Bezpečnostné hrozby Svet čelí extrémnemu nárastu kybernetickej kriminality. Denne dochádza k útokom na štátne inštitúcie, kritickú infraštruktúru a priemyselné podniky. Útoky prichádzajú z rôznych strán a sú čoraz sofistikovanejšie aj s využitím umelej inteligencie. Firmy z IT sektora sa pomerne dobre naučili s touto situáciou vyrovnať. Výrobný sektor je však často zaskočený a nevie, ako sa má účinne brániť.
61 % inteligentných tovární má skúsenosť s kybernetickým incidentom.
33 % kybernetických incidentov sa vyskytuje vo výrobe.
65 % ransomware útokov sa vyskytuje vo výrobe.
75 % IT architektúr má externé prepojenie na prevádzkové technológie (z angl. Operational Technology, OT)
NIS2
Smernica NIS2 bola do právneho poriadku Slovenskej republiky transponovaná novelou zákona č. 69/2018 Z. z., ktorý je účinný od 1. januára 2025. Výroba je definovaná ako regulovaná služba pre verejnosť, ktorú treba chrániť. Aj pre výrobné spoločnosti platia jednoznačné štandardy kybernetickej bezpečnosti a firmy musia zvýšiť investície do tejto oblasti. Smernica NIS2 sa vzťahuje na všetky subjekty (podniky a ich dodávateľov), ktorí poskytujú služby v odvetviach špecifikovaných zákonom a spĺňajú kritérium viac než 50 zamestnancov a obrat prevyšujúci 10 miliónov eur (viac informácií nájdete na nis2.nbu.gov.sk).
IEC 62443 je medzinárodná séria noriem, ktoré sa zaoberajú bezpečnosťou prevádzkových technológií v automatizačných a riadiacich systémoch (z angl. Industrial Automation and Control Systems, IACS). Rôzne sekcie opisujú technické a procesné aspekty bezpečnosti automatizácie a riadiacich systémov. Pre implementáciu smernice NIS2 je najpodstatnejšia norma IEC 62443-2-1, ktorá poskytuje návod, ako systematicky navrhnúť a prevádzkovať kybernetickú bezpečnosť IACS.
Zabezpečenie IT a OT sú dve rôzne disciplíny
Výrobné podniky majú často dobre zabezpečené vlastné IT, ale veľký problém nastáva v okamihu, keď je požiadavka na zabezpečenie OT. Bezpečnosť IT a OT nemožno docieliť úplne rovnakými postupmi, pretože rozdiely medzi IT a OT sú často obrovské. Neustále úpravy systémov a ich pravidelná aktualizácia sú v IT svete úplným štandardom. Avšak v kontinuálnej výrobe, kde sa musia odstávky starostlivo a dlho dopredu plánovať, je tento postup nepoužiteľný.
Ďalším problémom sú rôzne „čierne skrinky“, staré jednoúčelové alebo obrábacie stroje, kde nie je možná bezpečnostná aktualizácia a výrobca stroja zvyčajne už ani neexistuje. Bežne možno vo výrobe vidieť stroje staršie ako 15 rokov, ktoré si stále dobre plnia svoju funkciu. Avšak z hľadiska kybernetickej bezpečnosti predstavujú výrazné riziko. Doteraz bol v automatizačnom svete preferovaný prístup „nechytaj sa funkčného systému“. Tento prístup sa však bude musieť zmeniť z dôvodu kybernetickej bezpečnosti.
Hĺbková ochrana
Na základe princípu hĺbkovej ochrany ponúka spoločnosť Siemens viacvrstvovú bezpečnostnú koncepciu, ktorá poskytuje všestrannú i hĺbkovú ochranu podľa odporúčaní normy IEC 62443. Cieľom nie je urobiť niekoľko jednoduchých opatrení, cieľom je mať celý rad opatrení v líniách, ktorými sa musí útočník postupne prebojovať, pokým sa dostane k miestu, kde má možnosť zaútočiť a spraviť nejakú škodu. Je určená pre výrobné závody, integrátorov a výrobcov strojov, pričom pokrýva všetky aspekty kybernetickej bezpečnosti v priemysle.
Fyzická bezpečnosť závodu
Zabezpečenie závodu využíva viacero spôsobov, ako zabrániť neoprávneným osobám vo fyzickom prístupe ku kritickým komponentom, od bežného prístupu do budovy až po zabezpečenie citlivých priestorov pomocou čipových kariet.
Systémová integrita
Integrované bezpečnostné funkcie sú dostupné pre riadiace systémy S7-1200, S7-1200 gen2, S71500, software controller, aktuálne rady HMI panelov a systémov SCADA.
Bezpečnostná aktualizácia TIA portal
Platforma TIA Portal od verzie 17 obsahuje viacero bezpečnostných vylepšení na komunikáciu medzi inžinierskou stanicou, PLC, HMI a novou generáciou SINAMICS pohonov. Komunikácia je zabezpečená pomocou protokolu TLS 1.3, pričom je kryptovaná použitím individuálnych certifikátov pre jednotlivých partnerov. Tým je zabezpečená dátová integrita medzi komunikačnými partnermi. Používanie certifikátov vyžaduje synchronizáciu času jednotlivých zariadení v OT. Podporovaná synchronizácia je SIMATIC time alebo NTP server.
Sprievodca bezpečnosťou
Vložením PLC do projektu sa automaticky spustí sprievodca bezpečnosťou, ktorý umožní programátorovi nastaviť rôzne úrovne prístupu HMI k dátam v PLC, heslo k citlivým konfiguračným dátam PLC a ďalšie parametre.
Ochrana know-how
Ochrana heslom proti neautorizovanému kopírovaniu programových blokov a knižníc v STEP 7 a duplikovaniu projektu uloženého na pamäťovej karte. Previazanie jednotlivých programových blokov so sériovým číslom pamäťovej karty alebo PLC.
Bezpečná otvorená používateľská komunikácia
Je zabezpečená pomocou SSL/TLS. Umožňuje vlastnú HTTPS a FTPS komunikáciu, napr. na prenos produkčných dát, a komunikáciu medzi PLC alebo IT serverom pomocou TCP protokolu.
OPC UA
Je nezávislá platforma integrovaná v PLC, CNC, HMI, RFID, PC a mnohých iných koncových zariadeniach Siemens. Komunikácia s nadradenými systémami a IT aplikáciami je kryptovaná, pričom sa na autentifikáciu používajú certifikáty. Tie možno integrovať do CPU počas uvádzania do prevádzky (CPU in RUN) a aktualizovať aj počas produkcie. Podporovaný je aj dočasný prístup pre OPC UA klientov alebo podpora Certificate Revocation Lists (CRLs). OPC UA je jednoznačne preferovaný spôsob komunikácie pre nové inštalácie strojov a technológií.
Profinet Security Class 1
Umožňuje zvýšenie úrovne bezpečnosti siete Profinet, pričom IO controller aj IO device musia podporovať túto funkcionalitu.
- Mód DCP read only zakáže zmenu IP adresy a mena zariadenia po prvotnom nastavení externými nástrojmi.
- Zmena podpísaného GSD súboru na kontajnerový formát GSDX, ktorý je validovaný.
- Mód read only pre SNMP alebo jeho úplne vypnutie.
Ochrana SIMATIC IPC
Vo výrobe ešte stále bežia počítače s už nepodporovanými OS, ako sú Windows NT, XP, 7 a serverové varianty, ktoré predstavujú veľké bezpečnostné riziko. Je nutná ich urýchlená migrácia na aktuálnu verziu OS. SIMATIC IPC podporuje:
- Long-term servicing channel (LTSC) pre Windows 10, 11 a Windows server 2019, 2022,
- príručka k bezpečnostným nastaveniam počítača v priemyselnom prostredí,
- zablokovanie nevyužitých rozhraní,
- podpora antivírusových a whitelisting riešení.
User Management and Access Control (UMAC)
Ide o centralizovaný manažment používateľov nahrádzajúci vytváranie lokálnych používateľov na jednotlivých koncových zariadeniach, ako je HMI, PLC, pohony atď. Umožňuje priraďovať funkčné práva používateľom a priraďovať ich do skupín vo viacerých TIA portal projektoch. UMAC možno prepojiť aj s Microsoft Active Directory. Centrálna správa a jasné pravidlá pre používateľov znižujú riziko neúmyselných prestojov vo výrobe.
Prihlasovanie pomocou RFID
Prax ukázala, že prihlasovanie sa do HMI iba pomocou hesla je problematické. Časom operátori výroby poznajú heslá účtov s vyššími právami, ktoré majú servisní technici. Nezriedka je výroba sabotovaná. Jedným z riešení je UMAC alebo prihlasovanie pomocou zamestnaneckej karty. RFID čítačky SIMATIC RF1000 podporujú frekvenciu 125 kHz a 13,56 Mhz a rôzne protokoly. Čítať je možné nielen UID, ale aj používateľskú pamäť karty. Čítačky sú pripojené k HMI panelom alebo PC pomocou USB rozhrania. SIMATIC HMI panely a PC majú integrované ovládače na jednoduchú integráciu. Priložením zamestnaneckej karty k čítačke sa operátor automaticky prihlási s adekvátnymi právami. RF1000 podporuje lokálny, ale aj centrálny manažment používateľov pomocou UMAC. Komunikácia s ďalšími zariadeniami je možná aj pomocou RS-232 alebo ethernetu (Modbus TCP).
Služby
Bezpečnosť je otázkou dôvery. Spoločnosť Siemens je už viac ako 20 rokov lídrom kybernetickej bezpečnosti v priemysle. Ponúkame konzultácie, návrh riešenia, realizáciu Proof of Concept, technickú podporu a školenia v slovenskom jazyku. Viac informácií o problematike kybernetickej bezpečnosti v priemysle nájdete:
www.siemens.com/industrialsecurity
www.siemens.com/cybersecurity
V druhej časti článku sa budeme venovať sieťovej bezpečnosti – riadený prístup do siete, redundancia, ochrana bunky, ochrana perimetrom, vzorové príklady a iné.
Ing. Juraj Belica
Siemens s.r.o.
Digital Industries
juraj.belica@siemens.com
