Wirusy, hakerzy i robale…

 Komputerowe wirusy i robaki to temat bardzo obszerny. Najnowsze ich odmiany infekują sieci lokalne firm (Local Area Networks), nawet czasem zmuszają firmy do przerwania działalności. Kwestie bezpieczeństwa od dawna są ważne w świecie IT, ale do tej pory nie odgrywały aż tak znaczącej roli w środowisku systemów sterujących. Wraz ze zwiększającym się zastosowaniem standardowego Ethernetu oraz systemów operacyjnych Microsoftu w układach sterowania problemy infekowania systemów muszą być uwzględniane w projektach i wsparciu technicznym systemów sterowania. Dowodem na słuszność tego twierdzenia jest fakt, że w wyniku ostatnich ataków kilka firm zostało zmuszonych do przerwania produkcji.

Współczesny inżynier zajmujący się systemami sterowania musi posiadać wiedzę dotyczą zabezpieczania pracujących w sieci układów sterowania. ISA TR99.01 – Techniczny Raport dotyczący technik bezpieczeństwa w systemach przeznaczonych do celów produkcyjnych i układów sterowania to dobre miejsce na zdobycie potrzebnych informacji.

"Współczesny inżynier zajmujący się systemami sterowania musi posiadać wiedzę dotyczącą zabezpieczania pracujących w sieci układów sterowania„

Generalnie ochronę systemów IT wykonuje się zgodnie z trzema zasadami: obrona obrzeży, wykrywanie w środku i zabezpieczanie każdego systemu. Obrona na obrzeżach polega na powstrzymywaniu wirusów i robaków przed wejściem do sieci lokalnej. Obejmuje ona instalowanie zapór, tzw. ścian ogniowych (firewall), oraz systemów skanujących pocztę elektroniczną, zamykanie nieużywanych portów oraz żądanie kontroli dostępu przy każdej próbie komunikacji przechodzącej przez firewall. Wykrywanie w środku polega na skanowaniu ruchu w sieci w celu wykrycia podejrzanych i nietypowych działań. Wykrywanie może również obejmować skanowanie systemów serwerów w celu zapewnienia, że wykonywane są wyłącznie dozwolone aplikacje. Zabezpieczanie każdego systemu polega na wykorzystywaniu oprogramowania antywirusowego oraz indywidualnych ścian ogniowych.

Te same zasady można zastosować do układów sterowania pracujących w sieci z jednym istotnym wyjątkiem. Ten wyjątek to zabezpieczanie „na poziomie każdego systemu”. Oprogramowanie antywirusowe wymaga ciągłego uaktualniania elektronicznych sygnatur wirusów i robaków, zazwyczaj wykonywanego poprzez kopiowanie (download) plików identyfikacyjnych, często też wymaga instalowania aktualizacji programów. Niestety, wprowadzanie takich zmian jest dopuszczalne dopiero po przeprowadzeniu obszernych testów i ponownej atestacji już atestowanych czy krytycznych systemów sterowania. Uaktualnienia mogą się pojawiać kilka razy na tydzień, a samo testowanie czy atestacja mogą ciągnąć się tygodniami. Wobec tego posiadanie najnowszych wersji oprogramowania antywirusowego na atestowanych czy też krytycznych systemach sterowania jest prawie niemożliwe.

Ponieważ w przypadku wielu pracujących w sieci układów sterowania nie można przestrzegać trzeciej zasady, należy rozszerzyć zasięg pierwszych dwóch, by przejęły większość obciążenia. Pierwszą zasadę można rozszerzyć poprzez dodanie ścian ogniowych (firewall) pomiędzy sieciami układów sterowania a pozostałą częścią sieci korporacji. Niezabezpieczone układy sterowania są głównymi celami infekcji, potrzebują więc wielopoziomowych zabezpieczeń. Sieci systemów sterowania bezpośrednio połączone z innymi sieciami firmy narażone są na ataki wirusów i robaków; stanowią również zagrożenie dla innych systemów korporacji. Ściany ogniowe o ograniczonej liczbie portów zapewniają jeden poziom zabezpieczenia. Ściany ogniowe powinny być dwukierunkowe – oprócz zabezpieczania systemów sterowania przed zainfekowaniem poprzez systemy firmy, muszą również chronić systemy firmy przed ewentualnym zagrożeniem ze strony układów sterowania.

Dla zwiększenia zabezpieczenia ściany ogniowej można również dodać rutery kontroli dostępu (Access Control Routers). Rutery kontroli dostępu pozwalają jedynie pewnym, określonym systemom z jednej strony na uzyskanie dostępu do systemów znajdujących się po drugiej stronie. Sieć systemu sterowania można również zaprojektować jako wirtualną, lokalną sieć komputerową (Virtual Local Area Network – VLAN) posługującą się inteligentnymi przełącznikami (switch). VLAN izoluje ruch od innych sieci LAN, zapewniając w ten sposób dodatkowy środek zabezpieczający przed atakami szturmowymi (broadcast storms) i innymi przypadkami ataków polegających na odmowie usługi (DoS = Denial of Service).

Należy również zastosować wykrywanie wewnątrz – w obrębie sieci systemu sterowania. Obejmuje to stosowanie Systemów Wykrywania Intruzów (Intrusion Detection Systems) w sieci VLAN.

Koszt dodatkowego zabezpieczania systemów sterowania przez zakażaniem jest niewielki, a cel można zrealizować za pomocą gotowych programów. Profesjonaliści zajmujący się układami sterowania muszą zrozumieć techniki zabezpieczania przed zakażeniami, muszą również współpracować z działami IT w celu wdrażania bezpiecznych interfejsów pomiędzy sieciami układów sterowania a sieciami korporacyjnymi.

 

Dennis Brandl jest prezesem BR&L Consulting, firmy consultingowej zajmującej się rozwiązaniami informatycznymi dla produkcji, z siedzibą w Cary, USA.