KYBERBEZPEČNOST


Jak zvýšit kybernetickou bezpečnost v průmyslových prostředích

Raději být v bezpečí než toho později litovat: pokud se podniky snaží ušetřit na zavádění bezpečnostních opatření ve svých automatizačních systémech nebo se bez nich chtějí zcela obejít, riskují tím katastrofální následky. V nejhorším případě toho po kybernetickém útoku nejen litují, ale mohou utrpět i vážné ztráty či dokonce přijít o své konkurenční výhody. TIA Portal funguje nejen jako centrální inženýrský rámec, ale nabízí i řadu funkcí, které pomáhají minimalizovat riziko kybernetických útoků.

Autor: Siemens, s.r.o.

„Tak to se mi nestane … To bych se na to podíval, kdyby se něco takového dělo… ,“ řada z nás si v sobě mnohdy pěstuje neochvějnou jistotu, že se nikdy nestane obětí žádného kybernetického útoku. Vždyť jsme přece dost chytří, phishingové e-maily dokážeme rozeznat okamžitě a nikdy bychom si nestáhli malware. Ale jsme opravdu tak chytří? Podle zprávy Spolkového úřadu pro informační bezpečnost (BSI) o stavu IT bezpečnosti v Evropě v roce 2021 se každý čtvrtý Evropan stal obětí internetové kriminality. Kybernetické útoky jsou navíc mnohem lukrativnější, jsou-li namířeny proti společnostem, nikoli jednotlivcům, a pachatelé těchto útoků jsou v této oblasti bohužel stále úspěšnější. Podle studie digitálního sdružení Bitkom bylo v letech 2020-21 napadeno až devět z deseti společností (88 %).

Účinný boj proti kybernetickým hrozbám

Útočníkům jejich práci usnadňuje i neustále se zvyšující tempo digitalizace a s tím související rostoucí propojení mezi systémy OT (výrobní technologie) a IT (informační technologie). Proto se kybernetičtí útočníci stále více zaměřují na výrobní technologie (OT), které tak musí podléhat stejné bezpečnostní ochraně a řídit se strategiemi, jaké již dlouho známe z oblasti IT. V opačném případě hrozí ztráta odborných znalostí a dat, poškození zařízení, nebo dokonce úplný výpadek výroby, což může pro každou společnost znamenat vysoké náklady. Existují však možnosti, jak výzvy komplexní kybernetické bezpečnosti zvládnout. Mezi nimi jsou i bezpečnostní komponenty, které jsou nedílnou součástí inženýrského rámce TIA Portal.

TIA Portal pomáhá specialistům na automatizaci v průběhu celého životního cyklu zařízení, od plánování přes projektování až po uvedení do provozu a údržbu. Proto je nezbytné zajistit, aby bezpečnost hrála v prostředí TIA Portal ústřední roli. Co to ale konkrétně znamená pro naše průmyslové zákazníky? Nabízíme jim nástroj, který jim umožní konfigurovat a spravovat všechna nastavení a možnosti kybernetické bezpečnosti centrálně, což jim zaručí špičkové standardy bezpečnosti. Uživatelsky příjemné prostředí jim pak nabízí optimální vstup do této oblasti.

Bezpečná komunikace

Mezi bezpečnostní funkce, které jsou součástí TIA Portal V17, patří zabezpečené mechanismy pro komunikaci mezi propojenými zařízeními (inženýrskými stanicemi, řídicími jednotkami a/nebo operátorskými panely). Internetový standard TLS 1.3 umožňuje kódovat data odesílaná mezi jednotlivými zařízeními a individuální certifikáty pro každý řídicí systém jsou zárukou integrity dat mezi komunikačními partnery. Tyto bezpečnostní certifikáty mohou být buď importovány do prostředí TIA Portal, nebo vytvořeny s pomocí správce certifikátů. Důvěrná konfigurační data lze v systému TIA Portal i v řídicích jednotkách chránit také prostřednictvím hesla definovaného uživatelem. Tímto způsobem můžete jako uživatel chránit svá data před přístupem třetích stran a manipulací.

Díky koncepci „Security by default“ jsou v TIA Portal V17 standardně předem nakonfigurovány a aktivovány konkrétní možnosti pro vyšší úroveň zabezpečení strojů a zařízení. Například přístup k řídicím jednotkám je zabezpečen různými stupni ochrany již od samého počátku. Komunikace PG-HMI je standardně kódována s pomocí TLS a přístup k řídicímu systému je chráněn heslem.

Maximální uživatelskou přívětivost zajišťuje průvodce zabezpečením Security Wizard, který se automaticky spustí při nastavení nového řídicího systému a provede vás konfigurací zabezpečení. Tento bezpečnostní asistent vysvětluje funkci a dopad všech zvolených možností snadno a jednoduše tak, že nakonec můžete standardně nastavit preferovaná nastavení. 

Správa uživatelů a řízení přístupu

Další důležitou stránkou zabezpečení je správa uživatelů s pomocí systému UMAC (User Management & Access Control), který je nedílnou součástí TIA Portal V17. Díky němu můžete svým zaměstnancům kromě specifického přístupu pro každé použití přidělit konkrétní role a práva, aby nedocházelo k neoprávněnému přístupu k dílčím součástem projektu, strojům a zařízením. Lze například jednomu projektovému inženýrovi udělit přístup pouze k jednomu řídicímu systému, zatímco jiný může mít přístup omezený pouze na rozhraní HMI. Systém UMAC navíc dokáže projekt po určité době nečinnosti automaticky uzamknout, např. pokud zaměstnanec opustí pracovní místo během polední přestávky. Jednotné přihlašování zajistí bezproblémový průběh práce, jelikož díky jednomu přihlášení není nutné zadávat během procesu projektování heslo pro každé jednotlivé zařízení. Další praktickou možnost nabízí firmám funkce UMC (User Management Control): uživatele nebo skupiny uživatelů lze nyní snadno importovat ze služby Microsoft Active Directory a uložit na centrální server. 

Správa certifikátů prostřednictvím OPC UA

Pro neustále rostoucí propojování prostředí OT a IT, je nedílnou součástí otevřený standard, který toto propojení umožňuje – OPC UA. OPC UA Global Discovery Server (GDS) nyní podporuje správu certifikátů pro řídicí jednotku SIMATIC S7-1500 a aktualizuje certifikáty OPC UA Serveru například během provozu. Výhodou je, že není třeba přerušovat výrobu. Zároveň uživatel získá zvýšenou ochranu přístupu, a pokud je systém i přesto ohrožen, může reagovat rychleji.

Ačkoli kybernetická bezpečnost nemusí vždy patřit mezi oblíbená témata, je nutné neopomínat její důležitost vzhledem k množství možností, které dnešní kybernetičtí pachatelé mají, a kde všude mohou zaútočit. Bohužel však neexistuje žádný způsob, jak se této tematice vyhnout. Naopak – je lepší, když se jí začneme zabývat co nejdříve!