Dlaczego urządzenia IoT nie są dostatecznie chronione?

Jak można zabezpieczyć przemysłową sieć IT przed działaniami cyberprzestępców?

2017-08-16 11:00:01

Aby móc precyzyjnie odpowiedzieć, należy najpierw uporządkować pytanie. Dlaczego sam Internet of Things nie jest dostatecznie chroniony? Mówimy o bardzo młodej i dynamicznie się rozwijającej koncepcji IoT w zastosowaniu przemysłowym, czyli IIoT (Industrial Internet of Things), będącej rozwinięciem koncepcji klasycznej automatyki, dla której ostatnią istotną zmianą było wprowadzenie procesorów klasy x86 i Windowsa jako warstwy systemowej. Tym razem nowością jest cloud computing – rozproszone przetwarzanie w chmurze. W mojej opinii w Polsce dopiero od niedawna wzrasta świadomość cyberbezpieczeństwa. Jesteśmy dopiero w fazie edukacji, a prawdę mówiąc, dla wielu gałęzi i obszarów w przemyśle dalej jest to temat tabu. Zaczynamy myśleć i działać w obszarach bezpieczeństwa infrastruktury krytycznej – energetyka, produkcja wody, ciepła itp. Mało która firma produkcyjna ma politykę bezpieczeństwa w obszarze ICS (przemysłowych systemów sterowania), a tutaj pojawia się kolejna koncepcja, jaką jest IIoT, burząca podstawy obecnej polityki bezpieczeństwa wielu przedsiębiorstw – izolacji systemów automatyki od internetu. Jeszcze nie dostaliśmy się do liceum, a już chcemy pisać maturę…

IIoT zakłada powszechną możliwość komunikowania się urządzeń poprzez tzw. bramy (broker) IoT z chmurą oraz aplikacjami analitycznymi. W ostatecznym bilansie otrzymamy do zarządzania i administrowania tysiące czujników, urządzeń, bram, lokalizacji oraz użytkowników. Sam proces zbudowania modelu zarządzania bezpieczeństwem w tak rozległym środowisku łączącym wiele technologii wymaga sporego doświadczenia i wiedzy. W Polsce nie uporaliśmy się jeszcze z klasycznym bezpieczeństwem IT w przemyśle, w którym większość aplikacji i systemów automatyki jest „zamrożonych” pod kątem bezpieczeństwa od czasu uruchomienia, a przecież jednym z podstawowych działań zwiększających efektywność zabezpieczeń jest uaktualnianie systemów i aplikacji oraz ciągła aktualizacja polityki bezpieczeństwa.

Prosty przykład: proszę sobie spróbować wyobrazić procedurę uaktualnienia oprogramowania lub modelu bezpieczeństwa dla małego systemu złożonego z 100 „smartnych” urządzeń i mikro plc, bram IoT, które tworzą fundament naszego systemu. A teraz musimy jeszcze pomyśleć o zabezpieczeniu transferu naszych danych pomiędzy bramą IoT a chmurą oraz na poziomie zdalnego dostępu do tych danych z aplikacji analitycznych czy klientów mobilnych. Robi się to skomplikowane.

Uważam, że sama koncepcja IIoT jest na etapie wzmożonego rozwoju i testowania. Obecnie ważniejsze jest połączenie wszystkich składników w działającą całość. Na razie powstają pojedyncze pilotażowe wyspy IIoT w środowiskach eksperckich, które dostarczają duże korporacje technologiczne, takie jak np. GE Digital czy Honeywell, lub są prowadzone projekty w środowiskach akademickich. IIoT może być bezpieczne, tylko należy się do tego odpowiednio przygotować, a miejscem, od którego należy rozpocząć zabezpieczanie, są istniejące systemy automatyki. Gdy mówimy o bezpieczeństwie ICS, to pierwszymi krokami są opracowanie polityki i procedur bezpieczeństwa oraz edukacja użytkowników. Technicznie pomoże wprowadzenie segmentacji sieci przemysłowej i jej separacja od sieci biznesowej poprzez DMZ (strefy zdemilitaryzowane). Następnie wprowadzenie kontrolerów domeny na produkcję w celu centralnego zarządzania polityką bezpieczeństwa, ograniczenie uprawnień użytkowników w systemach operacyjnych, patchowanie aplikacji i systemu Windows. W przypadku zdalnych dostępów wprowadzenie MFA (Multifactor Authentication) oraz stosowanie firewalli i szczegółowo zdefiniowanych list aplikacja – urządzenie – protokół – port. Brak gotowości do takich zmian oznacza, że zapewnienie bezpieczeństwa w perspektywie zmiany, jaką jest IIoT, będzie niezwykle trudne, o ile w ogóle możliwe.

Komentarza udziela:

Michał Łopata

specjalista ds. cyberbezpieczeństwa systemów sterowania, ASTOR

partnerzy
  • Schmersal
  • HF Inverter
  • Cold Jet
  • TEST Systemy Uszczelniajace
  • Lean Action Plan
  • Elmodis
  • Optibelt
  • Pilz
  • NSK
  • Ecol
  • Amargo
  • EURO Pro Group
  • Protekt
  • Lobo Solutions
  • Parker Hanifin
  • ABUS
  • Staubli
  • Flir
  • Cantoni
  • Hansford Sesnsors
  • Elokon
  • Efaflex
  • Tsubaki
  • Berendsen
  • Karcher
  • Queris
  • SEW Eurodrive
  • Habasit
  • Elesa Ganter
  • Tubes
  • Expo Silesia
  • Orlen Oil
  • ISL
  • Lotos Oil
  • Finder
  • Exxon Mobil
  • CC JENSEN
  • AS Instrument
  • FESTO
  • Apator
  • Cert Partner
  • Hormann
  • Colt International
  • ZETO
  • Pruftechnik Wibrem
  • TQM Soft
  • BalticBerg
  • MADevice
  • EMT Systems
  • NTN SNR
  • Albeco
  • HI VIB
  • SSI Schaefer
  • Ingersoll Rand
  • IGUS
  • BTC AG
  • Heico
  • Sternet
  • Conrad
  • VIMS
  • Tribotec
  • Rittal
  • GT85
  • Nowimex
ZNAJDŹ NAS: