Як індустріальні мережі можуть реагувати на кібер загрози
IP-технології привнесли величезну користь для індустріальних мереж автоматизації, але також і певні ризики, пов'язані з безпекою. У минулому, адміністратори мереж були впевнені в тому, що їх мережі захищені, так як вони використовували для зв'язку пристроїв власні протоколи, зазвичай serial і мережі не були підключені до зовнішнього світу. Хоча і це трактування безпеки була дещо ілюзорним, але тепер, коли в індустріальній автоматизації використовуються IP Ethernet-мережі, ніхто не може дозволити собі ніяких ілюзій щодо безпеки їх мережі.
Загрози для безпеки IP-мереж цілком реальні і вони можуть мати руйнівні наслідки для систем індустріальної автоматизації. У певному сенсі індустріальні мережі є ще більш уразливими, ніж мережі підприємств і IT-мережі. У гіршому випадку, коли IT Ethernet мережа піддається хакерській атаці, може значно знизитися її продуктивність або офісні службовці втратять доступ в Інтернет. Якщо ж індустріальна мережу автоматизації буде порушена, то можуть виникнути серйозні пошкодження обладнання і може бути заподіяно істотної матеріальної шкоди, як наприклад, в результаті раптової зупинки складальної лінії, несподіваній зупинці в роботі трубопроводу або електростанції.
Загрози і відповідь ринку
Вразливість індустріальних IP-мереж автоматизації є дуже реальною. Недавні дослідження, проведені CERN (Європейська організація ядерних досліджень) виявили, що лише 66% PLC були в змозі витримати прості атаки, виконані з вільно-доступними інструментами хакерів, такими як Netwox або Nessus. Не завжди достатньо і захистити мережу від зовнішніх впливів. AT & T в своїх дослідженнях виявили, що більшість нападів зі злим умислом на мережі відбувається з інсайдерської мережі. В окремому дослідженні 2007 року, департамент Національної Безпеки США провів експериментальні кібер атаки, які привели до самознищення генератора.
Загрози індустріальним системам є не просто гіпотетичними: в базах даних про інциденти в індустріальній безпеці є численні записи, що стосуються проникнень в SCADA системи, в тому числі і на таких об'єктах як станції очистки стічних вод, електростанції і хімічні заводи. Ринок усвідомив, що це вже реальність і кібер безпека в даний час стає пріоритетним завданням. Розробники індустріальних систем автоматизації тепер приділяють значну увагу кібер безпеці розроблюваних ними систем. При цьому вони керуються стандартом ISA99, нещодавно затверджених ANSI (Міжнародна спільнота по автоматизації), який чітко описує елементи кібер управління безпекою. У державному секторі і в державних установах керуються своїми власними галузевими стандартами, такими як NERC-CIP, CPNI і іншими, що визначають методи забезпечення безпеки мереж. Мережева безпека сьогодні дуже багато важить для нафтової і газової, хімічної та електроенергетичної промисловості, так як ці системи не можуть дозволити собі бути скомпрометовані нападаючими хакерами.
З метою захисту своїх мереж, розробники індустріальних систем автоматизації найбільш часто використовують поєднання брандмауерів і віртуальних приватних мереж (VPN). Брандмауер стає тим бар'єром, який запобігає несанкціонованому доступу до пристроїв системи. Брандмауер перевіряє всі вхідні повідомлення і пропускає тільки ті, які виходять від уповноважених джерел. VPN використовуються для установки безпечного тунелю зв'язку по WAN мережах, забезпечуючи безпечний віддалений доступ до промислової мережі. Кібер безпека без компромісів Мережева безпека в системах індустріальної автоматизації спрямована на вирішення двох завдань. На жаль, ці завдання можуть здатися суперечливими. По-перше, система безпеки мережі повинна надійно захищати критично важливі ресурси від несанкціонованого доступу. По-друге, система безпеки, вирішуючи перше завдання, не повинна вносити спотворення (затримки) в виконання основного процесу управління.
Одночасне вирішення цих двох завдань може бути більш складним, ніж здається на перший погляд. Наприклад, маршрутизатор з активним брандмауером часто різко знижує загальну продуктивність мережі. Якщо маршрутизатор не в змозі перевірити всі пакети досить швидко, щоб забезпечити адекватну продуктивність, то пропускна здатність мережі буде страждати.
Мережева безпека може також зажадати зміни стандартної архітектури мережі, так як потрібне введення додаткових схемотехнічних рішень. Відповідно до кращих практик безпеки, в мережі повинні бути розгорнуті кілька брандмауерів між кожним з її рівнів. Цей "ешелонований" захист забезпечує більшу безпеку системі, ніж використання одного брендмауера, для захисту від мережевих вторгнень.
На жаль, хоча розсудливість радить ретельного і строгого розгортання багатьох пристроїв мережевої безпеки, але кожен з цих пристроїв може стати серйозним "головним болем" для індустріальних мереж автоматизації, особливо при установці їх для кожного з рівнів. Це відбувається тому, що системи управління пристроями, як правило, налаштовані для роботи в тій же підмережі, але звичайні брандмауери, що працюють в IT-середовищах, призначені для захисту окремих підмереж в режимі "router mode" (режим маршрутизатора).
Така архітектура може бути особливо проблематичною для систем управління, які налаштовані для роботи в тій же підмережі що і пристрої введення / виведення. Це вимагає додаткових налаштувань індустріальної системи управління для використання двох підмереж з метою задоволення вимог режиму "router mode" брандмауера.
Ще одна унікальна особливість топології багатьох індустріальних мереж - надмірність (резервування). Оскільки індустріальні мережі повинні працювати на більш високому рівні надійності, ніж звичайні офісні мережі, багато індустріальних мереж використовують надлишкові зв'язки для резервування. Кожен із шляхів має також резервний шлях, який може бути автоматично включений, якщо первиний шлях вийде з ладу.
Таким чином надмірність подвоює число брандмауерів, які необхідні, тому що резервний шлях також повинен мати міжмережевий екран, навіть тоді, коли цей шлях і не використовується.
В кінцевому рахунку, використання Firewall / VPN не завжди достатньо для забезпечення безпеки індустріальних мереж - повинна бути забезпечена ще і достатня продуктивність мережі для підтримки критичних індустріальних об'єктів і можливість функціонування в індустріальних конфігураціях мереж. Багато звичайних - IT-рішень безпеки, навіть тих, що надійно працюють в офісному середовищі, не зможуть повністю задовольнити додаткові потреби, властиві індустріальним мережам автоматизації.
Безпека мереж індустріальної автоматизації
Для створення безпечних, високопродуктивних індустріальних мереж необхідно використовувати тільки такі пристрої, які зможуть задовольнити вимоги, пов'язані із забезпеченням безпеки. В першу чергу, необхідно переконатися, що пристрій мережевої безпеки зможе забезпечити достатню продуктивність мережі за підтримки функцій безпеки і його включенні відповідно до вимог топології Вашої системи індустріальної автоматизації.
Маршрутизатор, який викликає великі затримки або обмежує пропускну здатність не може бути використаний при побудові такої мережі. Крім того, існує можливість розгортання мережі безпеки без реконфігурації мережі, завдяки функції, яка відома як "bridge mode" (режим моста) і підтримується деякими пристроями.
Режим моста дозволяє брандмауеру працювати тільки в одній підмережі, що ідеально підходить для індустріальних мереж. Всі пристрої в підмережі можуть зберегти свої поточні налаштування, а новий брандмауер "вписується" в уже існуючу конфігурацію. Виробничий процес тепер може користуватися всіма перевагами підвищеної безпеки, без будь-яких змін в конфігурації пристроїв.
Брандмауери з двома WAN портами
дозволяють вирішити більшість проблем, пов'язаних з розгортанням мереж безпеки. По суті, режим з двома WAN портами дозволяє брандмауерам маршрутизувати і захищати потоки з двох окремих WAN в один лінк. WAN маршрутизатори - брандмауери з двома WAN забезпечує як захист основного, так і резервного шляху і широко використовуються в індустріальних мережах.
І, нарешті, обладнання індустріальної автоматизації повинне розміщуватись в різних середовищах, в тому числі і при екстремальних умовах, які є стандартними для індустріальних додатків - значні коливання температури, індустріальні перешкоди, вологість, робота на великі відстані. На жаль, офісні пристрої, не дивлячись на їх дешевизну, призначені тільки для розміщення в приміщеннях (часто кондиціонованих) і не можуть бути використані на виробництві. Індустріальні маршрутизатори - брандмауери мають спеціальну міцну, захищену конструкцію для роботи в екстремальних умовах, широкий робочий діапазон температур, і, найчастіше, волоконно-оптичні порти, що забезпечують роботу на великі відстані і не схильні до дії електромагнітних завад.
Індустріальна автоматизація повинна підтримувати мережеву безпеку
Все більша кількість тривожних повідомлень про нові напади на індустріальні мережі змушує розробників і власників таких систем враховувати проблеми забезпечення безпеки. Рішення цих проблем, часто аналогічні офісним рішенням, але обладнання, що застосовується в індустріальних системах управління має відповідати спеціальним умовам індустріальних середовищ. При побудові нових індустріальних систем автоматизації або їх модернізації необхідно обов'язково враховувати функції забезпечення безпеки і, при цьому, знайти таке рішення, яке б задовольняло як вимогам надійності і функціональності індустріальної мережі, так і забезпечувало б суворі функції забезпечення безпеки.
Продаж продукції MOXA
в Україні: Київ: Тел. - 38 (044)
277-10-71,
277-10-72. E-mail sales@moxa.com.ua Підтримка продукції MOXA в Україні
- Телефон - 38 (044)
277-10-73, E-mail support@moxa.com.ua.
