Producenci działający w przemyśle przetwórczym mają obawy szczególnego typu, wymagające zastosowania jedynej w swoim rodzaju strategii
Nancy Bartels, MBT USA
Niezależnie od tego, jaki produkt opuszcza zakład, podstawowe kwestie bezpieczeństwa działu produkcji są takie same. Obejmują np. kontrolę fizycznego i elektronicznego dostępu do zakładu i jego środowiska informatycznego, zapobieganie włamaniom i wykrywanie ich, terminową instalację łatek i oprogramowania antywirusowego oraz regularne audyty systemów, a także szkolenia w dziedzinie procedur i polityki bezpieczeństwa.
Ale to nie ten spis podstawowych potrzeb wyróżnia przemysł przetwórczy, związany ze stosowaniem procesów ciągłego przepływu lub produkcji seryjnej, tylko sposób, w jaki powinno się do nich podchodzić. Żaden wytwórca nie chce, aby linia produkcyjna stanęła z powodu błędu komputera albo aktu sabotażu, ale awaria w przemyśle przetwórczym może mieć konsekwencje natury ekonomicznej i skutki, które znacznie przekroczą straty spowodowane przerwą w produkcji.
– Zazwyczaj operacje przetwórcze mają charakter ciągły – mówi Dave Woll, analityk z ARC Advisory Group (Dedham, Massachusetts).
– Kiedy pojawiają się anomalia, trzeba te operacje przywrócić do stanu bezpiecznego, inaczej skutki mogą być dramatyczne.
Proces przebiegający w sposób niekontrolowany, na przykład w zakładach chemicznych, mógłby spowodować wydostanie się toksycznych materiałów i skażenie okolicy czy nawet eksplozję. W przypadku zakładów produkujących farmaceutyki lub żywność zagrożone mogłoby zostać zdrowie klientów, gdyby ktoś kierujący się złą wolą po prostu zmienił recepturę. Dlatego bezpieczeństwo sterowania procesem przetwórczym to nie tylko sprawa firmy czy działu produkcji, ale także bezpieczeństwa narodowego.
|
|
|
Problem bezpieczeństwa zakładu produkcyjnego obejmuje wiele złożonych zagadnień |
W przypadku środowisk produkcyjnych szyfrowanie i zapory ogniowe mogą okazać się rozwiązaniem niewystarczającym, dlatego specjaliści zalecają stosowanie: podwójnych barier chroniących przedsiębiorstwo i produkcję, dostępu opartego na regułach (prawa zabezpieczone i prawa potwierdzone), osobnych stref bezpieczeństwa dla sieci I/O, sieci zakładowej, ośrodka danych, sieci korporacyjnej oraz strefy internetowej, programów kontrolujących integralność. Wpewnych przypadkach zalecają również całkowite odizolowanie środowiska produkcyjnego.
Systemy o rozproszonym sterowaniu (DC) oraz nadzorujące systemy kontroli i pozyskiwania danych (SCADA) są bardziej podatne na złośliwy atak i to z kilku powodów. W opracowanym w 2004 r. przez General Accounting Office raporcie „Ochrona kluczowej infrastruktury” wymienione są następujące czynniki:
- coraz częstsze stosowanie znormalizowanych systemów, których słabe punkty są dobrze znane,
- łączenie systemów sterowania z innymi sieciami,
- ograniczenia dotyczące istniejących technik i praktyk związanych z bezpieczeństwem,
- niezabezpieczone połączenia zdalne,
- ogólnie dostępne informacje na temat systemów sterowania.
Możliwość natychmiastowego łączenia się, jaką zapewnia Internet, coraz powszechniejsza normalizacja i interoperacyjność oraz wymagania dotyczące wymiany danych w czasie rzeczywistym w obrębie przedsiębiorstwa, a także między jego oddalonymi od siebie filiami, jak również partnerami wchodzącymi w skład łańcucha dostaw spowodowały znaczny wzrost podatności systemów przemysłu przetwórczego na zewnętrzne ataki.
Kłopot z systemami sterowania
Zabezpieczanie systemów sterowania procesem jest trudne z kilku powodów. Przede wszystkim nigdy nie planowano, że systemy te będą się łączyć z innymi działami firmy, a do tego tworzono je z myślą o długotrwałym wykorzystywaniu – często można znaleźć systemy liczące nawet 20 lat.
– Systemy te często nie mają możliwości obsługi najnowszych technik zabezpieczeń – stwierdził niedawno Joseph M. Weiss, specjalista-konsultant z KEMA (działającego na całym świecie Instytutu Doradztwa Technicznego i Testowania, którego siedziba mieści się w Arnhem, w Holandii), składając oświadczenie przed Podkomitetem ds. Techniki, Polityki Informacyjnej, Stosunków Międzyrządowych i Spisu Ludności amerykańskiej Izby Reprezentantów.
Systemy sterowania są deterministyczne: każda wykonywana przez system operacja zależy od operacji, jaką system wykonał wcześniej. Systemy deterministyczne mają ustawione priorytety zadań, sztywne i kluczowe wymagania dotyczące synchronizacji oraz specyfikacje wydajności, których nie da się łatwo zmienić. Ponieważ realizują one konkretne zadania, mają ograniczoną moc obliczeniową. Ze względu na te ograniczenia stosowanie technik zabezpieczeń, takich jak szyfrowanie, jest utrudnione, ponieważ prowadzą one do niedopuszczalnego spadku wydajności.
– Oprócz tego standardowo wykorzystywane w przemyśle protokoły komunikacyjne, stosowane w większości systemów sterowania, zaprojektowano w czasach, gdy kwestie bezpieczeństwa nie były tak istotne, jak dziś. Wdodatku większość zapór ogniowych, najbardziej oczywistych środków bezpieczeństwa, zaprojektowano do filtrowania protokołów internetowych, a nie protokołów systemów sterowania – tłumaczy Weiss. Dodawanie barier ochronnych może doprowadzić do niedopuszczalnych opóźnień w produkcji.
Związane z produkcją kwestie kulturowe jeszcze bardziej komplikują sytuację. Wielu inżynierów, czując się wygodnie w świecie prawnie chronionego oprogramowania, nadal ulega pokusie myślenia, że „bezpieczeństwo dzięki tajemniczości” (security by obscurity) – tzn. posiadanie systemu, którego nie zna większość hakerów – jest wystarczającym zabezpieczeniem.
Jeszcze bardziej komplikuje to wszystko problem konfliktów na płaszczyźnie kulturowej między inżynierami ds. sterowania i personelem informatycznym. Każda grupa nie zawsze rozumie potrzeby drugiej strony czy też używany przez nią język techniczny. Międzywydziałowe „wojny o terytorium”, których nie sposób uniknąć, mogą sprawić, że zabezpieczanie systemów sterowania przy jednoczesnych próbach osiągnięcia większych celów biznesowych przedsiębiorstwa może stać się jeszcze trudniejsze.
Różne wymiary
Podstawowe strategie zabezpieczania produkcji, czyli kontrola dostępu, zarządzanie zmianami oraz „uszczelnianie” i izolacja sieci, są takie same dla całej branży produkcyjnej, ale w środowisku przetwórczym te środki obronne zyskują inny wymiar. Na przykład każda sieć powinna mieć silny system kontroli dostępu. Dostęp do całej sieci powinien być zastrzeżony wyłącznie dla upoważnionych użytkowników. Kontrolowany dostęp fizyczny do stacji roboczych oraz całych obszarów zakładu powinien być częścią każdego planu zabezpieczeń.
|
|
|
Rashesh Mody, główny architekt w Fundacji OPC, zaleca dwuwarstwowy system dostępu, wykorzystujący zarówno prawa zabezpieczone, jak i potwierdzone |
– Wprzemyśle przetwórczym nie mamy tak dużej elastyczności – mówi Bryan Singer, przewodniczący komitetu ds. bezpieczeństwa sterowania procesem ISA-SP99 w Instrumentation, Systems and Automation Society (ISA), starszy konsultant biznesowy w firmie Rockwell Automation. – W branży przetwórczej nie można wykorzystywać tradycyjnych schematów blokowania hasłem ani kontroli dostępu.
Standardowa zasada „trzy pomyłki przy wprowadzaniu hasła, a potem zakaz wstępu” nie sprawdza się, gdy trzeba natychmiast uzyskać dostęp do systemu bezpieczeństwa.
Singer zaleca stosowanie jednego zestawu aplikacji bezpieczeństwa – zapór ogniowych, wirtualnych sieci prywatnych, narzędzi antywirusowych – w całym przedsiębiorstwie oraz wewnętrznej bariery bezpieczeństwa, składającej się z jeszcze jednej zapory ogniowej, a także dodatkowych narzędzi i procedur bezpieczeństwa, skoncentrowanych na produkcji i systemach sterowania. Oparte na regułach plany dostępu to kolejny poziom zabezpieczeń.
– Trzeba umieścić dostęp do zabezpieczeń na poziomie danych – mówi Rashesh Mody, główny architekt ds. standardów otwartych w Fundacji OPC, a także dyrektor głównego działu technicznego w Wonderware, dostawcy oprogramowania informacyjnego i automatyki przemysłowej. Większość dzisiejszych systemów SCADA egzekwuje bezpieczeństwo jedynie na poziomie operator–wyświetlacz. Jeśli można podejść do komputera HMI (interfejs człowiek–maszyna), można sterować procesem. Powiedzmy, że mamy zawór, który otwiera się i zamyka. Komu wolno nim sterować? System powinien pilnować, aby tylko osoby A, B i C (ich kierownik) mogły otwierać zawór. Wówczas mamy dwuwarstwowy system, wykorzystujący prawa zabezpieczone i prawa potwierdzone. Osoba posiadająca prawa zabezpieczone wprowadza swoje nazwisko i hasło raz, na początku zmiany. Następnie uzyskuje dostęp do tych części systemu, w których ma prawo przebywać i może swobodnie działać w ich obrębie. Wprzypadku systemu praw potwierdzonych dwie osoby musiałyby się zalogować, aby uzyskać dostęp do elementów systemu. Na przykład zmiana receptury mogłaby wymagać protokołu praw potwierdzonych.
Mody zaleca także podział zakładu na pięć stref i zajęcie się kwestią bezpieczeństwa w obrębie każdej z nich oraz na połączeniach między strefami. – Mamy sieć I/O, w której sygnały przychodzą do systemu sterowania, sieci zakładowej, ośrodka danych, sieci korporacyjnej oraz strefy internetowej – mówi Mody. – Musimy wiedzieć, kto ma dostęp do każdego z tych elementów i jak one są połączone.
Zarządzanie zmianami to kolejna kwestia szczególnej wagi w środowiskach przetwórczych. – Nie chcemy, żeby ktoś zmieniał nasze receptury. Ale problemem są nie tylko potencjalni złoczyńcy. Kierujący się dobrymi intencjami pracownicy firmy mogą być równie szkodliwi – uważa Mody. Według ARC Research 80% naruszeń bezpieczeństwa systemu sterowania procesem pochodzi z wewnątrz zakładu, a sprawcą często jest ktoś, kto nie miał złych zamiarów. – Aby przeciwdziałać niezamierzonym konsekwencjom – mówi Singer – bazujące na plikach programy kontrolujące integralność muszą nas informować, czy jakiś plik został zmieniony i jednocześnie umożliwiać zaradzenie temu. Ostatnią linią obrony w przypadku systemów sterowania procesem (można ją nazwać opcją atomową) jest całkowita izolacja. System na tyle ważny, że nie można ryzykować, iż osoba nieupoważniona uzyska do niego dostęp, powinien być oddzielony od reszty firmy. Związana z tym decyzja musi być kompromisem pomiędzy bezpieczeństwem a korzyściami wynikającymi z możliwości nawiązywania połączeń.
Pomoc w drodze
Ważniejsi dostawcy przemysłowych systemów automatyki, np. ABB, GE Fanuc, Honeywell, Rockwell czy Invensys, wbudowują systemy zabezpieczeń w swoje oferty, automatyzując egzekwowanie polityki bezpieczeństwa i umożliwiając „uszczelnienie” systemu w maksymalnym stopniu. Dostawcy systemów sieciowych, na przykład Cisco Systems, także traktują bezpieczeństwo produkcji priorytetowo. Wielu dostawców oprogramowania i urządzeń zabezpieczających oferuje wszystko: od zabezpieczeń przed spamem i wirusami do systemów wykrywania włamań i zapobiegania im oraz kamer wideo, połączonych z czujnikami i uruchamiających alarmy, gdy ktoś naruszy fizyczne bariery gdzieś w odległych obiektach.
|
|
|
Przewodniczący Komitetu Norm Bezpieczeństwa ISA-SP99, Bryan Singer twierdzi, że zmiany w systemach sterowania procesem mogą mieć poważne, nieplanowane konsekwencje; dlatego tak ważne jest śledzenie zarządzania zmianami |
Organizacje takie jak ISA, za pośrednictwem swojego komitetu ISA-SP99, opracowują normy i najlepsze sposoby postępowania, by dostarczyć wytwórcom wytyczne dotyczące wdrażania zabezpieczeń w sferze sterowania. Zarówno CERT, Computer Emergency Response Team na Uniwersytecie Carnegie Mellon w Pittsburgu, jak i National Institute of Standards and Technology (NIST) dysponują znacznymi środkami w tej dziedzinie.
Niepozostający w tyle Microsoft w ciągu ostatniej dekady ugruntował silną pozycję w sferze produkcji. Microsoft Manufacturers Users Group (MSMUG) współpracuje z tym dostawcą oprogramowania, a celem współpracy jest zajmowanie się kwestiami bezpieczeństwa pod kątem wytwórców wykorzystujących systemy bazujące na Windows.
Najtrudniejszy w zabezpieczaniu systemu sterowania procesem może okazać się wybór systemu, poziomu bezpieczeństwa oraz strategii odpowiednich dla danej operacji. Sam sprzęt i oprogramowanie bowiem nie wystarczą.
W ostatecznym rozrachunku cena bezpieczeństwa systemu sterowania jest taka sama, jak cena wolności – to bezustanna czujność. Zabezpieczanie operacji produkcyjnych nie jest celem, ale procesem, a dostawcy i wytwórcy biorą udział w wyścigu zbrojeń przeciwko „szkodnikom”. Jednocześnie dyrektorzy finansowi wciąż przypominają swoim odpowiednikom w wydziałach produkcyjnych, że bezpieczeństwo kosztuje.
Na każdy plan bezpieczeństwa systemu sterowania należy patrzeć w kontekście bezpieczeństwa na skalę całej firmy i… biznesplanów. Firmy muszą znaleźć złoty środek: zabezpieczyć, ale nie popaść w paranoję. – Istnieje moment, w którym koszt przeprowadzenia kuracji przekracza koszt ryzyka albo zabezpieczenia zakłócają funkcjonowanie działu produkcji – mówi Singer. – Trzeba znaleźć kompromis między negatywnym wpływem na funkcjonowanie działu produkcji a uzyskanymi korzyściami.
