Doradztwo techniczne

Możemy wymienić szereg norm i standardów, które systematyzują cybernetyczne bezpieczeństwo. Do najpopularniejszych należą NIST 800-53, NERC CIP dla energetyki czy IEC 62443. Dają one szereg zalecań zarówno dla projektantów systemów, producentów komponentów sieciowych jak również użytkowników – definiując katalog dobrych praktyk dla bezpiecznych systemów automatyki przemysłowej. Norma IEC 62243 wymienia szereg potencjalnych problemów, na które należy zwrócić uwagę przy projektowaniu sprzętu sieciowego, tak aby można było mówić o sprzęcie bezpiecznym.  Są to:

• Brak kontroli identyfikacji i autentykacji – należy wprowadzić politykę zarządzenia kontami i hasłami i robić to indywidualnie dla każdego użytkownika
• Brak kontroli dostępu – powinno istnieć automatyczne wylogowanie i blokada dostępu do urządzenia po określonym czasie
• Brak integralności danych – konieczna jest kontrola integralności plików konfiguracji, aktualizacji oprogramowania
• Brak poufności danych – należy używać szyfrowanych połączeń
• Brak restrykcji dla przepływu danych – należy stosować takie mechanizmy jak listy kontroli dostępu w przełącznikach sieciowych czy kontrola dostępu do nich przez
• definiowane listy dopuszczonych adresów IP
• Brak szybkiej reakcji na zdarzenia – konieczne jest budowane i bieżąca analiza logów zdarzeń
• Ograniczona dostępność zasobów sieciowych – należy ograniczyć liczby zalogowanych użytkowników, czy dostępnych nieszyfrowanych interfejsów HMI

Od strony sprzętowej wymagania te realizuje się poprzez zastosowanie bezpiecznych przełączników zarządzalnych (switchy) warstwy 2 lub 3, zabezpieczenie urządzeń końcowych na przykład sterowników PLC poprzez dołączenie ich przez VLAN (Virtual LAN) i autentykacja dostępu do poszczególnych urządzeń za pomocą RADIUS lub TACACS+. Zarządzalne switche brzegowe powinny zapewniać tworzenie sieci redundantnych z wykorzystaniem protokołów rekonfiguracji, takich jak np. FRNT, FRNT ring coupling czy RSTP. W przypadku sieci bezprzewodowych konieczne jest szyfrowanie danych i redundantne połączenia radiowe odporne na zakłócenia zewnętrzne. Urządzenia o takiej funkcjonalności to na przykład zarządzalne przełączniki sieciowe serii LMX czy LMP, routery Wifi serii ARS firmy Antaira Technologies. Bezpieczeństwo cybernetyczne systemów automatyki przemysłowej będzie odgrywać coraz większą rolę przy planowaniu i projektowaniu infrastruktury automatyki przemysłowej. Kluczowe jest ciągłe monitorowanie i wykrywanie anomalii oraz możliwość szybkiej reakcji. Takie działania stanowią zabezpieczenie wewnętrzne i dają możliwość szybkiego reagowania na zagrożenia atakiem cybernetycznym, którego celem może być penetracja systemu lub generowanie fałszywych komend dla systemów automatyki. Normy wskazują konkretne zbiory tzw. dobrych praktyk jak również wymagania jakie powinni spełniać użytkownicy systemów, ich wykonawcy oraz dostawcy poszczególnych komponentów. Przy projektowaniu systemu konieczne jest kompleksowe podejście do problemu i wybieranie komponentów sieciowych takich jak switche, routery czy kontrolery LAN zapewniających pełne bezpieczeństwo i pochodzących od sprawdzonych producentów zapewniających wieloletnie wsparcie techniczne.

Przede wszystkim switche w rewizji H/W min 2.0 z firmware v3.0 oraz routery WiFi: ARS-7231 i router LTE-7132. Dla przykładu poniżej umieszczamy kilka linków do wybranych produktów, natomiast w celu uzyskania szerszych informacji zapraszamy do kontaktu.

https://sklep.csi.pl/switche-zarzadzalne/373-lmx-0602-st-m.html

https://sklep.csi.pl/switche-poe-zarzadzalne/481-lmp-0501-m-24.html

https://sklep.csi.pl/switche-poe-zarzadzalne/502-lmp-0800g-t.html

https://sklep.csi.pl/switche-zarzadzalne/390-lmx-1202g-sfp-t.html

Autor artykułu: MS