Zaštita uređaja za industrijsku automatizaciju – ključne preporuke tvrtke Rockwell Automation
Kibernetička sigurnost u industrijskim mrežama ključna je komponenta operativne pouzdanosti automatizirane proizvodnje. Rockwell Automation redovito objavljuje sigurnosne obavijesti i preporuke koje odražavaju aktualne kibernetičke prijetnje te definiraju najbolje prakse za zaštitu upravljačkih sustava.
Ovaj članak odnosi se na najnoviju objavljenu sigurnosnu obavijest – Sigurnosna Obavijest SD1771, čiji je puni tekst dostupan ovdje: https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html .
Napomena: Poveznice u ovom članku vode na tehničku dokumentaciju tvrtke Rockwell Automation, koja je dostupna samo prijavljenim korisnicima. Za pristup poveznicama potrebno je prijaviti se korisničkim računom na: https://www.rockwellautomation.com/.
Preporuke tvrtke Rockwell Automation (SD1771)
Ne izlažite OT mrežne uređaje javnom internetu
OT uređaji poput PLC-a, HMI panela ili upravljačkih servera ne bi smjeli biti izloženi javnom internetu jer nisu dizajnirani za izravno suočavanje s vanjskim prijetnjama. Dostupnost takvih uređaja putem interneta može dovesti do neovlaštenog utjecaja na upravljanje procesima, izmjena proizvodnih procesa, zastoja u proizvodnji, oštećenja opreme ili, u ekstremnim slučajevima, čak i ugrožavanja sigurnosti operatera.
Pristup tim uređajima treba implementirati kroz kontrolirane i zaštićene slojeve.
Segmentacija mreže, vatrozid, IDMZ
Za arhitekturu industrijske mreže preporučuje se:
- Segmentacija u zone (ISA/IEC 62443)
- Razdvajanje IT i OT sustava
- Kontrolirana komunikacija između zona
- Korištenje industrijskih vatrozida
- Implementacija IDMZ (Industrial Demilitarized Zones)
Smjernice i preporučene prakse za arhitekturu industrijskih mreža dostupne su u sljedećim dokumentima:
„Defense-in-Depth“ strategija (višeslojna zaštita)
Preporučuje se korištenje više sigurnosnih slojeva istovremeno, kao što su segmentacija + kontrola pristupa + nadzor. Više o Defense-in-Depth strategiji dostupno je u dokumentu:
Sigurnost komunikacije – CIP Security
Za zaštitu komunikacije između uređaja u industrijskoj mreži preporučuje se korištenje tehnologije CIP Security, koja proširuje EtherNet/IP standard sigurnosnim mehanizmima.
CIP Security omogućuje:
- Autentifikaciju uređaja
- Enkripciju komunikacije
- Upravljanje povjerenjem između pojedinih čvorova
Više o tehnologiji CIP Security dostupno je ovdje:
Kontrola pristupa i sigurnosne funkcionalnosti
Uz osiguranje komunikacije, ključno je i kontrolirati tko može pristupiti sustavu i na koji način. Rockwell Automation preporučuje korištenje alata za upravljanje identitetima i pristupom u kombinaciji s nativnim funkcijama kontrolera.
- FactoryTalk Security
- Kontrola pristupa temeljena na ulogama (RBAC)
- Konfiguracija kontrolera i zaštita programa
Detaljan opis sustava FactoryTalk Security dostupan je ovdje:
Specifične preporuke za pojedine upravljačke sustave
Sigurnosna obavijest SD1771 nadopunjuje opće preporuke poveznicama na dokumentaciju za pojedine linije kontrolera, gdje su opisane dostupne sigurnosne funkcionalnosti i njihova konfiguracija.
Logix (ControlLogix / CompactLogix)
Za platformu Logix navode se reference na specifičnu sigurnosnu dokumentaciju za konfiguraciju upravljačkih sustava i okruženja Studio 5000.
Ključna područja:
- Konfiguracija sigurnosti kontrolera
- Upravljanje pravima pristupa (FactoryTalk Security)
- Zaštita programske logike (source protection)
- Sigurnost pristupa kontroleru
- Logix 5000 Controllers Security Programming Manual (1756-PM016)
- Logix 5000 Controllers General Instructions Reference Manual (1756-RM018)
Micro800 (Micro820 / Micro850 / Micro870)
Za seriju kontrolera Micro800, sigurnosne funkcionalnosti opisane su izravno u korisničkim priručnicima, a njihova ispravna konfiguracija ključna je za smanjenje rizika.
Preporuke uključuju:
- Pravilnu konfiguraciju komunikacije
- Ograničavanje pristupa
- Korištenje dostupnih sigurnosnih funkcionalnosti
Dodatni opći resursi tvrtke Rockwell Automation
