komentarze
Więcej komentarzy

Dlaczego urządzenia IoT nie są dostatecznie chronione?

Jak można zabezpieczyć przemysłową sieć IT przed działaniami cyberprzestępców?

Aby móc precyzyjnie odpowiedzieć, należy najpierw uporządkować pytanie. Dlaczego sam Internet of Things nie jest dostatecznie chroniony? Mówimy o bardzo młodej i dynamicznie się rozwijającej koncepcji IoT w zastosowaniu przemysłowym, czyli IIoT (Industrial Internet of Things), będącej rozwinięciem koncepcji klasycznej automatyki, dla której ostatnią istotną zmianą było wprowadzenie procesorów klasy x86 i Windowsa jako warstwy systemowej. Tym razem nowością jest cloud computing – rozproszone przetwarzanie w chmurze. W mojej opinii w Polsce dopiero od niedawna wzrasta świadomość cyberbezpieczeństwa. Jesteśmy dopiero w fazie edukacji, a prawdę mówiąc, dla wielu gałęzi i obszarów w przemyśle dalej jest to temat tabu. Zaczynamy myśleć i działać w obszarach bezpieczeństwa infrastruktury krytycznej – energetyka, produkcja wody, ciepła itp. Mało która firma produkcyjna ma politykę bezpieczeństwa w obszarze ICS (przemysłowych systemów sterowania), a tutaj pojawia się kolejna koncepcja, jaką jest IIoT, burząca podstawy obecnej polityki bezpieczeństwa wielu przedsiębiorstw – izolacji systemów automatyki od internetu. Jeszcze nie dostaliśmy się do liceum, a już chcemy pisać maturę…

IIoT zakłada powszechną możliwość komunikowania się urządzeń poprzez tzw. bramy (broker) IoT z chmurą oraz aplikacjami analitycznymi. W ostatecznym bilansie otrzymamy do zarządzania i administrowania tysiące czujników, urządzeń, bram, lokalizacji oraz użytkowników. Sam proces zbudowania modelu zarządzania bezpieczeństwem w tak rozległym środowisku łączącym wiele technologii wymaga sporego doświadczenia i wiedzy. W Polsce nie uporaliśmy się jeszcze z klasycznym bezpieczeństwem IT w przemyśle, w którym większość aplikacji i systemów automatyki jest „zamrożonych” pod kątem bezpieczeństwa od czasu uruchomienia, a przecież jednym z podstawowych działań zwiększających efektywność zabezpieczeń jest uaktualnianie systemów i aplikacji oraz ciągła aktualizacja polityki bezpieczeństwa.

Prosty przykład: proszę sobie spróbować wyobrazić procedurę uaktualnienia oprogramowania lub modelu bezpieczeństwa dla małego systemu złożonego z 100 „smartnych” urządzeń i mikro plc, bram IoT, które tworzą fundament naszego systemu. A teraz musimy jeszcze pomyśleć o zabezpieczeniu transferu naszych danych pomiędzy bramą IoT a chmurą oraz na poziomie zdalnego dostępu do tych danych z aplikacji analitycznych czy klientów mobilnych. Robi się to skomplikowane.

Uważam, że sama koncepcja IIoT jest na etapie wzmożonego rozwoju i testowania. Obecnie ważniejsze jest połączenie wszystkich składników w działającą całość. Na razie powstają pojedyncze pilotażowe wyspy IIoT w środowiskach eksperckich, które dostarczają duże korporacje technologiczne, takie jak np. GE Digital czy Honeywell, lub są prowadzone projekty w środowiskach akademickich. IIoT może być bezpieczne, tylko należy się do tego odpowiednio przygotować, a miejscem, od którego należy rozpocząć zabezpieczanie, są istniejące systemy automatyki. Gdy mówimy o bezpieczeństwie ICS, to pierwszymi krokami są opracowanie polityki i procedur bezpieczeństwa oraz edukacja użytkowników. Technicznie pomoże wprowadzenie segmentacji sieci przemysłowej i jej separacja od sieci biznesowej poprzez DMZ (strefy zdemilitaryzowane). Następnie wprowadzenie kontrolerów domeny na produkcję w celu centralnego zarządzania polityką bezpieczeństwa, ograniczenie uprawnień użytkowników w systemach operacyjnych, patchowanie aplikacji i systemu Windows. W przypadku zdalnych dostępów wprowadzenie MFA (Multifactor Authentication) oraz stosowanie firewalli i szczegółowo zdefiniowanych list aplikacja – urządzenie – protokół – port. Brak gotowości do takich zmian oznacza, że zapewnienie bezpieczeństwa w perspektywie zmiany, jaką jest IIoT, będzie niezwykle trudne, o ile w ogóle możliwe.

Komentarza udziela:

Michał Łopata

specjalista ds. cyberbezpieczeństwa systemów sterowania, ASTOR

Kategorie: Bezpieczeństwo i higiena, IT i ICT

pozostałe komentarze
najpopularniejsze
Redakcja:
Aby uzyskać pełny dostęp do wszystkich
treści w serwisie zaloguj się bądź zarejestruj
Forum Media Polska
FORUM MEDIA POLSKA Sp. z o.o.
ul. Polska 13, 60-595 Poznań
Tel. 061 66 83 116