Zrozumienie interakcji pomiędzy funkcjami i systemami bezpieczeństwem a cyberbezpieczeństwem w aplikacjach sterowania procesami przemysłowymi jest niezwykle ważne. Tylko takie podejście pozwala na podejmowanie lepszych decyzji o znaczeniu ogólnym dla całej firmy.
Każdy proces produkcyjny niesie ze sobą nieodłączne zagrożenia. Aby osiągnąć najwyższy stopień bezpieczeństwa i cyberbezpieczeństwa, niezbędne jest wdrożenie skutecznej separacji systemów sterowania procesami i systemów bezpieczeństwa, co jest wymagane dla zachowania zgodności z normami bezpieczeństwa funkcjonalnego i cyberbezpieczeństwa. Stawka jest bardzo wysoka ze względu na istniejące zagrożenia dla zdrowia pracowników, zasobów firmy oraz środowiska naturalnego.
Dla lepszego zrozumienia interakcji pomiędzy bezpieczeństwem a cyberbezpieczeństwem pomocne będzie wyjaśnienie kilku terminów. Istnieje bowiem wiele definicji bezpieczeństwa. Definicją ogólną bezpieczeństwa jest brak zagrożeń. Oznacza to, że warunki są uznawane za bezpieczne, gdy nie ma niebezpieczeństwa. Często nie jest możliwe wyeliminowanie wszystkich potencjalnych zagrożeń, szczególnie w złożonych systemach.
Bardziej rozpowszechnioną definicją bezpieczeństwa jest brak nieakceptowalnych zagrożeń. Zmniejszanie zagrożeń do akceptowalnego poziomu jest zadaniem systemów bezpieczeństwa funkcjonalnego. Bezpieczeństwo danej aplikacji zależy od funkcji odpowiadającego jej systemu technicznego, takiego jak sterownik bezpieczeństwa. Jeśli system ten spełnia swoją funkcję zabezpieczającą, to aplikacja ta jest uważana za funkcjonalnie bezpieczną.
Można to wyjaśnić na dwóch następujących przykładach. Ropa naftowa wypływająca z rurociągu i narażająca na niebezpieczeństwo ludzi przebywających w pobliżu jest problemem związanym z bezpieczeństwem. System, który nie potrafi zapobiec oblodzeniu rurociągu, nawet gdy oczekuje się od niego realizacji tego zadania, i powodujący w ten sposób powstanie sytuacji krytycznej, jest problemem związanym z bezpieczeństwem funkcjonalnym. Systemy bezpieczeństwa funkcjonalnego chronią ludzi, zakłady i środowisko, a ich przeznaczeniem jest zapobieganie wypadkom oraz eliminacja przestojów sprzętu lub systemów.
Oddzielne warstwy zabezpieczeń zmniejszają zagrożenia
W branży przemysłu procesowego wzrasta świadomość znaczenia odpowiednich standardów i norm bezpieczeństwa systemów. Norma techniczna PN-EN IEC 61511, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego (Functional safety – Safety instrumented systems for the process industry sector) definiuje najlepszy sposób zmniejszania ryzyka wystąpienia wypadków i przestojów. Opisuje ona zarówno oddzielne warstwy zabezpieczeń dla sterowania i monitoringu, zapobiegania i powstrzymywania, jak i procedury reagowania w przypadku awarii (rys. 1). Każda z tych trzech warstw zapewnia specyficzne funkcje zmniejszania ryzyka, wszystkie zaś wspólnie łagodzą zagrożenia wynikające z całego procesu produkcyjnego.
Norma PN-EN IEC 61511 ponadto zaleca niezależność, różnorodność i fizyczną separację każdej warstwy zabezpieczeń. Aby spełnić te wymagania, funkcje różnych warstw muszą być dostatecznie niezależne od siebie. Nie wystarcza zastosowanie różnych modułów We/Wy dla tych warstw, ponieważ systemy automatyki są także zależne od funkcji w systemach magistrali We/Wy, jednostkach centralnych CPU i oprogramowaniu.
Aby były uważane za autonomiczne, zgodnie z normą PN-EN IEC IEC 61511 warstwy zabezpieczeń, systemy bezpieczeństwa i systemy sterowania procesami muszą być oparte na różnych platformach oraz fundamentach i zasadach deweloperskich. Mówiąc wprost, oznacza to, że architektura systemu musi zasadniczo być zaprojektowana tak, aby żaden komponent na poziomie systemu sterowania procesem lub na poziomie bezpieczeństwa nie mógł być użyty jednocześnie.
Rosnące ryzyko
W ciągu ostatnich 10 lat zagrożenie cyberatakami na systemy przemysłowe wzrosło z powodu postępującej digitalizacji. Poza narażeniem na niebezpieczeństwo informacji ataki te coraz bardziej stwarzają bezpośrednie zagrożenie bezpieczeństwa systemów. Dlatego też operatorzy tych systemów muszą być świadomi zagrożeń i im przeciwdziałać. Może to być zrealizowane na różne sposoby. W odróżnieniu od systemów bezpieczeństwa funkcjonalnego, których przeznaczeniem jest ochrona ludzi, systemy ochrony cyberbezpieczeństwa zabezpieczają techniczne systemy informatyczne zarówno przed zamierzoną lub niezamierzoną manipulacją, jak i przed atakami, których celem jest zakłócenie procesów produkcyjnych lub kradzież tajemnic przemysłowych.
Bezpieczeństwo procesów i ludzi oraz cyberbezpieczeństwo coraz bardziej się zazębiają. Cyberbezpieczeństwo odgrywa kluczową rolę, szczególnie dla systemów zorientowanych na bezpieczeństwo, ponieważ stanowi ostatnią linię obrony przed potencjalną katastrofą.
Standardy i normy definiują platformę
Zachowanie zgodności z międzynarodowymi standardami i normami jest konieczne w projektowaniu, działaniu i specyfikacji sterowników bezpieczeństwa. Norma PN-EN IEC 61508, Bezpieczeństwo Funkcjonalne (Functional Safety) jest podstawowym standardem dla systemów bezpieczeństwa, które mają zastosowanie dla wszystkich systemów zorientowanych na bezpieczeństwo (elektrycznych, elektronicznych oraz programowalnych urządzeń elektronicznych). PN-EN IEC 61511 jest podstawową normą dla przemysłu procesowego i jednoznacznie definiuje kryteria dla doboru komponentów funkcji bezpieczeństwa.
Musi być także wzięta pod uwagę seria standardów cyberbezpieczeństwa zawartych w normie PN-EN IEC 62443 – Bezpieczeństwo w systemach sterowania i automatyki przemysłowej, dotyczącej zabezpieczeń informatycznych (IT) w sieciach i systemach. Norma ta określa system zarządzania dla bezpieczeństwa sieci informatycznych, oddzielne warstwy zabezpieczeń z wzajemnie niezależnymi funkcjami operacyjnymi i zabezpieczenia oraz środki zapewniające bezpieczeństwo sieci IT w ciągu całego cyklu życia systemu. Ponadto wymaga ona oddzielnych stref dla sieci biurowej (przedsiębiorstwa), sterowni, przyrządowego systemu bezpieczeństwa (safety instrumented system – SIS) oraz podstawowego systemu sterowania procesem (basic process control system – BPCS). Każdy z tych elementów musi być zabezpieczony za pomocą firewalla w celu zapobiegania nieautoryzowanemu dostępowi (rys. 2).
Cyberbezpieczeństwo jako element projektu
Bezpieczeństwo i cyberbezpieczeństwo są blisko związanymi ze sobą aspektami systemów procesowych, które należy rozważać zarówno osobno, jak i jako całość.
Standaryzowany sprzęt i oprogramowanie w systemach sterowania procesami wymagają regularnych modernizacji i aktualizacji w celu usuwania słabych punktów w oprogramowaniu i systemie operacyjnym. Jednak złożoność architektury oprogramowania czyni trudnym lub niemożliwym ocenę ryzyka na drodze analitycznej, co może być wynikiem np. aktualizacji systemu. Aktualizacje systemu sterowania procesami mogą wpłynąć na funkcje systemu bezpieczeństwa zintegrowanego z systemem sterowania.
Aby uniknąć krytycznych błędów wynikających z aktualizacji systemów sterowania, wraz z nieprzewidywalnymi ich konsekwencjami w procesach mających związek z bezpieczeństwem, system sterowania procesami musi być technologicznie oddzielony od systemu bezpieczeństwa. Dla uzyskania efektywnego cyberbezpieczeństwa nie wystarczy zmodernizować istniejący system poprzez wyposażenie go w dodatkową funkcjonalność oprogramowania. Każde rozwiązanie bezpieczeństwa funkcjonalnego musi być stworzone i opracowane już od samego początku, z uwzględnieniem elementów cyberbezpieczeństwa. Odnosi się to w równej mierze do oprogramowania układowego, jak i użytkowego.
Przykładem efektywnego zabezpieczenia jest firmowy system operacyjny, zaprojektowany jako dedykowany dla aplikacji zorientowanych na bezpieczeństwo oraz do uruchamiania na autonomicznych sterownikach bezpieczeństwa. Obejmuje on wszystkie funkcje sterowników bezpieczeństwa PLC i wyłącza wszystkie inne funkcje, sprawiając, że jest odporny na typowe ataki na systemy informatyczne. Jednostka centralna CPU i procesor komunikacyjny muszą być oddzielne ze względu na bezpieczeństwo operacyjne, nawet w przypadku ataku skierowanego na procesor komunikacyjny.
Sterowniki pozwalają na obsługę kilku fizycznie odseparowanych od siebie sieci przez pojedynczy procesor komunikacyjny lub moduł procesora. Zapobiega to bezpośredniemu dostępowi do sieci automatyki z podłączonej deweloperskiej stacji roboczej. Dodatkowo nieużywane interfejsy mogą być wyłączane indywidualnie.
Wspólną cechą standardów dla przemysłu procesowego i cyberbezpieczeństwa jest wymagana separacja systemów SIS i BPCS. Ta niezależność systemów bezpieczeństwa jest dobrym pomysłem z praktycznego i ekonomicznego punktu widzenia. Systemy SIS i BPCS mają na przykład bardzo różne cykle życia i wskaźniki zmiany. W efekcie operatorzy systemów mogą dowolnie wybierać najlepsze w swojej klasie rozwiązania pochodzące od różnych producentów.
Systemy niezależne od technologii procesu, które mogą być zintegrowane z systemami sterowania procesami pomimo fizycznej separacji, oferują najwyższy stopień bezpieczeństwa i cyberbezpieczeństwa dla aplikacji krytycznych. Są najlepszym sposobem zwiększenia niezawodności operacyjnej i dyspozycyjności systemów procesowych. Ponadto zwiększają ogólną rentowność procesu produkcyjnego.
Alexander Horch jest szefem działu badawczo-rozwojowego oraz działu zarządzania produktem w firmie HIMA Paul Hildebrandt.
