Aktuální vydání

celé číslo

08

2024

Automatizace v potravinářství a farmacii

Měření a regulace průtoku, čerpadla

celé číslo

Řídicí systémy a kybernetická bezpečnost

číslo 2/2003

Řídicí systémy a kybernetická bezpečnost

Současné distribuované systémy pro řízení technologických procesů (dále jen řídicí systémy) jsou založeny na spolupráci nejrůznějších navzájem propojených prostředků výpočetní techniky. Masivní průnik počítačů do řízení průmyslových technologií však přináší nejen dříve nemyslitelné možnosti, ale i nové starosti. Na mnoha technických fórech i v odborné literatuře je v poslední době v souvislosti s vývojem v oblasti řídicích systémů upozorňováno na problematiku jejich zabezpečení v kybernetickém prostoru neboli kybernetickou bezpečnost, bezpečnost v kyberprostoru apod. Tedy na problematiku, jež dosud byla téměř výhradně spojována s výpočetními prostředky používanými v oblasti zpracování hromadných dat (tj. informačními technologiemi – IT). Oba světy, řízení technologií i IT, se prolínají – mluví se o zabezpečení IT ve výrobě, o bezpečnosti IT v kybernetickém prostoru výrobního závodu apod. Vesměs s konstatováním, že uživatelé moderních řídicích systémů věnují jejich zabezpečení z pohledu v nich obsažených komponent IT (kybernetickému zabezpečení, dále jen zabezpečení) zcela nedostatečnou pozornost. Jako kdyby bylo zcela samozřejmě dáno. Což ovšem není!

Otevřené systémy jsou méně bezpečné

Novější otevřené řídicí systémy nejsou v důsledku své moderní stavby samy od sebe lépe zabezpečeny. Naopak, od svých integrátorů i uživatelů – z pohledu odolnosti proti specifickým hrozbám provázejícím používání současné výpočetní techniky – vyžadují oproti minulosti leccos navíc. Třebaže jsou na jedné straně snadno ovladatelné a vycházejí svým uživatelům všemožně vstříc, z druhé strany, co se týče jejich zabezpečení, není vždy tak úplně snadné proniknout k podstatě věci a vyhnout se alespoň těm největším rizikům.

Všeobecně se s příchodem moderních otevřených architektur řídicích systémů založených na komerčních operačních systémech počítačů, popř. komponentách otevřených sítí, prosadil trend směrem k operátorským rozhraním (Human Machine Interface – HMI) a inženýrským stanicím založeným na počítačích typu PC s případným použitím sítě Ethernet. Zároveň s nespornými výhodami s sebou tato technika otevřených systémů přináší i mnohá rizika, často skrytá. Dřívější proprietární systémy, strukturovanější, ale i méně pružné, se ze své podstaty vyznačovaly přirozenou dosti vysokou úrovní kybernetického zabezpečení. Tu nové systémy, není-li na ni zvlášť pamatováno, postrádají. Řešení problémů s jejich zabezpečením je dále komplikováno šíří i hloubkou multidisciplinárních znalostí, které musí uživatelé mít, aby dokázali najít správné otázky i odpovědi.

Nové systémy mohou být integrovány z komponent. Není-li ovšem při jejich realizaci, založené na snadném sdílení dat, explicitně věnována pozornost kybernetickému zabezpečení, může být výsledkem systém velmi snadno zranitelný chybami v softwaru, nepředvídanými událostmi, popř. i svévolnými útoky. Systém může být v mnohém dokonce daleko zranitelnější než jeho výchozí komponenty.

Podívejme se nyní podle [1] a [2] na některé z hlavních problémů týkajících se kybernetického zabezpečení, se kterými se lze u řídicích systémů setkat, na opatření, která lze uskutečnit, a také na možnosti využití standardních zabezpečovacích procedur běžných ve světě IT.

Hlavní zdroje problémů

Standardně používanými operačními systémy jsou Unix a různé produkty společnosti Microsoft. Jejich úkolem je poskytovat základní služby (přenosy a ukládání dat) a současně umožňovat činnost aplikačních programů. V uvedené oblasti je jedním z hlavních problémů velký počet lidí, kteří se věnují vyhledávání slabin těchto produktů, a dále rychlost, s jakou se šíří výsledky jejich „práce“.

Co se týče protokolu OPC (OLE for Process Control), je jeho vnitřní bezpečnost založena na zabezpečení operačního systému Windows. Má-li však protokol správně pracovat, musí být zabezpečení v některých případech zablokováno (např. zde jsou komponenty Active X s přístupem k citlivým částem obsahu počítače). Ke značným škodám tak může dojít v důsledku bezděčných chyb v softwaru i záměrného skrytého útoku. Jak uvádí [1], zjistila nezávislá organizace při ověřování protokolu SNMP (Simple Network Management Protocol), používaného ke správě infrastruktury sítě, nedostatky z hlediska zabezpečení u typických realizačních postupů i u produktů významných dodavatelů, kteří SNMP podporují.

Vývoji dokonalejších metod zabezpečení se v průmyslu i jinde sice věnuje mnoho seskupení a pracovišť, většinou však dlouhodobě zaměřených na práci na standardech apod., a nikoliv na pomoc současné praxi. Určité možnosti, jak ihned zdokonalit zabezpečení řídicího systému, přitom existují.

Okamžité kroky k lepšímu zabezpečení

Postup je, řekněme, klasický: nejprve je třeba klasifikovat možná nebezpečí podle úrovně ohrožení řídicího systému, provést předběžný audit jeho zabezpečení a realisticky stanovit cíle v této oblasti. Dále je zapotřebí sestavit seznam úloh, přednostně se věnovat těm nejdůležitějším a v přiměřeném čase dosáhnout patrného pokroku. Vhodným východiskem je seznam stávajících zdrojů vnějšího i vnitřního ohrožení provozuschopnosti technologie. Ten ovšem nemusí dostačovat, je-li založen na mylných očekáváních – třeba neuvažuje něčí úmyslnou snahu uškodit nebo opomíjí možnost současného selhání komponent v mnohonásobných systémech apod.

Celkem jednoduchým krokem, který může pomoci odhalit očividné závady a dát je do souvislosti s ostatními skutečnostmi, je systematická kontrola zabezpečení. Na všechno, co se v technologii, řídicím systému i kolem nich děje, je při ní třeba podívat se očima toho, kdo by mohl chtít těžit z některé ze jejich slabin. V distribuovaném řídicím systému je vždy zapotřebí snažit se zachovat tradiční separaci komunikace v jednotlivých vrstvách řízení, a to i když jsou jejich protokoly kompatibilní. To pomáhá izolovat problémy při komunikaci a jejich důsledek, ať už je prvotní příčinou průlom do zabezpečení nebo chyba hardwaru či softwaru. Jsou-li k propojení řídicích vrstev použity standardní PC, je třeba pečlivě zkontrolovat instalovaný software i komunikační služby, které poskytuje operační systém jednotlivým rozhraním.

Je-li zranitelná síť operátorských rozhraní, je vhodné použít jednu vyhrazenou, fyzicky zabezpečenou a přímo k řídicí síti připojenou operátorskou stanici jako zálohu umožňující kdykoliv vykonávat monitorovací i řídící činnosti. Pro případ, že by se řídicí systém zjevně stal objektem útoku, musí být možné síť operátorských rozhraní rychle odpojit. Napájení oddělených PC ve velínu je třeba řešit tak, aby mezi nimi a komponentami řídicího systému nebylo žádné fyzické spojení.

Provoz podle protokolu OPC musí přednostně probíhat mimo podnikovou informační síť. Nelze-li se jí vyhnout, je nezbytné omezit počet a význam neochráněných funkcí na minimum. Na veškerých komunikačních vazbách zabezpečené oblasti s okolím, jako jsou např. telefonní linky, připojení k internetu a rádiové modemy, je nutné zavést dostatečně účinné potvrzovací a šifrovací procedury.

Oblasti již vybavené bezpečnostními systémy jsou s největší pravděpodobností v organizaci ty nejrizikovější, a zabezpečit alespoň bezpečnostní systém je patrně snazší než zabezpečovat řídicí systém jako celek. I takové omezené řešené je přitom významným krokem k větší odolnosti.

Na pozoru je třeba se mít před utajenými vazbami obcházejícími stávající anebo plánované zabezpečení, jako jsou např. přímá modemová spojení, software umožňující „tunelování“, programy volající zpět „domů“ nebo otevřené nepotřebné komunikační porty. O „volání domů“ se hovoří u produktů pokoušejících se navázat po internetu spojení s určitou adresou (typicky s původcem produktu) s cílem získat aktuální verzi programu anebo předat informace o výkonnosti. Kontrolovat co do fyzického propojení i softwarového zabezpečení je třeba také doplňkové prostředky pro údržbu a ladění od třetích stran, jež jsou zahrnuty do dodávky konečným dodavatelem.

Rizika plynoucí z nových instalací i z doplňků stávajících instalací je nutné prověřit v raných stádiích projektu a práci na potřebných opatřeních zahrnout do plánu projektu. Mnohem snazší je odstranit nedostatky v zabezpečení před tím, než se na ně přijde při instalaci a předávání řídicího systému.

Stejně jako při zajišťování funkční bezpečnosti technologického zařízení je efektivní strategií použití několika úrovní ochrany řídicích systémů. Při jejím návrhu se berou v úvahu fyzické aspekty zabezpečení i personální hlediska. Přestože např. firewall, používaný ve světě IT, nemusí být dostatečným zabezpečením, jde o určitou první linii obrany. Důležité je také přesně vědět, proti jakým typům ohrožení ta která vrstva systém chrání, a tudíž jaké další ochranné vrstvy by měly být ještě doplněny.

Standardy zabezpečení IT a výrobní prostředí – ano i ne

V souvislosti s potřebou zajistit v prostředí výroby dostatečnou kybernetickou bezpečnost se lze setkat s názory, především odborníků z oblasti IT, typu: „Proč jednoduše nepoužít na úrovni výroby stávající postupy osvědčené při zabezpečování provozu IT – nejsou snad dost dobré?“, popř.: „Jaképak problémy, stačilo by, aby ti lidé z výroby zavedli naše osvědčené zabezpečovací procedury. Co je na nich nevyhovujícího?“

Obě otázky se zdají být celkem namístě. Proč prostě i u řídicích systémů nepostupovat podle pravidel obvyklých a osvědčených v tradičních aplikačních oblastech IT, ať už jde o návrh a provedení sítě, zacházení s hesly, správu přístupových práv apod.? V čem spočívají rozdíly, pro které lidé spjatí s řízením technologií vidí v bezpečnosti kyberprostoru ve výrobě specifický problém? Existují vůbec nějaké? Nebo jsou technici zabývající se řízením technologických procesů jenom tak hloupí, líní nebo zabednění, že se brání jednoduše zavést řešení již osvědčená ve světě IT?

Tak prosté to samozřejmě není. Ti, kdo se starají o technologické procesy a jejich řízení, jistě nemají (až na nepatrné výjimky) zmíněné špatné vlastnosti. Jistěže někteří nepoužívají odpovídající způsoby zabezpečení IT prostě proto, že jim nerozumějí. Valná většina však váhá z toho důvodu, že cítí, že mnohé z postupů zavedených ve světě IT nejsou dosti dobře slučitelné s výrobním prostředím. A pochybují oprávněně, a to ze čtyř hlavních důvodů.

Zpřístupnit či nezpřístupnit
Za prvé se cíle ve světě IT liší od cílů řízení technologií. Zatímco v IT jsou rozhodující výkonnost výpočetních prostředků a integrita dat, v průmyslu je prvořadým úkolem neohrozit bezpečnost lidí ani zařízení. Tato odlišnost přináší až propastné rozdíly v tom, co je kde pokládáno za přijatelný způsob zabezpečení.

Například u většiny operátorských stanic je naprosto nepřijatelný jinak standardní způsob „odemykání“ počítače prostřednictvím hesla – implicitně je totiž třeba operátorovi vstup do systému umožnit, a nikoliv mu v něm bránit. Tedy opak toho, co se a priori předpokládá a jak se přístup do systému řeší ve světě IT. Lze si vůbec představit, že by např. v situaci hrozícího přehřátí reaktoru operátor zpanikařil a třikrát po sobě špatně napsal své heslo, operátorské rozhraní by se na následujících deset minut uzamklo a obsluze by tak bylo znemožněno jakkoliv ovlivnit chování řízené technologie?

Server versus koncová zařízení
Za druhé se v síti IT a v  řídicí síti vychází ze zcela jiných přestav o tom, co je třeba chránit. Ve světě IT se chrání především centrální server, nikoliv koncový klient. Při řízení technologických procesů je ale daleko důležitější samo koncové zařízení než hlavní počítač. Standardní architektura používaná k zabezpečení komerčních sítí – firewall chránící server – tudíž nemusí být v průmyslových aplikacích ta pravá. Dokud není firewall u každého řídicího systému, zůstávají nejdůležitější řídicí prostředky z velké části nechráněny. Průmyslu momentálně zřejmě chybí nějaký hospodárný prostředek chránící jako firewall a současně široce distribuovaný, aby chránil kritická koncová zařízení.

Je namístě upozornit, že přístup k zabezpečení počítačů soustřeďující se na server (server-centric) prostupuje mnoha dokumenty týkajícími se komunikace v IT, a to např. standardem bezdrátového Ethernetu IEEE 802.11 [2]. Podle současné verze standardu nepotvrzují autentizační procedury nic víc, než že pracovní stanice žádající v centrálním přístupovém bodu o vstup do systému je autorizovaným zařízením. Přístupový bod nikdy nemusí koncovému zařízení prokazovat své oprávnění a autorizaci.

Tímto způsobem se sice zabrání v připojení neoprávněné stanici, ale již nikoliv tomu, aby neoprávněné přístupové body klamaly koncové stanice a umožňovaly jim vstup do nesprávné sítě. Možná, že ve světě IT se předpokládá, že pracovní stanici lze postrádat, což ale téměř jistě neplatí v případě programovatelného automatu jako koncového zařízení v bezdrátové síti.

Řízení probíhá v reálném čase
Za třetí existuje mnoho technologických procesů, které od řídicího systému požadují činnost v reálném čase, a to nepřetržitou. Toto je ve světě IT požadováno jen velmi zřídka. Výrobci řídicích systémů proto musí nejprve zjistit, nakolik může širší použití mnoha zabezpečovacích technik ovlivnit výkonnost jejich produktů a jaké problémy kolem toho mohou vzniknout. Teprve potom se budou moci rozhodnout, jak v průmyslových řídicích systémech reálného času kybernetickou bezpečnost zajistit.

Rozmanitost řídicích systémů
A nakonec, jako čtvrtý závažný důvod k pochybnostem, vystupuje samotná podstata řídicích systémů, mnohdy se opírajících o neobvyklé operační systémy a aplikační programy. Znamená to, že mnoho ochranných opatření založených na softwaru předpokládajícím součinnost s běžnými komerčními produkty nebude fungovat. A jestliže ano, je reálné nebezpečí, že budou zasahovat do řízení. Ve [2] je zmíněn případ, kdy po nesprávné reakci bezpečnostního systému nouzového odstavení kotle objevili vyšetřovatelé antivirový program nainstalovaný v počítači použitém ke konfigurování bezpečnostního systému. A tento antivir zablokoval správnou činnost bezpečnostního systému.

Závěr

Jistě nelze v průmyslu bez výběru zavrhnout všechny zabezpečovací techniky a postupy osvědčené ve světě IT a začít znovu od začátku. Útvary IT v podniku nejsou nepřátelé. Je třeba jít postupně, od jednotlivých okamžitých zákroků ke komplexním řešením. Přitom je nutné si uvědomit, že obor průmyslové řídicí techniky ze světa IT již převzal a osvojil si velmi mnoho, jmenovat lze např. Windows, protokol TCP/IP a Ethernet. Nyní je třeba ze světa IT nikoliv slepě přebírat i metody a postupy kybernetického zabezpečení, ale seznámit se s nimi, vhodně je upravit a naučit se je používat v oboru průmyslové automatizace.

Je zapotřebí usilovat o to, aby hlediska kybernetické bezpečnosti výroby měla stejnou univerzální platnost jako současná hlediska bezpečnosti pracovníků a výrobních zařízení.

Literatura:

[1] GREBE, J. C., Jr.: Don´t open your control system to security risks. InTech, 2002, vol. 49, No. 12, p. 62.

[2] BYRES, E. J. – HOFFMAN, D.: IT security and the plant floor. InTech, 2002, vol.49, No.12, p.76.

(ks)

Inzerce zpět