Porovnávali sme bezpečnosť v IT vs. OT. Ktoré z nich je výhodnejšie?

Martin Richter

Senior Systems Engineer

martin.richter@alef.com

Oblasť bezpečnosti v OT/IoT sieťach je relatívne novou disciplínou, na ktorú výrobcovia sieťových zariadení v súčasnosti kladú väčší dôraz. Porovnali sme obe verzie zamerané na bezpečnosť v OT a IOT.

Na úvod tejto témy si predstavme základné zariadenia v OT/IoT, zoradené podľa zložitosti od najjednoduchších po najzložitejšie:

  • IED – Intelligent Electronic Devices, inteligentné elektronické zariadenie  – senzor (teplota, tlak, množstvo…) – tieto zariadenia posielajú množstvo údajov
  • RTU, PLC – Remote Terminal Unit, Programmable Logic Controller – monitorujú určené parametre a posielajú ich na centrálnu stanicu, automatizujú niektoré riadiace funkcie
  • HMI – Human Management Interface, riadiaci panel operátora – monitoring a riadenie PLC, RTU, a IED
  • SW – Supervisory Workstation – zbiera informácie z priemyselných zariadení a prezentuje ich pre riadiace procesy (na rozdiel od HMI väčšinou iba na čítanie)
  • DH – Data Historian – softvér ktorý zbiera informácie do špecializovaných databáz
  • OA – Other Assest – iné zariadenia (napr. Tlačiarne,…)

Aké sú rozdiely? Pre lepšie pochopenie problematiky bezpečnosti v sieťach OT je predovšetkým potrebné si uvedomiť rozdiely medzi IT vs. OT sieťami:

  • Pri klasickej IT (Information Technology) sú priority pre komunikáciu medzi zariadeniami: zabezpečenie, integrita, dostupnosť. Prístup do siete je chránený silnou autentifikáciou.
  • Pri zistení porušení pravidiel sa zariadeniu/interface/užívateľovi zakáže komunikácia.
  • Aktualizácie sa dejú aj počas prevádzky, čo najskôr, ako sa zistila a opravila určitá zraniteľnosť.
  • Aktualizácia sa môže vykonávať aj počas prevádzky, alebo sa naplánuje výpadok, ale čo najskôr.
  • Komunikácia je dynamická, väčšinou krátka s viacerými spojeniami.
  • Dáta môžu odchádzať na veľmi veľké vzdialenosti.
  • Pre IT svet je veľké množstvo aplikácií.
  • Čas, oneskorenie nemusí byť kritické, postačuje použitie NTP (Network Time Protocol) na synchronizáciu času na jednotlivých zariadeniach.
  • Zariadenia majú svoje adresy (IP, MAC).
  • Pri OT (Operations Technology) prevádzke je to iné. Prioritou je dostupnosť, funkčnosť 24/7, až následne prichádza integrita a zabezpečenie.
  • Ak je aj zariadenie infikované a nemá to zásadný vplyv na funkčnosť, nevypína sa.
  • Aktualizácie sa vykonávajú počas plánovanej odstávky, ktorá môže nastať veľmi výnimočne, kľudne aj jedenkrát ročne.
  • Komunikácia je dlhá, rádovo aj dni, s málo spojeniami, väčšinou lokálna.
  • Pre OT svet je pomerne málo aplikácií.
  • Oneskorenie je kritické, používa sa PTP (Precision Timing Protocol – 100ns).
  • “Veci” nemusia mať IP adresy, vieme nastaviť pomocou DIP switchov, potenciometrov a iných elektronických súčiastok.
  • “Veci“ sú stavané na prácu pri iných, z pohľadu IT extrémnych, teplotách  kde teplotný rozsah záleží od konkrétneho miesta nasadenia, môže byť -80, +500 stupňov Celzia.

Bezpečnosť všeobecne pre OT

Bezpečnosť týchto zariadení  je riešená podľa štandardov (napr. ISA-99, IEC62443).

Z pohľadu bezpečnosti – začíname na HMI (OS – Windows, Linux/Unix,…). Čím je zariadenie zložitejšie, tým je zraniteľnejšie.

Zaujímavá je štatistika zraniteľnosti podľa zariadení: PLC-2%, HMI-40%, SW-40%, DH-8%, OA-10%. Už z tohto rozdelenia  je zrejmé, že je dôležité zabezpečiť hlavne zariadenie s ktorými priamo pracujú ľudia (PC s OS,...).

Z pohľadu bezpečnosti je dôležité aplikovať bezpečnostnú záplatu čo najskôr po vydaní (v OT nie celkom možné kvôli plánovaným odstávkam a možným zmenám len v rámci týchto odstávok).

Všeobecne zabezpečenie prebieha v 3 fázach:

  1. Zabezpečenie prístupu – na zariadenie a zistenie jeho stavu
  2. Riadenie a kontrola ľudí a služieb – zadelenie kompetencií
  3. Proces plánovania – realizácia aktivít a návrhy na zlepšenie

Dôležitým bodom je ako zabezpečiť vzdialený prístup na zariadenia. Ako dôveryhodný je výrobca a samotné zariadenie, ako dôveryhodný je servisný technik, či je potreba zabezpečiť QoS (napr. kvôli určitému oneskoreniu), ako koordinovať prístup z IT do OT (prístup sa odporúča z IT na napr. VPN koncentrátor, z neho na ďalšie zariadenie a až potom na samotné OT zariadenie) a ako je možné potvrdíiž (zaznamenať) čo bolo naozaj nastavené na OT zariadení. Prepojenie je potrebné riešiť pomocou priemyselných prepínačov, smerovačov, access pointov a firewallov.

Sieť je treba rozdeliť na zóny, komunikácia je väčšinou lokálna.

Riadenie komunikácie medzi zónami prebieha pomocou ACL, VLAN, VPN, prípadne je komunikácia  realizovaná pomocou firewallu. Odporúčané pravidlá sú pre firewall  na kontrolu SCADA (Supervisory Control and Data Acquisition) a Industial Control Systems Security. V OT sa NAT používa vo veľkej miere. Kvôli zjednodušeniu majú “veci” (alebo rovnaké bloky, skupiny “vecí”) rovnaké adresy a pri požiadavke na komunikáciu medzi nimi treba robiť preklad.

Pre zavedenie bezpečnosti treba klásť dôraz na čo najmenšie ovplyvnenie siete/prevádzky a zároveň  treba mať na pamäti, že navrátenie do pôvodného stavu je možné až počas ďalšej plánovanej odstávky, napr. za rok. Dôležité je všetko správne naplánovať, vychádzať z odsúhlaseného designu, použiť zariadenia určené do prevádzky. Ďalej je nevyhnutné zabezpečiť koncové zariadenia, ktoré nesúvisia s konkrétnym protokolom, ale všeobecne s bezpečnosťou, a je potrebné použiť šifrovanie pre komunikáciu medzi zariadeniami tam, kde je to možné. To či je to vôbec možné záleží od konkrétnej situácie a protokolu. Samozrejmosťou je  kontrola a inšpekcia samotného protokolu.


V OT poznáme rôzne protokoly, ktoré medzi sebou nekomunikujú. Každý veľký a významný výrobca môže mať svoj a aj podpora na použitie týchto protokolov sa líši v rôznych krajinách a kontinentoch. Príklady protokolov sú: Modbus, Profinet, Profibus, CIP, DNP, ICCP a ďalšie majú aj svoje variácie a niektoré majú v novších verziách aj podporu IP. V starších verziách nie je autentifikácia, komunikácia prebieha pomocou broadcastov. Existujú IT zariadenia pre OT (viac chránené pre priemyselné prostredie) a špecializované zariadenia pre OT  ktoré nemajú len porty, bežné pre IT svet ako napr. RJ-45, ale aj možnosť pripojenia len napríklad drôtov pre zmenu napätia, ktorým sa riadi určité zariadenie.

Pre samotnú inšpekciu treba predovšetkým identifikovať protokol, s ktorým zariadenie komunikuje, a zistiť v akom stave je dané zariadenie. Následne je možné povoliť/zakázať príkazy, ktoré sa môžu použiť, prípadne určiť aké kroky/príkazy treba použiť predtým, ako sa vykoná určitý príkaz. Na identifikáciu sa môže použiť napríklad IPS a jeho špecifické signatúry pre rôzne protokoly. 

Výhodou je ak je IPS, alebo skôr jeho signatúry, podporované:

  1. Samotným výrobcom zariadenia/protokolu - poskytne znalosť technológie a jeho špecifikácie
  2. Open Source komunitou - môžu rýchlejšie reagovať na zmenenú situáciu, novú nájdenú chybu a dopĺňať príslušné signatúry
  3. Možnosťou napísať si vlastnú signatúru - v prípade špecifických podmienok vo firme, špeciálny, inde nepopísaný, typ komunikácie, atď.

Keďže táto oblasť bezpečnosti je relatívne nová, výrobcovia pracujú a stále zdokonaľujú svoje zariadenia a metódy na odhaľovanie bezpečnostných rizík a ako im predchádzať.

Ak vás táto téma zaujala, alebo k nej máte nejaké otázky, neváhajte nás kontaktovať na sk-sales@alef.com