Cyfryzacja oferuje wiele możliwości, ale też wiąże się z ryzykiem. Na przykład sieć fabryczna może być przedmiotem niechcianych ataków, takich jak:
- nieautoryzowany dostęp,
- złośliwe oprogramowanie,
- nieprawidłowe działanie lub awaria.
W odpowiedzi na te zagrożenia bezpieczeństwo cybernetyczne proponuje rozwiązania mające na celu zapobieganie lub przynajmniej minimalizację szkód. Zasadniczo są to metody ograniczania dostępu. Poniżej poruszone zostaną niektóre aspekty związane z bezpieczeństwem sieci przemysłowych, takie jak ochrona przed nieautoryzowanym dostępem czy bezpieczny zdalny dostęp.
Ochrona przed nieautoryzowanym dostępem
Niezależnie od tego, czy należy zapobiegać atakowi ukierunkowanemu, czy nadużyciom wewnętrznym, ochrona dostępu jest prawdopodobnie najważniejszym instrumentem cyberbezpieczeństwa. Proces rozpoczyna się fizyczną ochroną przed nieuprawnionym dostępem.
Przykładem takiego rozwiązania jest np. router FL MGUARD 1102. Jeśli atakujący nie uzyska dostępu do sieci, potencjalne szkody są oczywiście znacznie mniejsze.
Bezpieczeństwo na poziomie sieciowym
Zapory sieciowe to pierwsza linia obrony zapobiegająca nieautoryzowanym włamaniom za pośrednictwem łączy komunikacyjnych. Filtrują one połączenia komunikacyjne, dzięki czemu można utworzyć tylko dozwolone połączenia. Filtrowanie to może być zintegrowane w urządzeniu lub realizowane przez dedykowaną zaporę sieciową. Wbudowana zapora sieciowa jest korzystna pod względem kosztów, ale jest bardziej podatna na ataki w zależności od jakości implementacji głównego systemu. Jeśli ma być używanych wiele różnych urządzeń ze zintegrowaną zaporą sieciową, wszystkie warianty muszą być zarządzane. Jeśli więc główny system zostanie zaatakowany, zaporę sieciową można również zinfiltrować. Ponadto konfiguracja każdej wbudowanej w urządzeniu zapory sieciowej wymaga wiedzy.
Dedykowana zapora sieciowa jako urządzenie zewnętrzne pozwala na wybór zabezpieczenia niezależnego od innych komponentów automatyki. Ponadto można zrealizować zarządzanie centralne. Niezależne urządzenie zabezpieczające okazuje się być odporne na słabe punkty w porównaniu do innych komponentów automatyki. Można też je aktualizować bez wpływu na pracę całego systemu. W przypadku przeciążenia sieci zapora sieciowa zapewnia ochronę, ponieważ sama może przejąć obciążenie, chroniąc w ten sposób elementy automatyki znajdujące się za nią.
Bezpieczny zdalny dostęp
Zdalne połączenia przez Internet, jak na przykład VPN, powinny być zawsze szyfrowane. Protokoły stosowane w tym celu na ogół nie tylko chronią przed przechwyceniem i podsłuchaniem informacji, ale również zawierają mechanizmy chroniące przed manipulacją. Integracja zabezpieczenia poprzez oprogramowanie lub jako już wbudowana funkcja daje korzyści finansowe, natomiast wykonanie jako dedykowany komponent ma pozytywny wpływ na jakość wdrożenia i zarządzania.
Dlatego funkcje VPN i zapory sieciowej są w wielu rozwiązaniach połączone (rysunek poniżej, jak np. w routerze FL MGUARD RS4000 TX/TX VPN.
Bezpieczeństwo na poziomie użytkownika
Jeżeli komunikacja została dopuszczona przez zaporę sieciową lub jest możliwa poprzez dostęp lokalny, należy ją zabezpieczyć przez logowania użytkownika. Zarządzanie użytkownikami może odbywać się lokalnie, ale jest wtedy trudne do zarządzania. Bardziej praktyczne okazują się systemy centralnego zarządzania. Jeśli system nie obsługuje kontroli dostępu, pomóc może dedykowana zapora sieciowa. Zapora ta pozwoli na wstępnie zdefiniowane połączenia tylko wtedy, gdy użytkownik zalogował się już do zapory.
Ochrona przed złośliwym oprogramowaniem
Wiele szkód jest spowodowanych przez złośliwe oprogramowanie, którego negatywny efekt pojawia się dopiero po uruchomieniu. Aby zapobiec działaniu złośliwego oprogramowania, antywirus jest klasycznym produktem zabezpieczającym. Jednak jego jakość zależy od szybkości wykrywania i regularnych aktualizacji. Ponadto zapotrzebowanie na moc obliczeniową i sporadyczne wykrywanie błędów prowadzą do nieprawidłowego działania aplikacji automatyki. Bardziej odpowiednie są rozwiązania, które bezpośrednio uniemożliwiają uruchomienie nieznanego oprogramowania, a także komponenty automatyki z wbudowaną ochroną. Istotnym elementem jest tutaj bezpieczny proces aktualizacji, który umożliwia instalację tylko oryginalnego oprogramowania.
Wniosek
Porównanie zintegrowanych funkcji bezpieczeństwa z wyspecjalizowanymi produktami zabezpieczającymi jasno pokazuje, że obie koncepcje mają swoje mocne strony i powinny w najlepszym przypadku się wzajemnie uzupełniać.
Wbudowane funkcje okazują się szczególnie przydatne, jeśli np. cała aplikacja jest obsługiwana przez jedną jednostkę sterującą, która jest używana również do łączenia się z Internetem. Bardziej złożone systemy składające się z kilku urządzeń łączące funkcje wyspecjalizowanej zapory sieciowej i VPN są lepszym rozwiązaniem. Jednoczesne korzystanie z funkcji zabezpieczeń zintegrowanych z komponentami może dodatkowo zwiększyć poziom bezpieczeństwa.
Autor: | Mateusz Pustułka – Specjalista ds. Szkoleń i Wsparcia Technicznego |