Trzy strefy bezpieczeństwa – czy wystarczą?

Dennis Brandl prezes BR&L Consulting

Pojawienie się ostatnich poprawek (patch) Microsoftu uzmysławia nam, że najwyższy już czas zakratować okna i zabarykadować drzwi naszych fabryk. Microsoft nie jest jedynym dostawcą technologii, który boryka się z problemami bezpieczeństwa. Dziury bezpieczeństwa dotyczą praktycznie każdego dostawcy i każdego produktu, włączając: Linuxa, przeglądarkę Firefox, bazy danych Oracle, serwery Cisco oraz produkty Sun Java Web Proxy Server. Amerykański instytut zajmujący się bezpieczeństwem systemów informatycznych, na stronie www.ciac.org/ciac publikuje listę najświeższych „słabostek”.

"Choć nie każdy system sterowania procesami wymaga definiowania najwyższego stopnia zabezpieczeń, to jednak każdy system wymaga choćby minimalnego stopnia zabezpieczeń"

Ostatnie ataki pokazały, że wtargnięcia poprzez Internet osiągnęły nowy poziom zaawansowania. Cyber-kryminaliści wykorzystują gotowe pakiety oprogramowania do: hackowania i/lub rozsiewania wirusów, spoo-fingu (wykorzystanie czyjegoś adresu e-mail w celu przesyłania wirusów wraz z wiadomościami), przekierowywania serwerów oraz komputerów zombie (zainfekowany komputer PC, który jest kontrolowany przez włamywacza) do wykonywania swojej wrednej roboty. 

„Skróty myślowe”

Sieć sterowania – chodzi o łącza służące do zdalnego sterowania procesami, urządzeniami i przesyłu danych telemetrycznych z urządzeń.

Sieć korporacyjna – rozumiana jest jako sieć informatyczna wykorzystywana w pozostałych zastosowaniach, głównie biurowych i biznesowych.

Dotychczas większość ataków dokonywana była na instytucje finansowe, ale przestępstwa informatyczne w przemyśle oraz cyber-terroryzm powoli stają się rzeczywistością. Kradzież własności intelektualnej w przemyśle wzrasta, zwłaszcza w krajach, gdzie nie ma jeszcze silnej ochrony prawnej własności intelektualnych, szczególnie europejskich i amerykańskich. Ataki w sieci stają się łatwiejsze do realizacji i trudniejsze do wykrycia. 
Stając w obliczu coraz większego zagrożenia, należy szczególnie silnie chronić posiadane zasoby produkcyjne. Brytyjska organizacja  NISCC (National Infrastructure Security Co-ordination Centre – Narodowe Centrum Koordynowania Bezpieczeństwa Infrastruktury) opublikowała w lutym 2005 roku raport: „Wdrażanie zapory ogniowej dla systemów SCADA i sieci sterowania procesami” („Firewall Deployment for SCADA and Process Control Net-works”, który jest nieocenioną pomocą w zabezpieczaniu systemów. Raport dostępny jest w sieci pod adresem www.niscc.gov.uk/niscc/docs/re-20050223-00157.pdf. Przedstawia on kilka konfiguracji sieciowych z użyciem routerów i zapór ogniowych, ukazując zalety i słabości różnych podejść, jak też zasady konfigurowania zapór.
Choć nie każdy system sterowania procesami wymaga definiowania najwyższego stopnia zabezpieczeń, to jednak każdy system wymaga choćby minimalnego stopnia zabezpieczeń. Autorzy raportu wskazują, że te sieci, które nie są wyposażone w firewall, w zasadzie nie umożliwiają wystarczającej izolacji pomiędzy siecią sterowania a siecią korporacyjną, włączając w to sieci VLAN (Virtual LAN) oraz routery oddzielające w sieci zadania telesterowania i korporacyjne.
Jako najlepsza praktyka w raporcie rekomendowane jest podejście oparte na trzech strefach, wykorzystujące podwójne ściany ogniowe ze strefą zdemilitaryzowaną (ang. DMZ – Demilitarized Zone) pomiędzy siecią korporacyjną i siecią sterowania procesami. Jedna zapora zabezpiecza systemy HMI, PLC i DCS przed niechcianym dostępem z zewnątrz. Ponad zaporą systemów sterowania znajduje się „strefa zdemilitaryzowana” (DMZ), która zawiera dane historyczne i bazy danych ogólnego dostępu.
Druga zapora ogniowa oddziela DMZ od sieci korporacyjnej. Nie ma bezpośredniego dostępu pomiędzy dwoma sieciami, wszelka komunikacja odbywa się poprzez aplikacje serwera w DMZ. Aplikacje DMZ to zwykle: bazy danych SQL, dane historyczne oraz aplikacje do planowania i raportowania. Dzięki temu uzyskuje się najbardziej bezpieczne środowisko ograniczające możliwość ataków ze strony korporacyjnej, zachowując skuteczność i prędkość działania sieci sterowania, jednocześnie zabezpieczając sieć korporacyjną przed infekcjami ze strony sieci sterowania. 
Korporacyjny firewall bezwzględnie blokuje pakiety przed dostaniem się do DMZ lub sieci sterowania, a firewall sieci sterowania zabezpiecza przed komunikacją z niezabezpieczonych serwerów do sieci sterowania. Jednocześnie ruch w sieci sterowania jest zabezpieczony przed wpływem na serwery w DMZ. Raport NISCC co prawda nie porusza tego tematu, ale warto dodać, że aplikacje MES oraz przetwarzanie wsadowe powinno być realizowane w sieci sterowania, z MES i logami odtwarzania baz danych w DMZ. 
Podejście trzech stref ma dodatkową zaletę ograniczonej liczby aplikacji w DMZ, które muszą być aktualizowanie poprawkami oraz zabezpieczeniami antywirusowymi. Większość takich aplikacji to produkty komercyjne, dlatego nie są specjalizowane do zastosowań w automatyce, są łatwiejsze do testowania i walidacji na poprawki oraz aktualizacje baz wirusów.  
Dennis Brandl jest prezesem BR&L Consulting, firmy konsultingowej w Cary w USA. dbrandl@brlconsulting.com  
Artykuł pod redakcją Andrzeja Sobczaka