norm ISA/IEC62443, które są podzielone na cztery części: część 1 – ogólna, część 2 – polityki i procedury, część 3 – system i część 4 – poziom komponentów.

Normy i wytyczne są tak dobre, jak ich wdrożenie. Normy zazwyczaj nie mają charakteru normatywnego, ponieważ niemożliwe jest uwzględnienie każdego projektu instalacji procesowej. Chociaż normy niekoniecznie są przepisami prawa, niosą ze sobą pewien poziom pewności; w związku z tym odpowiedzialność za spełnienie norm przy odpowiednim projektowaniu spoczywa na użytkownikach.

Użytkownicy końcowi są odpowiedzialni za spełnienie standardów i mają większą stawkę niż sprzedawcy.

Bezpieczeństwo funkcjonalne można osiągnąć poprzez spełnienie i utrzymanie docelowych poziomów SIL 1-4. SIL mierzy wydajność systemu w odniesieniu do prawdopodobieństwa wystąpienia awarii na żądanie (PFD). W przemyśle przetwórczym powszechnie stosuje się PFDAvg. PFH (prawdopodobieństwo awarii na godzinę) jest rzadko stosowane w przemyśle przetwórczym.

ANSI/ISA 61511/IEC 61511 wymaga od dostawców posiadania planu zarządzania bezpieczeństwem funkcjonalnym (FSM), jeśli jakikolwiek dostawca twierdzi, że jego sprzęt zapewnia bezpieczeństwo funkcjonalne. Organizacja użytkownika końcowego powinna posiadać własny FSM.

Zgodnie z ANSI/ISA 61511/IEC 61511 personel FSM pracujący nad projektem SIS musi być kompetentny. Kompetencje te można osiągnąć poprzez szkolenie zewnętrzne lub wewnętrzne.

Trzy parametry docelowe SIL

Trzy parametry mają kluczowe znaczenie dla osiągnięcia dowolnego celu SIL: ograniczenia architektoniczne, systematyczne możliwości i prawdopodobieństwo awarii.

W przypadku SIL 3 testowanie częściowego skoku może być opcją, ale spowoduje to złożone zmiany w projekcie, takie jak nowe linie obejściowe podczas testowania i złożony sprzęt do testowania częściowego skoku. Dlatego lepiej jest zająć się innymi warstwami ochrony przed rozważeniem tej opcji.

W przypadku cyberbezpieczeństwa normy określają najlepsze praktyki i zapewniają sposób oceny skuteczności zabezpieczeń. Norma IEC62443 przypisuje poziom zapewnienia bezpieczeństwa (SAL) 0-4, podobnie jak docelowe poziomy SIL. SAL zależy od siedmiu czynników, które nazywane są wymaganiami podstawowymi. Siedem czynników SAL to: kontrola dostępu, kontrola użycia, integralność danych, poufność danych, ograniczony przepływ danych, terminowa reakcja na zdarzenie i dostępność zasobów.

SIL jest policzalny, ale SAL (jeszcze) nie. Możliwe jest ilościowe określenie SAL, gdy dostępna jest wystarczająca ilość danych z różnych branż i wspólnie uzgodnione zostaną odpowiednie metody modelowania. Jednak cyberzagrożenia i intencje stale się zmieniają, a ich kwantyfikacja w najbliższym czasie może nie być możliwa.

W przypadku podejścia jakościowego SAL dobrym narzędziem jest wykres ryzyka. Firmy mogą wykorzystać dowolny istniejący wykres ryzyka bezpieczeństwa procesu lub opracować nowy dla cyberprzestrzeni.

  1. Szybka reakcja na zdarzenie: zaleca się opracowanie i przechowywanie planu reagowania kryzysowego w sterowni, aby personel obsługi miał do niego natychmiastowy dostęp.
  2. Dostępność zasobów: jest to wartość podobna do średniego czasu naprawy (MTTR) w bezpieczeństwie funkcjonalnym i musi być odpowiednio utrzymywana. Proszę przechowywać kopie zapasowe systemu i inwentaryzację sprzętu w ramach planu reagowania na incydenty.
  3. Plan odzyskiwania danych: Zaleca się posiadanie odpowiedniego planu odzyskiwania. Personel zajmujący się technologią operacyjną (OT) powinien odgrywać kluczową rolę w opracowywaniu planów odzyskiwania, ponieważ personel zajmujący się technologią informacyjną (IT) zazwyczaj nie posiada funkcjonalnej wiedzy na temat instalacji ICS. Rolę tę może pełnić MŚP (ekspert merytoryczny) w dziedzinie OT.

Właściciele muszą prowadzić odpowiednie rejestry testów i procedury konserwacji, ponieważ bezpieczeństwo ICS jest cyklem życia aż do wycofania projektu z eksploatacji.

Niemożliwe jest osiągnięcie 100% bezpieczeństwa i ochrony, ale możemy próbować.


Sunil Doddi, starszy główny inżynier ds. kontroli procesów w Air Products, jest certyfikowanym specjalistą ds. automatyki, certyfikowanym ekspertem ds. bezpieczeństwa funkcjonalnego i specjalistą ds. podstaw cyberbezpieczeństwa.