Zaščita naprav za industrijsko avtomatizacijo – ključna priporočila podjetja Rockwell Automation
Kibernetska varnost v industrijskih omrežjih je ključni del zanesljivosti delovanja avtomatizirane proizvodnje. Podjetje Rockwell Automation redno objavlja varnostna obvestila in priporočila, ki odražajo trenutne kibernetske grožnje in opredeljujejo najboljše prakse za zaščito krmilnih sistemov.
Ta članek se nanaša na najnovejše objavljeno varnostno obvestilo – Varnostno obvestilo št. SD1771, katerega celotno besedilo je na voljo tukaj: https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html .
Opomba: Povezave v tem članku vodijo do tehnične dokumentacije podjetja Rockwell Automation, ki je dostopna le prijavljenim uporabnikom. Če želite slediti povezavam, se prijavite s svojim uporabniškim računom na https://www.rockwellautomation.com/.
Priporočila podjetja Rockwell Automation (SD1771)
Ne izpostavljajte naprav OT-omrežja javnemu internetu
Naprave OT, kot so PLC-ji, HMI vmesniki ali nadzorni strežniki, ne smejo biti izpostavljene javnemu internetu, saj niso zasnovane za neposredno soočenje z zunanjimi grožnjami. Dostopnost takih naprav do interneta lahko vodi do nepooblaščenega poseganja v nadzor procesov, spreminjanja proizvodnih procesov, izpadov proizvodnje, poškodb opreme ali v skrajnih primerih celo ogrožanja varnosti operaterjev.
Dostop do teh naprav je treba izvajati prek nadzorovanih in zavarovanih plasti.
Segmentacija omrežja, požarni zid, IDMZ
Za arhitekturo industrijskega omrežja se priporoča naslednje:
- Segmentacija v cone (ISA/IEC 62443)
- Ločitev IT in OT
- Nadzorovana komunikacija med conami
- Uporaba industrijskih požarnih zidov
- Vzpostavitev IDMZ (industrijskih demilitariziranih con)
Smernice in priporočene prakse za arhitekturo industrijskih omrežij so na voljo v naslednjih dokumentih:
Defense-in-Depth Strategy (večplastna zaščita)
Priporoča se hkratna uporaba več varnostnih plasti, kot so segmentacija + nadzor dostopa + spremljanje. Več o strategiji večplastne zaščite je na voljo v dokumentu:
Varnost komunikacije – CIP Security
Za zaščito komunikacije med napravami v industrijskem omrežju se priporoča uporaba tehnologije CIP Security, ki standard EtherNet/IP razširja z varnostnimi mehanizmi.
CIP Security omogoča:
- Preverjanje pristnosti naprav
- Šifriranje komunikacije
- Upravljanje zaupanja med posameznimi vozlišči
Več o tehnologiji CIP Security najdete tukaj:
Funkcije za nadzor dostopa in varnost
Poleg zaščite komunikacije je ključnega pomena tudi nadzor nad tem, kdo in na kakšen način lahko dostopa do sistema. Rockwell Automation priporoča uporabo orodij za upravljanje identitet in dostopa v kombinaciji z integriranimi varnostnimi funkcijami krmilnika.
- FactoryTalk Security
- Role-based access control (RBAC)
- Konfiguracija krmilnika in zaščita programa
Podroben opis sistema FactoryTalk Security je na voljo tukaj:
Posebna priporočila za posamezne krmilne sisteme
Varnostno obvestilo SD1771 dopolnjuje splošna priporočila s povezavami do dokumentacije za posamezne družine krmilnikov, kjer so opisane razpoložljive varnostne funkcije in njihova konfiguracija.
Logix (ControlLogix / CompactLogix)
Za platformo Logix se sklicuje na posebno varnostno dokumentacijo za konfiguracijo krmilnih sistemov v okolju Studio 5000.
Ključna področja:
- Konfiguracija varnosti krmilnika
- Upravljanje dostopnih pravic (FactoryTalk Security)
- Zaščita programa (source protection)
- Varnost dostopa do krmilnika
- Logix 5000 Controllers Security Programming Manual (1756-PM016)
- Logix 5000 Controllers General Instructions Reference Manual (1756-RM018)
Micro800 (Micro820 / Micro850 / Micro870)
Za serijo krmilnikov Micro800 so varnostne funkcije opisane neposredno v uporabniških priročnikih (User manual), njihova pravilna konfiguracija pa je bistvena za zmanjšanje tveganja.
Priporočila vključujejo:
- Pravilna konfiguracija komunikacije
- Omejitev dostopa
- Uporaba razpoložljivih varnostnih funkcij
Dodatna literatura podjetja Rockwell Automation
