Zabezpečení průmyslových automatizačních zařízení – klíčová doporučení od Rockwell Automation
Kybernetická bezpečnost v průmyslových sítích je kritickou součástí provozní spolehlivosti automatizované výroby. Společnost Rockwell Automation pravidelně vydává bezpečnostní upozornění a doporučení, ve kterých reflektuje aktuální kybernetické hrozby a formuluje osvědčené postupy pro ochranu řídicích systémů.
Tento článek reaguje na poslední vydané bezpečnostní upozornění – Security Advisory č. SD1771, jehož plný text je dostupný zde: https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html .
Upozornění: odkazy v tomto článku směřují na technickou dokumentaci Rockwell Automation, která je dostupná pouze přihlášeným uživatelům. Pro funkčnost odkazů se tedy prosím přihlaste svým uživatelským účtem na stránkách https://www.rockwellautomation.com/ .
Doporučení Rockwell Automation (SD1771)
Nevystavujte zařízení v OT síti veřejnému internetu
OT zařízení, jako jsou PLC, HMI panely nebo řídicí servery, by neměla být vystavena veřejnému internetu, protože nejsou navržena pro přímou konfrontaci s externími hrozbami; jejich dostupnost z internetu může vést k neoprávněnému zásahu do řízení technologie, změně výrobních procesů, odstávkám výroby, poškození zařízení nebo v krajním případě i k ohrožení bezpečnosti obsluhy.
Přístup k těmto zařízením má být realizován přes řízené a zabezpečené vrstvy.
Segmentace sítí, firewally, IDMZ
Pro architekturu průmyslových sítí se doporučuje:
- segmentace do zón (ISA/IEC 62443)
- oddělení IT a OT
- řízení komunikace mezi zónami
- použití průmyslových firewallů
- nasazení IDMZ (Industrial Demilitarized Zones)
Pokyny a doporučené postupy pro architekturu průmyslových sítí naleznete v těchto dokumentech:
Strategie Defense-in-depth (vrstvená ochrana)
Doporučuje se použití kombinací více bezpečnostních vrstev současně, jako jsou segmentace + řízení přístupů + monitoring. Více o strategii Defense-in-depth naleznete v dokumentu
Zabezpečení komunikace – CIP Security
Pro ochranu komunikace mezi zařízeními v průmyslové síti se doporučuje využít technologii CIP Security, která rozšiřuje standard EtherNet/IP o bezpečnostní mechanismy.
CIP Security umožňuje:
- autentizaci zařízení
- šifrování komunikace
- řízení důvěry mezi jednotlivými uzly
Více o technologii CIP Security naleznete zde:
Řízení přístupů a bezpečnostní funkce
Vedle zabezpečení komunikace je klíčové také řízení toho, kdo a jak může do systému zasahovat. Rockwell Automation doporučuje využít nástroje pro správu identit a přístupových práv v kombinaci s nativními funkcemi řídicích systémů.
- FactoryTalk Security
- role-based access control (RBAC)
- ochranu konfigurace a programu
Podrobný popis systému FactoryTalk Security je k dispozici zde:
Specifická doporučení pro jednotlivé řídicí systémy
Bezpečnostní upozornění SD1771 doplňuje obecná doporučení o odkazy na dokumentaci pro konkrétní řady řídicích systémů, kde jsou popsány dostupné bezpečnostní funkce a jejich konfigurace.
Logix (ControlLogix / CompactLogix)
Pro platformu Logix se odkazuje na konkrétní bezpečnostní dokumentaci ke konfiguraci řídicích systémů a prostředí Studio 5000.
Důležité oblasti:
- konfigurace zabezpečení řídicího systému
- řízení přístupových práv (FactoryTalk Security)
- ochrana logiky (source protection)
- zabezpečení přístupu ke kontroleru
- Logix 5000 Controllers Security Programming Manual (1756-PM016)
- Logix 5000 Controllers General Instructions Reference Manual (1756-RM018)
Micro800 (Micro820 / Micro850 / Micro870)
U řídicích systémů řady Micro800 jsou bezpečnostní funkce popsány přímo v uživatelských manuálech a jejich správné nastavení je klíčové pro omezení rizik.
Doporučení zahrnují:
- správnou konfiguraci komunikace
- omezení přístupů
- využití dostupných bezpečnostních funkcí
