Wszystkie urządzenia w zakładzie produkcyjnym wymagają cyberbezpieczeństwa, ponieważ przesyłają dane przez Internet, a wybór odpowiedniej architektury sieci i technologii ma kluczowe znaczenie.
Cyberbezpieczeństwo stanie się ważnym tematem w technologiach komunikacji przemysłowej, podobnie jak w IT od wielu lat: łączność wymagana przez Internet rzeczy (IoT) i koncepcje Industrie 4.0 oznacza, że inżynier sterowania również będzie musiał zająć się tym tematem. Kiedy i w jakim stopniu zależy to przede wszystkim od dwóch decyzji: jak wygląda architektura sieci i jaka technologia sieciowa jest używana.
Znaczenie modeli architektury
Jeśli chodzi o architekturę, do tej pory dobrze sprawdzał się model hierarchiczny.
Sieć sterowania w czasie rzeczywistym – magistrala polowa na poziomie sterowania, do której podłączone są wejścia/wyjścia (I/O) i napędy – jest oddzielona przez sterownik od systemów komunikacyjnych wyższego poziomu i sieci instalacji. Sterownik dostarcza i warunkuje dane procesowe wymagane przez systemy wyższego poziomu, a także reguluje dostęp do urządzeń niższego poziomu, takich jak węzły we/wy.
Kontroler działa jako zapora cyberbezpieczeństwa dla sieci bazowej i przekształca nieprzetworzone dane z poziomu I/O w znaczące informacje. Przesyłanie danych bezpośrednio z czujnika do chmury ma sens tylko w niektórych wybranych przypadkach. Na przykład, użytkownik nie może wiedzieć bez dodatkowych informacji, czy temperatura silnika 85°C jest w porządku, czy zbyt wysoka. W wielu przypadkach silnik o tym wie, ponieważ zależy to od aplikacji i bieżącej sytuacji. Z drugiej strony sterownik może dodatkowo poinformować usługę chmury operatora, czy aktualna temperatura silnika jest akceptowalna.
W przypadkach, w których pożądane jest dostarczanie nieprzetworzonych danych – na przykład przez producenta silnika, który chce sprawdzić, czy silnik jest obsługiwany zgodnie ze specyfikacjami – użytkownik powinien mieć możliwość podjęcia decyzji o zezwoleniu na to lub nie. Jest to znacznie łatwiejsze do zrobienia w sterowniku niż w każdym czujniku lub urządzeniu.
Dla niektórych architektura hierarchiczna jest jednak przestarzała. Żądają oni pełnego dostępu do jednej sieci od “dołu do góry”. Jest to również uzasadnienie dla żądania tej samej technologii sieciowej poniżej kontrolera, co powyżej – nie powinno być więcej “poniżej” i “powyżej”. Choć kuszące, podejście to wiąże się z wieloma problemami dotyczącymi odpowiedzialności, niezależnej wydajności sieci sterowania, powielania adresów i kosztów. Ryzyko cyberbezpieczeństwa wzrasta, gdy węzły I/O, czujniki sieciowe i napędy są widoczne i dostępne w sieci zakładu i poza nią. Użytkownicy nie muszą nawet zakładać celowych ataków: Nawet przypadkowa zmiana parametrów na niewłaściwym urządzeniu może mieć daleko idące konsekwencje.
Unikanie przemysłowych sieci Ethernet opartych na przełącznikach, protokół internetowy
W tym nowym, wspaniałym świecie wszystkie urządzenia muszą posiadać zabezpieczenia cybernetyczne. Oznacza to certyfikaty na każdym urządzeniu wejścia/wyjścia. Certyfikaty tracą jednak ważność po pewnym czasie i muszą być aktualizowane. Bezpieczeństwo wymaga dodatkowej mocy obliczeniowej i pamięci na urządzeniach, co prowadzi do wzrostu kosztów. Spełnienie wymagań bezpieczeństwa w tej architekturze oznacza, że inżynierowie kontroli muszą zbudować know-how w zakresie cyberbezpieczeństwa.
Wybór technologii sieciowej odgrywa kluczową rolę. W przypadku przemysłowych rozwiązań Ethernet opartych na przełącznikach, każde urządzenie musi być chronione cybernetycznie, zwłaszcza jeśli technologie są w pełni lub częściowo oparte na protokole internetowym (IP). Z drugiej strony EtherCAT nie jest oparty na przełącznikach ani nie opiera się na protokole IP: protokół EtherCAT jest wbudowany w ramkę Ethernet.
Ponieważ prawie wszystkie cyberataki wymagają protokołu IP do routingu, w przypadku EtherCAT cyberataki nie są możliwe. Co więcej, chipy EtherCAT odfiltrowują sprzętowo ramki inne niż EtherCAT, a z zasady urządzenia EtherCAT nie mogą zostać przekonane do fałszowania danych, które nie są dla nich przeznaczone, nawet przez skompromitowane oprogramowanie układowe. Porty EtherCAT, które nie są używane, można wyłączyć sprzętowo.
EtherCAT jest dobrze chroniony i nie są wymagane żadne dodatkowe środki cyberbezpieczeństwa poza tymi, które są wymagane do wzmocnienia sterownika zgodnie z branżowymi standardami cyberbezpieczeństwa. W związku z tym do obsługi przemysłowej sieci Ethernet EtherCAT nie jest wymagana znajomość certyfikatów ani cyberbezpieczeństwa. Dzięki sieci EtherCAT cyberbezpieczeństwo nie jest zagrożone.
Martin Rostan jest dyrektorem wykonawczym EtherCAT Technology Group.
