Dane dotyczące przebiegu produkcji należą do najbardziej wrażliwych w działalności każdego zakładu. Jednym z powszechnie stosowanych rozwiązań służących do akwizycji, przetwarzania i archiwizacji danych pochodzących z produkcji są systemy SCADA (Supervisory Control And Data Acquisition). Ewentualny wyciek danych lub zakłócenie pracy tego systemu nadzoru, stanowią istotne ryzyka dla funkcjonowania przedsiębiorstwa.
Ryzyko związane z cyberbezbieczeństwem potęgują panujące trendy: koncepcja Przemysłu 4.0, IoT (Internet rzeczy) oraz aplikacje i dane w chmurze obliczeniowej. W wymiarze praktycznym zmiany te prowadzą do sytuacji, w której coraz więcej urządzeń jest ze sobą połączonych. Urządzenia te wymieniają też ze sobą coraz więcej informacji, transferując je poprzez sieć internetową.
Aby sprostać współczesnym zagrożeniom, systemy SCADA powinny podlegać ciągłej aktualizacji i rozwojowi w zakresie cyberbezpieczeństwa. W pracy nad bezpieczeństwem oprogramowania z pomocą przychodzą liczne międzynarodowe normy i standardy. Należą do nich m.in.:
- ISO/IEC 27000 – norma opisująca najlepsze praktyki zarządzania bezpieczeństwem informacji, zawierająca katalog potencjalnych zagrożeń;
- IEC 62351/ IEC 60870 – standardy dotyczące bezpieczeństwa protokołów komunikacyjnych;
- NIST SP 800-82/ NIST SP 800-53 – standardy zawierające wskazówki dotyczące budowy zabezpieczeń systemów SCADA.
Rozwiązania chroniące system SCADA
W celu zwiększenia bezpieczeństwa systematów SCADA stosuje się m.in. następujące rozwiązania:
Tokeny USB – urządzenia służące do poświadczenia tożsamości użytkownika, które można podłączyć do standardowego gniazda USB w komputerze. Token USB jest stosowany jako dodatkowe zabezpieczenie do hasła lub zamiast niego.
Uwierzytelnianie wielopoziomowe (MFA – Multi Factor Authentication) – oprócz podania hasła użytkownik musi podczas logowania wpisać unikalny kod, wygenerowany przez system i przesłany za pośrednictwem sms lub e-mail.
Pojedyncze logowanie (SSO – Single Sign-On ) – dzięki tej usłudze użytkownik, po jednorazowym podaniu hasła, zyskuje dostęp do wszystkich przeznaczonych dla niego aplikacji i zasobów.
Protokół zabezpieczania komunikacji SSL/TLS (Secure Socket Layer/Transport Layer Security) – to szeroko stosowany protokół bezpieczeństwa danych przesyłanych przez sieć. Protokołem tym szyfruje się wszelkie dane przesyłane przez protokół http i gniazda sieci Web, zabezpieczając je przed szpiegowaniem i atakami typu session hijacking (przechwytywanie sesji).
Infrastruktura klucza publicznego (PKI – Public Key Infrastructure) – idea KPI sięga lat 80. Jest to zbiór sprzętu, oprogramowania, ludzi, polityki oraz procedur niezbędnych do tworzenia, zarządzania, przechowywania, dystrybucji oraz odbierania certyfikatów opartych na kryptografii z kluczem publicznym.
Bezpieczeństwo urządzeń
O poziomie cyberbezpieczeńtwa produkcji nie decyduje tylko sam system SCADA i sieć, za pośrednictwem której przesyłane są dane. Należy równolegle pamiętać o zabezpieczaniu urządzeń, z którymi SCADA współpracuje. Należą do nich komputery, serwery czy sterowniki PLC.
W celu ochrony komputerów i serwów pamiętać również należy o elementarnych zasadach ich zabezpieczenia:
- usuwanie/nieinstalowanie niepotrzebnych programów;
- aktualizacja oprogramowania;
- odpowiednia konfiguracja zapór sieciowych;
- wyłączenie funkcji zdalnego dostępu.
Jeśli użycie funkcji zdalnego dostępu jest z jakiegoś powodu niezbędne, należy pamiętać o skorzystaniu z sieci VPN.
Sterowniki PLC można natomiast zabezpieczyć stosując tzw. segmentację sieci. W takiej konfiguracji dane OT (Operational Technology) przechowywane są w oddzielnej, prywatnej sieci VLAN chronionej szyfrowaniem. Inną opcją jest użycie bram jednokierunkowej transmisji danych, które pozwalają na przekazywanie informacji z sieci SCADA tylko w jednym kierunku.