Temat z okładki
CYBERBEZPIECZEŃSTWO
nowe obowiązki i oczekiwania zostaną nałożone na personel obsługujący automatykę sterującą po wdrożeniu rozwiązania z zakresu cyberbezpieczeństwa?
Ustalenie tych punktów przed rozpoczęciem oceny pro- duktów lub rozwiązań z zakresu cyberbezpieczeństwa może pomóc przedsiębiorstwu w szybkim od ltrowaniu tych, które nie są zgodne z jego planem organizacyjnym.
Cztery możliwe działania na rzecz poprawy bezpieczeństwa sieci
Poza podstawowymi strategiami pewne konkretne działania mogą pomóc  rmom poprawić ich sytuację w zakresie cyber- bezpieczeństwa w perspektywie krótko- i długoterminowej. Poniżej opisujemy cztery z takich działań, które powinny zna- leźć się na szczycie listy.
1. Segmentacja urządzeń w sieci. Jeśli działająca dziś sieć przemysłowa ma ograniczoną separację pomiędzy maszyna- mi, obszarami lub funkcjami, dobrym początkiem zwiększa- nia poziomu cyberbezpieczeństwa może być dokonanie więk- szej segmentacji tej sieci w celu ograniczenia niepożądanej komunikacji. Oprócz zmniejszenia ilości masowych komuni- katów wysyłanych do wszystkich urządzeń segmentacja sieci może być warunkiem wstępnym dla wdrożenia rozwiązania typu  rewall. Jest ona również brana pod uwagę w podejściach do bezpieczeństwa, takich jak opisane w serii standardów ISA/ IEC 62443. Jeśli używane są przełączniki sieciowe, które nie obsługują takich funkcji jak VLAN, to może być wymagana tego sprzętu na nowy.
2. Zainstalowanie zapór ogniowych. Zainstalowanie zapory ogniowej pomiędzy siecią przemysłową a biurową w przedsiębiorstwie jest dobrym pierwszym krokiem do ogra- niczenia ścieżek komunikacyjnych do urządzeń i sprzętu. Przy rozważaniu  rewalli szukajmy takich, które mają wbudowane protokoły przemysłowe. Zapory dobieramy do przepusto- wości sieci oraz liczby połączeń potrzebnych w przyszłości. Umieszczenie  rewalla w linii pomiędzy połączeniem (połą- czeniami) sieci przemysłowych i biurowych powinno być za-
1 Cybersecurity and Infrastructure Security Agency, CISA
2 chief information o cer; CIO
3 chief information security o cer; CISO
planowane tak, aby zminimalizować zakłócenia. Zachowajmy także ostrożność przy wdrażaniu reguł dostępu oraz blokowa- nia niezde niowanej komunikacji sieciowej. Zapory ogniowe mogą również służyć jako środek zapewniający bezpieczny dostęp do sieci przemysłowych z zewnątrz poprzez wykorzy- stanie funkcji wirtualnej sieci prywatnej (VPN). Może to po- zwolić na usunięcie istniejących technologii zdalnego dostępu oraz skonsolidowanie ich w jedno centralne i łatwe do zarzą- dzania podejście.
3. Zainstalowanie systemów wykrywania/zapobiega- nia włamaniom. Istnieje wiele różnych podejść do wdrażania systemu wykrywania lub zapobiegania włamaniom (IDS/IPS). Ogólnie rzecz biorąc, rozwiązania te analizują komunikację sie- ciową i alarmują o aktywnościach, które są nieznane, nieoczeki- wane lub zostały wcześniej zde niowane jako podlegające po- wiadamianiu o nich. W przypadku interfejsów operatorskich (HMI) oraz komputerowych systemów sterowania procesami (SCADA) do rozwiązania cyberbezpieczeństwa można dołą- czyć podejście oparte na hoście pod warunkiem, że oprogra- mowanie to nie koliduje ze zdolnością systemu do działania. Niektóre nowe produkty mają bardziej zaawansowane funkcje uczenia się, które pozwalają im na zrozumienie normalnej komunikacji w środowisku, co skutkuje większym prawdo- podobieństwem generowania tylko właściwych alarmów – sy- gnalizujących podejrzane zachowania w sieci. W zależności od sposobu dostarczenia systemu IDS/IPS mogą być wymagane dane dotyczące komunikacji sieciowej, zmiany przełączników sieciowych lub dodania odgałęzień sieciowych. Kwestie te po- winniśmy omówić z dostawcą danego rozwiązania.
4. Wdrożenie sieci de niowanych programowo (SDN).
Dla przedsiębiorstw chcących wdrożyć znacznie dokładniej- szy poziom kontroli nad komunikacją pomiędzy urządzenia- mi odpowiedzią mogą być sieci de niowane programowo. Każde urządzenie lub grupa urządzeń w zakładzie będzie mogła komunikować się tylko za pośrednictwem określonych portów albo protokołów zde niowanych w kon guracji tych sieci. Wdrożenie takiego rozwiązania może wymagać wymia- ny wszystkich przełączników na nowe oraz zainstalowania kontrolera przełączników, ale z perspektywy bezpieczeństwa korzyści mogą przeważyć nad problemami związanymi ze wdrożeniem i kon guracją.
Znalezienie właściwej równowagi między bezpieczeń- stwem a niezbędnym i akceptowalnym ryzykiem jest inne dla każdej  rmy. Poruszanie się po tej cienkiej linii nigdy nie było bardziej kluczowe i wymagające, ponieważ ataki na sieci prze- mysłowe stają się coraz liczniejsze i bardziej wyra nowane. Podejścia i rozważania opisane w tym artykule mogą być prze- wodnikiem, sposobem na znalezienie luk, początkiem rozmo- wy i nie tylko. Zawsze będzie istniał kon ikt pomiędzy tymi dwoma priorytetami, a przedsiębiorstwa, które dobrze sobie z tym radzą, nigdy nie przestaną oceniać i wprowadzać inno- wacji do swoich rozwiązań w zakresie cyberbezpieczeństwa.
Alan Raveling jest architektem OT w rmieInterstates 
32 I kwartał 2023
CONTROL ENGINEERING POLSKA – www.controlengineering.pl