Wiele aspektów, jeden cel

Ochrona danych w systemach automatyki i sterowania sprowadza się do oceny  ryzyka, co ma wpływ na politykę i procedury w firmach – tak samo technologia.
Życie nie jest celem, ale drogą – jak twierdzą najwięksi filozofowie. Jak okazuje się, tak samo jest z bezpieczeństwem. Podobnie jak w życiu okoliczności towarzyszące środkom bezpieczeństwa zmieniają się dynamicznie. Sytuacja zmienia się stale, a zatroskani o bezpieczeństwo inżynierowie od automatyki i sterowania muszą być na bieżąco ze zmianami. Obecnie – w świecie zagrożonym terroryzmem, komputerowymi wirusami, sporami oraz naruszaniem prywatności – jak nigdy dotąd nabiera to większego znaczenia. – Zagrożenia dla bezpieczeństwa pochodzą z różnych źródeł – mówi Kim Fenrich, menedżer produktów systemowych w firmie ABB Inc. – Pochodzą począwszy od wewnętrznych przypadków do przenikania wirusów oraz ataków złośliwych hakerów. W ubiegłych latach badania pokazywały, iż większość szkód spowodowali użytkownicy wewnętrzni, lecz trend ten zmienił się. Zagrożenie zaczyna się w różnych miejscach. Są to automatyczne ataki z zewnątrz. Firmy muszą zrozumieć, że ataki są możliwe i należy wdrażać: politykę bezpieczeństwa, procedury i procesy jako dodatek do osprzętu i oprogramowania, aby zmniejszyć ryzyko. 
Stworzenie efektywnych zabezpieczeń dla interfejsów HMI komponentów, z którymi współpracują i sieci, w której działają, wymagają wysiłku w wielu aspektach i na wielu płaszczyznach. Wysiłek ten musi być skupiony na ludziach związanych z polityką i poszczególnymi procesami, jak również musi być skupiony na technologii związanej z osprzętem i oprogramowaniem.  
Sprawa do rozważenia
– W sprawie bezpieczeństwa ocena ryzyka jest najważniejsza – mówi Roy Kok, dyrektor marketingu produktów HMI/SCADA w firmie GE Fanuc Automation. – Musisz zrozumieć swoje słabości – a jesteś ruchomym celem. Jeśli tylko wzmocnisz lub wprowadzisz nowe produkty do swojego systemu, musisz ponownie ocenić poziom bezpieczeństwa. Rzeczywistość może szybko i łatwo zmieniać się w połączonym świecie Ethernetu.
Problem bezpieczeństwa jest sprawą wyważenia ryzyka i potrzeb. Jak duże ryzyko może dopuszczać dana operacja? Jakim kosztem? Układy otwarte w środowisku Microsoft Windows powodują, że dostęp do informacji jest łatwy, a układy te są podatne na zagrożenia nawet wtedy, gdy różne firmy pracują jednocześnie nad wprowadzaniem zabezpieczeń i pomagają użytkownikom w rozwiązywaniu problemów. Dodatkowo, rozprzestrzenianie się Ethernetu spowodowało zwiększenie ryzyka dla sieci, systemów i HMI. Jak zatem w takiej rzeczywistości powinni zachować się inżynierowie?
– Zacznij więc od określenia, kto i jaki zespół zajmuje się sprawami bezpieczeństwa – zaleca Andy Bedingfield, inżynier elektryk z firmy Soltus, firmy usług inżynieryjnych. – Zapytaj, jakie do tej pory  zostały zastosowane elementy i ulepszenia w systemie bezpieczeństwa. Sprawdź też, jakie ewentualnie dalsze problemy z ochroną może mieć firma. Po drugie, spróbuj ocenić, jakie mogą wystąpić typowe zagrożenia. Zautomatyzowany system ma inne problemy, niż sterowany ręczne. Po trzecie, opisz konsekwencje na wypadek przerwania zabezpieczenia. Wtedy oszacuj koszty ewentualnych strat. 

HMI można fizycznie zabezpieczać w kontrolowanym pomieszczeniu, do którego mają dostęp osoby z odpowiednim identyfikatorem (zdjęcie dzięki ABB)
– Kiedy oceniamy bezpieczeństwo – wyjaśnia Marilyn Guhr, menedżer marketingu w dziale serwisu firmy Honeywell – analizujemy i sprawdzamy, co dzieje się u klientów w sieciach sterowania i nadzoru, szczególnie w tych z otwartymi węzłami. Należą tu także interfejsy HMI. Zapewniamy udokumentowany raport zagrożeń, które zaobserwowaliśmy wraz z zaleceniami i najlepszymi rozwiązaniami usunięcia lub złagodzenia słabych stron. Określenie, jakie jest dopuszczalne ryzyko dla firmy, należy ostatecznie do klienta.
W niektórych przypadkach środki bezpieczeństwa muszą być określone ostrożnie. Kevin Staggs, planista do spraw rozwiązań systemów sterowania w firmie Honeywell zaleca uprzednie sprecyzowanie, co zrobi system, gdy zaloguje się operator. – Dostarczamy systemy z próbkami skryptów logowania, które prekonfigurują komputer lub uruchamiają wstępnie aplikacje, które sąprzeznaczone tylko do użytku operatora. Operator nie ma pozwolenia na uruchamianie innych aplikacji.

Technologie biometryczne, takie jak czytniki odcisków palców, mogą poprawić bezpieczeństwo HMI/SCADA i być wygodniejsze niż hasła (zdjęcie dzięki GE Fanuc)

– W procesie przetwarzania danych przez HMI, nie chcesz takich rzeczy, jak np. automatycznie startujące wygaszacze ekranów, pojawiające się wówczas, gdy operator właśnie używa systemu – ostrzega Staggs. – Operator w każdej chwili musi obserwować zachodzące procesy. Nawet zwykłe praktyki, takie jak ciągłe wpisywanie hasła, mogą doprowadzić do sytuacji, w której operator nie będzie miał podglądu, gdy zajdzie taka potrzeba. W krytycznym momencie nie możesz przypomnieć sobie hasła, bo jesteś zaskoczony sytuacją i zdenerwowany, a jest to sytuacja, której chcesz zawsze uniknąć. W związku z tym, że hasło użytkownika może niekiedy nie być bezpieczne, jak wymaga tego polityka bezpieczeństwa firmy, dlatego system operacyjny musi być całkowicie zablokowany dla takich nieautoryzowanych modyfikacji. 
W innych okolicznościach połączone systemy wymagają większej ochrony. – Interfejsy HMI są obecnie bardzo złożone – zauważa Rami Al-Ashqar, kierownik produktu w firmie Bosch Rexroth Electric Drives and Controls. – Z powodu wielu operacji, które  wykonują urządzenia HMI, wymagają one zabezpieczenia tych operacji. Niepowołana osoba – wobec braku odpowiednich zabezpieczeń – może spowodować znaczne uszkodzenia. Technika musi współpracować z systemami informatycznymi IT – w celu zablokowania informacji dla tych, którzy nie powinni mieć dostępu do nich z jednoczesnym dostępem dla osób uprawnionych. Pomocą służą działy informatyczne i z wiedzy fachowców należy skorzystać. Powinno to leżeć w interesie obydwu stron. 


Dostęp na podstawie odcisków palców (na dole po lewej) lub czytniki kart magnetycznych (na dole po prawej) zastosowane w monitorze HMI (na górze) mogą przyspieszyć proces logowania, zapewniając autentyczność i eliminując potrzebę zapamiętywania i zmieniania haseł (zdjęcie dzięki Elo TouchSystems)

Znaczenie polityki
Najsłabszym ogniwem w jakiejkolwiek czynności jest czynnik ludzki. Zabezpieczenia nie są tu wyjątkiem. Najważniejszą sprawą jest ustalenie planu zabezpieczeń i wdrożenie go w życie. Należy ustalić standard, konsekwentną metodę w firmie oraz upewnić się, że każdy z pracowników to rozumie.
Określanie bezpieczeństwa

Mając zdefiniowane hasło wielopoziomowe, użytkownik ma dostęp tylko do określonych miejsc w sieci. Operator posiada prawa, aby uruchomić i zatrzymać dane obiekty, np. zbiornik biorący udział w procesie obróbki w fabryce (zdjęcie dzięki Wonderware)
Następnie należy stworzyć dokumentację, która określałaby dalszy plan postępowania. Gdzie znajdują się słabe punkty? Jak można je wyeliminować? Wiele zwykłych problemów z bezpieczeństwem wiąże się z personelem:
Błąd przy wgrywaniu i aktualizowaniu zabezpieczeń antywirusowych. Program nie zapewnia odpowiedniej ochrony, jeśli nie jest odpowiednio często aktualizowany.
Niewystarczające zarządzanie systemem dotyczącym zmiany haseł. Łatwe do przewidzenia i niezmieniane hasła są łatwe do pokonania. – Używaj trudnych haseł – twierdzi i przekonuje Kok z GE Fanuc. – Należy stosować takie, które będzie trudno zapamiętać i które nie będą czułe na przypadkowe złamanie zawierające litery i cyfry.
Problemy z obserwowaniem i przyswajaniem na bieżąco ścieżek bezpieczeństwa w programie Microsoftu. Częste i powszechne ścieżki dostępu muszą być sprawdzane i weryfikowane – muszą zostać upoważnione – zanim zostaną zainstalowane do układu automatycznego sterowania. 
Błąd w zaimplementowaniu/obsługa ścian przeciwpożarowych.
–Ściana przeciwpożarowa jest jak rura z dużą ilością zaworów – mówi Rashesh Mody, główny technolog i wiceprezes ds. definiowania produktów w firmie Wonderware. – Możesz otworzyć lub zamknąć tak dużo zaworów, jak chcesz. Jeśli wszystkie są otwarte, otrzymasz taki przepływ informacji, jaki zechcesz.
Komórki informatyczne stoją na czele działów automatyki i sterowania, gdy dochodzi do zajęcia się sprawami zabezpieczeń, kontynuuje Mody: – Wykorzystaj doświadczenie działu informatyki; pracuj z nimi, aby wydobyć z nich wiedzę o bezpieczeństwie.
Bądź świadomy, że niezamierzone problemy mogą stanowić duże ryzyko dla bezpieczeństwa tak samo, jak te zamierzone. – Największym zagrożeniem – mówi Iconics, prezes Russ Agrusa są ataki, które mogą pochodzić od osób z twojego otoczenia nawet nieświadomych, że właśnie to robią. Taką osobą może być: technik naprawiający twoje urządzenie, inżynier biorący udział w konferencji i podłączający swój laptop do sieci, a nawet pracownik powracający z delegacji zagranicznej. Twoja sieć jest więc stale narażona na takie nagłe sytuacje. Polityka ochrony musi mieć więc więcej wspólnego z systemami zapobiegania, wchodzącymi i powracającymi z zewnątrz, niż z wirusami i zaporami ogniowymi. 
Podejście fizyczne
Oczywiście bezpieczeństwo to więcej niż polityka. Obejmuje ono aspekty zarówno fizyczne, jak i proceduralne, typowe środki fizyczne mają formę oprogramowania i osprzętu. HMI skupia się zasadniczo na komunikacji pomiędzy jednostkami. Nic nie daje całkowitej skuteczności, lecz wiele elementów i środków działa odstraszająco. Najbardziej popularne są najprawdopodobniej hasła wielopoziomowe.

Skrzynka bezpieczeństwa zapewnia kompleksowe rozwiązanie dla produktów HMI wykorzystywanych w sieciach oraz zapewnia bezpieczeństwo dostępu do informacji i przesyłu danych w sieci i w Internecie. To urządzenie ma certyfikat NIST (National Institute of Standards and Technology) za wprowadzenie 128-256-bitowego kodowania AES (zdjęcie dzięki Lantronix)
– Ale ochrona to coś więcej niż hasło w komputerze – mówi Mark Prowten, starszy kierownik produktu urządzeń sieciowych w firmie Lantronix. – Jest to sprowadzone do urządzeń końcowych, począwszy od wbudowanego komputera w zrobotyzowanej linii produkcyjnej, aż po PDA, komunikującego się z urządzeniem. Ręczne PDA jest bezprzewodowe i chociaż z tego powodu stało się bezpieczniejsze za pomocą dzisiejszego, bardzo skomplikowanego systemu utajniania, to jednak trzon sieci pozostaje nadal oprzewodowany. Dopóki ktoś ma dostęp do tego punktu, dopóty istnieje ryzyko odtajnienia informacji.

Zarządzanie łącznikowe kluczem do bezpieczeństwa w sieci

Jedynym sposobem zarządzaniabezpieczeństwem urządzeń HMI w Ethernecie jest sterowalny  łącznik. Łączniki muszą być adresowane na trzech poziomach – wyjaśnia Larry Kaczmarek  z Phoenix Contact.  Dostęp do portów/połączeń

Dostęp do portów łączników jest konieczny, aby można było operować systemem. Aczkolwiek sterowanie  portami na wielu poziomach jest punktem krytycznym. – Chcesz port zapasowy, aby podłączyć laptop w celu diagnostyki – mówi Kaczmarek. – Ale nie chcesz, aby ten port był otwarty dla każdego, kto chce się  podłączyć. Chcesz, żeby go móc włączyć lub wyłączyć w celu uniknięcia niepożądanego wejścia. Możesz to osiągnąć poprzez zabezpieczenie hasłem i przez  zarządzanie łącznikami. 

Port można też tak ustawić, by mieć wgląd do listy  adresów. – Jeśli nie ma na liście twojego sprzętu,  wtedy nie uzyskasz dostępu – mówi Komarek. – Na przykład, nowa linia startuje, podczas gdy inne dalej pracują. Personel z rozruchu potrzebuje mieć dostęp do pewnych obszarów, ale nie są oni stałą obsługą i nie powinni mieć swobody dostępu do wszystkiego.  Możesz więc zatwierdzić wyposażenie, którego używają do bezpośredniego podłączenia się do portu. W odpowiedzi na wykrycie złego adresu port może się zamknąć. W takich przypadkach port może być  skonfigurowany, aby wymagać też ręcznego zresetowania lub może zostać zaprogramowany tak, aby blokować nieprawidłowe urządzenia, lecz  odpowiadać na podłączenie urządzenia, które jest  dopuszczone. 

Zarządzanie parametrami łącznika

Można także zablokować system przed niepowołanym wejściem w celu zmiany parametrów. Standardowo  parametry są zmieniane na stronie w sieci. – Informatycy programują łączniki w języku tekstowym, ale świat  sterowania i automatyki jest „widzialny”, więc te  parametry muszą być oparte na sterownikach PLC – wyjaśnia Kaczmarek. – Tu ponownie można stworzyć listę dostępu. Lista może zawierać opcje tylko do  odczytu lub czytaj/zapisz. Jeśli nie ma cię na liście, system nie odpowie lub pozwoli tylko na odczyt bez możliwości zmiany. Stronę można zamykać nie mając dalszego dostępu. 

Ograniczanie dostępu do sieci

Sieci wirtualne lub VLAN mogą odizolować ruch. VLAN może odizolować części sieci tak, jakby odciąć kable i wkładać oddzielne karty dostępu. W ten sposób  konkretni pracownicy mogą mieć dostęp do określonej części sieci, ale nie do innych części lub do całej sieci.

Rozpowszechnienie się Ethernetu wystawiło HMI na większe ryzyko – mówi Larry Komarek, kierownik produktów automatyki w firmie Phoenix Contact. – Otwarte systemy oznaczają większe ryzyko. W świecie przemysłu systemy te wykorzystują łączniki sterowane automatycznie i bez funkcji sterowania w sposób typowy. Łączniki niesterowane dają rozwiązanie, ale nie mają funkcji łączenia się z systemem zarządzania. Są one wykorzystywane do podstawowych czynności łączeniowych w Ethernecie dla obniżenia kosztów, ale nie zapewniają odpowiedniego poziomu bezpieczeństwa. Podłączasz urządzenie i od razu masz dostęp. Sterowane łączniki mogą temu zapobiec. Mają one dodatkową inteligencję polepszając w ten sposób poziom wykonania i zapewniają bezpieczeństwo. Są też znacznie droższe.
Ze strony osprzętu urządzenia biometryczne mogą być dodatkiem do haseł lub je zastąpić. Dokładność jest wysoka; wskaźnik błędu czytnika odcisku palca jest mniejszy niż 0,1%. Założenie systemu jest proste, chociaż może być kosztowne we wdrożeniu i utrzymaniu. 
Wiele z tych rzeczy, używanych do ograniczania dostępu, może być wbudowanych do interfejsów HMI. Na przykład monitory dotykowe mogą być wyposażone w dowolną ilość urządzeń biometrycznych, z czytnikami odcisków palców do systemów dostępów wykorzystujących karty magnetyczne. – Takie środki są wykorzystywane w służbie zdrowia – zauważa Mark Bolt, dyrektor zarządzania produktami w firmie Elo TouchSystems. – HIPAA  (Health Insurance Portability & Accountability Act) wymaga ochrony osprzętu, zawierającego dane pacjentów, od pozostawiania go bez nadzoru i niezabezpieczonego.. W wyniku tego personel musi logować się nawet setki razy dziennie. Jest to nudne i czasochłonne zajęcie. Przy czytniku odcisków palców dana osoba dotyka czujnik i jest od razu logowana do systemu.
Czasami jest taka konieczność, aby HMI wraz z powiązanymi sieciami i urządzeniami miały fizycznie ograniczony dostęp w pomieszczeniu, gdzie wejście mają osoby z odpowiednią kartą wstępu lub innym identyfikatorem. Takie środki muszą łączyć się z polityką, która określa, kto może mieć dostęp i jednocześnie nakreślić, jakie działanie należy podjąć, gdy wejdzie osoba niepożądana.
Ochrona danych teleinformatycznych dla urządzeń HMI

Urządzenia kodujące pomagają chronić dane teleinformatyczne od urządzeń końcowych do monitorów HMI (zdjęcie dzięki Lantronix)
Podsumowanie
Postęp techniczny w dziedzinie zabezpieczeń idzie ciągle do przodu – aczkolwiek żadne pojedyncze rozwiązania lub technologia nie zaspokoi wszystkich organizacji i aplikacji.
– Zbyt mocno rozwinięty system bezpieczeństwa – jeśli jest coś takiego – mówi Fernich z firmy ABB – może ograniczyć dostęp do informacji dla tych, którzy mieć go powinni i spowodować niepotrzebne problemy i koszty. Z drugiej strony niewystarczająca ochrona wystawia zasoby i ludzi na ryzyko. Jest rzeczą ważną, aby wypoziomować koszt zabezpieczeń z potencjalnym kosztem skutków wywołanych jego brakiem. Z praktyki wynika, że zakłady powinny stosować środki ochrony proporcjonalne do wartości danych, ryzyka i prawdopodobieństwa związanego z przypadkiem niepowołanego wejścia oraz potencjalnymi konsekwencjami takiego zdarzenia. Aby to działało, załoga musi zrozumieć czynniki, które mają wpływ na ryzyko utraty bezpieczeństwa. 
– Posiadanie całkowitej kontroli nad projektem lub systemem może pomóc w złagodzeniu problemów z ochroną – potwierdza Soltus z Bedingfield. – Nie można zakładać, że ktoś z zewnątrz zajmie się naszymi problemami.
– To jest proces, który wymaga uczenia się – dodaje Kok z GE Fanuc. – Firma, aby osiągnąć sukces pod względem bezpieczeństwa musi stworzyć własną politykę. Do zajmowania się tym problemem muszą zostać wytypowani ludzie. Nie mogą zajmować się kilkoma zadaniami jednocześnie. Ochrona to problem dotyczący każdego z nas. Każdy powinien mieć tego świadomość.
I na dobry koniec: – 9/11 zdało nasze nasz test na poczucie bezpieczeństwa – mówi Prowten z firmy Lantronix. – Lubimy myśleć, że dbamy o te rzeczy, ale nie mamy świadomości, jak wiele spraw pozostawiamy otwartymi.  ce 
Artykuł pod redakcją  Marka Olszewika