Киберзащита как конкурентное преимущество

При выборе поставщика ПЛК даже для корпоративных клиентов значимой является цена внедрения инноваций. Второй немаловажный фактор — качество продукции. Для промышленных систем данный фактор жизнеспособности продукта выражен в его надежности и устойчивости к внешним воздействиям, в том числе к кибератакам. Защита систем промышленной автоматизации становится проще и эффективнее, если контроллеры содержат встроенные функции кибербезопасности.  Лучшие практики учитывают несколько аспектов.

Публикуется по материалам издания Control Engineering (www.controleng.ru)

Ссылка на публикацию: https://controleng.ru/wp-content/uploads/8786.pdf

 Операционные системы (ОС)

ОС любого промышленного контроллера определяет степень его вычислительных возможностей и возможностей ввода/вывода (I/O). Обычно ПЛК используют выделенные или встроенные ОС с закрытым исходным кодом, адаптированные к требуемому быстродействию логического решения. Индустриальные ПК также оснащены ОС с закрытым исходным кодом, чаще всего Microsoft Windows. Реже применим другой вариант ОС – Linux, с открытым исходным кодом.  И хотя перспективы для встраивания ОС с закрытым исходным кодом для использования в ПЛК пока еще относительно не ясны, появление вируса Stuxnet почти десять лет назад уже продемонстрировало, что коммерчески доступные платформы промышленного управления на основе закрытых систем не являются  на 100% жизнеспособными объектами, эффективно противостоящими кибератакам.

Кроме того, ОС, специально созданная для промышленного контроллера, должна быть криптографически подписана ее производителем. Контроллер должен принимать только сборки ОС, утвержденные изготовителем, что гарантирует происхождение сборки и исключает несанкционированное изменение кода ОС.

Сетевые интерфейсы

Современные промышленные контроллеры, хотя многие спе­циализированные индустриальные полевые шины все еще использу­ются, в значительной степени уже зависят от коммерческого Ethernet. В общем случае для промышленных контроллеров Ethernet обеспечивается физически проводными сетевыми интерфейсами. Однако подключение устройств может быть реализовано и через беспроводные технологии, например через Wi-Fi.

Одним из важнейших элементов сетевой инфраструктуры является маршрутизатор — сетевое устрой­ство, которое настраивается для маршрутизации трафика между любыми двумя сетями. Маршрутизаторы перемещают данные между обеими сетями — доверенной и недоверенной.

Для промышленных приложений, как правило, требуются контроллеры с несколькими независимыми сетевыми интерфейсами, а потому доверенные и недоверенные сети могут быть разделены. Один сетевой интерфейс назначается как локальная доверенная сеть, а другой — как внешняя недоверенная сеть. И здесь есть нюанс: чтобы никакой внешний злоумышленник не мог подключиться к доверенной сети из недоверенной, эти интерфейсы не должны быть маршрутизируемыми (рис. 1).

Промышленный контроллер должен иметь собственный брандмауэр и предоставлять средства для его настройки. При этом для промышленных приложений доверенному сетевому интерфейсу потребуются порты, связанные с логикой управления, соединениями с портами ввода/вывода (I/O) или другими промышленными протоколами.

По умолчанию рекомендуется откры­вать только необходимые порты и блокировать все остальные порты, а недоверенному сетевому интерфей­су вообще блокировать все порты доступа (рис. 2).

Доступ пользователя

Ключевой особенностью совре­менных компьютеризированных устройств является концеп­ция учетных записей пользователей с назначенным доступом и привиле­гиями.  

Промышленный контроллер  должен требовать, чтобы администратор выбирал уникальные учетные данные при создании каж­дой учетной записи. Рекомендуется создавать учет­ные записи только для разрешен­ных пользователей, предоставлять им лишь необходимые привилегии, кто и что может получить доступ к системе и, следовательно, кто и что не может от нее получать или изменять в ней что-то (рис. 3).

Общим требованием для внешних пользователей является подключе­ние к контроллеру через интернет. Безопасный порт, который шифру­ет всю передачу данных и разрешает подключаться только аутентифи­цированным пользователям, может выполнить это требование, создав безопасное соединение.

Лучшим вариантом считается выбор контрол­лера с уже встроенными возможностя­ми безопасного VPN-туннеля, что дает персоналу OT полный контроль над VPN-подключениями для безопасного соответствия их потребностям  без участия третьих лиц (рис. 4).

Передача данных

Смысл оснащения контроллеров сетевыми интерфейсами заключается в обеспечении соединений для пере­дачи данных. Связь на доверенной стороне для контроллера относительно проста, входящие соединения по ненадежной сети должны проходить через VPN или быть заблокированы.

Но как передавать данные, если VPN сложно настроить? Например, как OEM-производитель будет получать необходимые для него данные от машин на объектах клиентов для выставления счетов или технического обслуживания?

Ответ заключается в использова­нии исходящих протоколов обме­на данными от устройств. Одним из таких протоколов является MQTT (message queuing telemetry transport) — упрощенный сетевой протокол, работающий поверх TCP/ IP и ориентированный для обмена сообщениями между устройствами по принципу «издатель-подписчик» (рис. 5).

Обмен сообщениями в про­токоле MQTT осуществляется между клиентом (client), который может быть издателем или подписчиком (publisher/subscriber) сообщений, и брокером (broker) сообщений.

Как сказано выше, исходящие соединения обычно разрешаются через брандмауэр, потому что они являются доверенными. Контроллер с использованием исходящего сое­динения настроен на выдачу (здесь он выступает как издатель) данных, представляющих интерес для внеш­него центрального брокера. Удален­ные пользователи подключаются и подписываются на центрального брокера аналогичным образом. Пото­му что только так соединение разре­шает двусторонний поток данных, при этом все соединения будут аутен­тифицированы и зашифрованы.

Еще одна ключевая функция, кото­рую нужно иметь в промышленном контроллере, — встроенное управ­ление сертификатами безопасности.

Сертификаты могут быть реа­лизованы различными способами, они могут быть созданы конечным пользователем или зарегистриро­ваны через центр сертификации (рис. 6).

Промышленные контролле­ры, поскольку от их должного функ­ционирования зависит не только каче­ство продукции, но и безопасность персонала и среды, должны исполь­зовать отраслевые стандарты сертификации, аналогичные банковским и сайтам электронной коммерции.

Проце­дурные рекомендации по улучшению кибербезопасности промышленных контроллеров

• Минимизация использования интерфейсов: самая кибербезопасная система — это физически разделенная система (отключен­ная от сети) и не имеющая внеш­них интерфейсов. Однако, как правило, это непрактично, но воз­можно, если контроллер предла­гает уже встроенный интерфейс. В любом случае всегда удаляйте ненужные сетевые соединения и блокируйте неиспользуемые порты.
• Минимизация доступа: назначь­те пользователям минимально возможные привилегии в соот­ветствии с тем, что им конкретно нужно видеть и делать, и требуйте, чтобы они выходили из системы, когда они неактивны, особенно это касается пользователей с пра­вами администратора. Данный совет распространяется на все элементы системы управления, включая HMI, которые должны по возможности выполнять­ся в информационном режиме и только для чтения.
• Разработка и эксплуатация систе­мы в условиях производства: помните, что это разные вещи. Ограничения иногда смягчают­ся для тестирования и создания прототипов. Убедитесь, что кон­троллер полностью защищен после тестирования и перед вво­дом в эксплуатацию. Некоторые контроллеры на основе Linux для разработки пользовательских приложений разрешают пользо­вателям применять безопасный доступ к оболочке (Secure Shell, SSH). После завершения раз­работки убедитесь, что доступ к оболочке отключен.

Фото - freepik.com

Яндекс.Директ