Wybierając urządzenia z kręgu automatyki przemysłowej musimy kierować się nie tylko ceną i kompatybilnością, ale mieć na uwadze cyberbezpieczeństwo?
Prześledźmy ten temat na przykładzie przełączników sieciowych. Zacznijmy od najprostszego i najważniejszego ich podziału.
- Switche niezarządzalne ? bardzo proste urządzenia, które działają od razu po wyjęciu z pudełka i podłączeniu zasilania. Służą najczęściej do rozszerzenia sieci Ethernet o dodatkowe porty.
- Switche zarządzalne ? w podstawowym wariancie działają na takiej samej zasadzie jak switche niezarządzalne tzn. w oparciu o przełączanie ramek ethernetowych. Posiadają jednak dodatkowe funkcje konfiguracji i ustawień.
Niestety, w praktyce ich wdrażanie nie wygląda zbyt optymistycznie, bo prawdopodobnie aż 1/3 firm nie wie jakiego rodzaju switchy używa lub stosuje głównie niezarządzalne. Wiemy o tym, bo sierpniu 2021 udostępniliśmy anonimową checklistę bezpieczeństwa. 130 respondentów z sektora OT pozwoliło nam stworzyć analizę stanu bezpieczeństwa polskiego przemysłu. Cieszy za to fakt, że kolejna 1/3 firm deklaruje, że używa wyłącznie urządzeń zarządzalnych, a reszta także korzysta z nich, przynajmniej w większości.
Wybór przełącznika, a (cyber)bezpieczeństwo sieci przemysłowej
Powiedzmy wprost: w przypadku switchy niezarządzalnych nie można w ogóle mówić o bezpieczeństwie!
Urządzenia są bardzo proste i nie są w stanie zabezpieczyć sieci nawet przed powstawaniem pętli (switche zarządzalne posiadają taki mechanizm). W przypadku aplikacji o wymaganej wysokiej dostępności (czyli m.in. tych przemysłowych) switche zarządzalne umożliwią zbudowanie redundantnych połączeń i ograniczą ruch broadcastowy, co zminimalizuje skutki pętli.
Jeśli sieć oparta jest o switche niezarządzalne, nie mamy możliwości odizolowania od siebie różnych procesów technologicznych ? każdy może komunikować się z każdym. Niesie to ryzyko w razie nieautoryzowanego dostępu ? atakujący będzie miał dostęp z każdego miejsca do wszystkich urządzeń w sieci. W tym zakresie switche zarządzalne umożliwiają konfigurację wirtualnych sieci lokalnych (VLAN), co pozwala odizolować proces A od procesu B
Switche zarządzalne zabezpieczają sieć przed nieautoryzowanym dostępem. Te od wiodących na rynku producentów pozwalają konfigurować różne typy zabezpieczeń, np.:
- Port Security, czyli prostą funkcję, która umożliwia komunikację na danym porcie fizycznym przełącznika tylko zaufanym adresom MAC.
- Możliwość wyłączenia nieużywanych portów.
- Bardziej zaawansowany i uniwersalny mechanizm, czyli listę kontroli dostępu (ang. ACL = access control list). To spis zdefiniowanych instrukcji zezwoleń lub zakazów, który jest wykonywany sekwencyjnie ? od góry do dołu. Instrukcje zawierają informacje o adresach IP lub adresach MAC, co do których jest podejmowana decyzja o przepuszczeniu, bądź odrzuceniu.
- Standard IEEE 802.1X, który oferuje obsługę scentralizowanej identyfikacji użytkowników. W celu zastosowania protokół 802.1X wymaga kompatybilnych przełączników sieciowych (switchy) oraz mechanizmu uwierzytelniającego.
Przełączniki sieciowe mają wiele funkcji, które można skonfigurować, aby zwiększyć bezpieczeństwo samego urządzenia oraz zabezpieczyć dostęp do sieci. Które wybrać? Dobrym wyznacznikiem jest norma IEC 62443, a dokładniej część IEC 62443-4-2.
Czym jest IEC 62443?
W dużym uproszczeniu to zbiór standardów, mających na celu zabezpieczenie automatyki przemysłowej przed cyberatakiem i jego konsekwencjami. Jest to bardzo kompleksowa norma i zapoznanie się ze wszystkim jej zapisami i będzie czasochłonne.
Na szczęście ta analiza nie spoczywa na nas, a na producencie. Naszym zadaniem będzie zweryfikowanie czy on i jego urządzenie posiadają stosowny certyfikat.
Uproszczony model doboru komponentu możemy oprzeć o dwa zagadnienia:
- Część IEC 62443-4-1: Bezpieczeństwo producenta: czy wdrażane są polityki cyberbezpieczeństwa podczas tworzenia produktów?
- Część IEC 62443-4-2: Bezpieczeństwo komponentu: czy urządzenie, które chcemy wykorzystać, zapewnia funkcjonalności pozwalające je odpowiednio zabezpieczyć przed nieautoryzowanym dostępem/atakiem?
To nie wszystko?
Sama zgodność z IEC 62443-4-2 to nie koniec procesu. Na tym etapie powinniśmy również dopytać (dystrybutora/producenta), do jakiego poziomu bezpieczeństwa (Security Level) pozwalają one zabezpieczyć nasz system. Punktem wyjścia dla przemysłu jest poziom drugi, czyli ochrona przed celowym nadużyciem za pomocą prostych środków ataku (wszelkich naruszeń uprawnień lub dostępu do urządzeń). W skrócie: poziom pierwszy definiować będzie ataki przypadkowe a trzeci i czwarty te z użyciem wyrafinowanych metod.
Informacji należy szukać u źródła: u producentów i dystrybutorów sprzętu. Możemy również posiłkować się stronami towarzystw certyfikacyjnych (np. isasecure.org.), do czego serdecznie zachęcam.
Tomasz Sokół, Elmark Automatyka S.A.
