Λύσεις για την εξασφάλιση της βιομηχανικής κυβερνοασφάλειας

Η Siemens εφαρμόζει τη στρατηγική defense-in-depth για την προστασία των βιομηχανικών συστημάτων από κυβερνοεπιθέσεις.

Ιωάννης Σηφάκης, Μηχανικος Αυτοματισμου, Digital Industries, Siemens ΑΕ

Η 4η Βιομηχανική Επανάσταση (Industry 4.0) επηρεάζει όλες τις συνιστώσες της αλυσίδας αξίας της βιομηχανίας. Η επιταχυνόμενη χρήση του internet και η σύγκλιση των IT και OT δικτύων, αυξάνουν συνεχώς την ανάγκη λύσεων ασφαλούς βιομηχανικής επικοινωνίας. Επομένως, το θέμα του “Industrial Security” είναι κομβικό για το Industry 4.0 .
Ο όρος Industrial Security αναφέρεται στην προστασία της πληροφορίας και των δεδομένων, αλλά και των δικαιωμάτων πνευματικής ιδιοκτησίας των διεργασιών της παραγωγής, που σχετίζονται με το συνολικό περιβάλλον της βιομηχανίας.

Η διαθεσιμότητα, η ακεραιότητα των συστημάτων και η εμπιστευτικότητα πρέπει να διαφυλάσσονται. Ο στόχος-πρόκληση, λοιπόν, είναι η όσο το δυνατόν καλύτερη προφύλαξη από επιθέσεις και απειλές, που δημιουργούν άμεση οικονομική ζημιά και άλλους κινδύνους (φήμη κ.λπ.).
H απάντηση της SIEMENS στην παραπάνω πρόκληση είναι η στρατηγική Defense-in-Depth, μια ολιστική θεώρηση πολυεπίπεδης και σε βάθος προστασίας των βιομηχανικών συστημάτων. Η στρατηγική αυτή περιλαμβάνει μέτρα για την ασφάλεια εγκαταστάσεων (Plant security), την ασφάλεια δικτύου (Network Security) και την ακεραιότητα του συστήματος (System Integrity) – σύμφωνα με τις συστάσεις του IEC 62443, του κορυφαίου προτύπου ασφάλειας στον βιομηχανικό αυτοματισμό.

Plant security
Για την ασφάλεια των εγκαταστάσεων χρησιμοποιούνται μια σειρά διαφορετικών μεθόδων, που δεν επιτρέπουν σε μη εξουσιοδοτημένα πρόσωπα να έχουν φυσική πρόσβαση σε κρίσιμα πεδία. Τέτοια μέτρα ξεκινούν από την απλή πρόσβαση στο κτίριο μέχρι την ασφάλεια ευαίσθητων περιοχών με κάρτες-κλειδιά. Παράλληλα, ειδικά λογισμικά security monitoring για τη συνολική παρακολούθηση της ασφάλειας προσφέρουν την απαιτούμενη διαφάνεια σε σχέση με την κατάσταση ασφάλειας των εγκαταστάσεων παραγωγής.

Χάρη στις συνεχείς αναλύσεις και συσχετισμούς των υπαρχόντων δεδομένων και μέσω της σύγκρισής τους με threat indicators, τα περιστατικά που σχετίζονται με την ασφάλεια μπορούν να εντοπιστούν και να ταξινομηθούν ως προς την επικινδυνότητα τους. Σε αυτά, σαν βάση και μέσω τακτικών αναφορών κατάστασης, οι ιδιοκτήτες εγκαταστάσεων λαμβάνουν μια επισκόπηση της τρέχουσας κατάστασης ασφάλειας των εγκαταστάσεων παραγωγής τους, επιτρέποντάς τους να αντιδρούν γρήγορα σε απειλές.

Network Security
Είναι η προστασία των δικτύων αυτοματισμού από μη εξουσιοδοτημένη πρόσβαση. Περιλαμβάνει μέτρα για τον έλεγχο τόσο της επικοινωνίας μεταξύ του δικτύου των γραφείων και του βιομηχανικού δικτύου όσο και την απομακρυσμένη πρόσβαση μέσω Internet για λόγους συντήρησης. Η συγκεκριμένη μέθοδος επιτυγχάνεται μέσω firewalls και, όπου μπορεί να εφαρμοσθεί, με τη δημιουργία μιας ασφαλούς και προστατευμένης «αποστρατικοποιημένης ζώνης» (DMZ). Με το DMZ, τα δεδομένα του δικτύου αυτοματισμού μπορούν να διατίθενται σε άλλα “untrusted” δίκτυα χωρίς, όμως, να υπάρχει άμεση πρόσβαση στο ίδιο το δίκτυο αυτοματισμού.

Άλλο μέτρο είναι η κατάτμηση του συνολικού δικτύου αυτοματισμού σε ανεξάρτητες και προστατευμένες νησίδες αυτοματισμού (automation cells). Το ποια θα είναι η σύνθεση των automation cells και η πρόσβαση στις συσκευές που ανήκουν σε κάθε ένα καθορίζονται από τις απαιτήσεις επικοινωνίας και προστασίας. Σημαντικό, επίσης, μέτρο για την προστασία από κατασκοπεία ή χειραγώγηση των δεδομένων, που ανταλλάσσονται μεταξύ των διαφόρων κόμβων είναι η επικοινωνία να είναι κρυπτογραφημένη ή και μέσω Virtual Private Networks και οι ίδιοι οι κόμβοι επικοινωνίας να ταυτοποιούνται με κατάλληλα certificates.
Τα παραπάνω μέτρα μπορούν να υλοποιηθούν με τα προϊόντα SCALANCE S Industrial Security, SCALANCE M Industrial Routers, Security Communications Processors for SIMATIC ή και τα αντίστοιχα προϊόντα της σειράς RUGGEDCOM.

System integrity
Ο τρίτος πυλώνας της στρατηγικής Defense-in-Depth είναι η διαφύλαξη της ακεραιότητας του συστήματος. Η έμφαση εδώ είναι στην προστασία συστημάτων αυτοματισμού (PLCs, Drives, Control components, συστήματα SCADA και HMIs panels) από μη εξουσιοδοτημένη πρόσβαση και στην ικανοποίηση ειδικών απαιτήσεων, όπως προστασία τεχνογνωσίας. Επιπλέον, η ακεραιότητα του συστήματος περιλαμβάνει έλεγχο ταυτότητας χρηστών, εξουσιοδότηση πρόσβασης και αλλαγής και system hardening – με άλλα λόγια, την ευρωστία των στοιχείων έναντι πιθανών επιθέσεων.

H Ψηφιοποίηση, η αύξηση της δικτύωσης μηχανών και εργοστασίων, η ανάγκη ανταλλαγής δεδομένων μεταξύ των διαφορετικών δικτύων των εταιρειών (office, automation, cloud) και ο κίνδυνος από την αύξηση της συχνότητας και του πλήθους των κυβερνοεπιθέσεων, προσδίδουν στο θέμα της Βιομηχανικής Κυβερνοασφάλειας χαρακτήρα βασικού προαπαιτούμενου και αναπόσπαστου μέρους της συνολικής διαμόρφωσης του Ψηφιακού εργοστασίου του αύριο. Στη SIEMENS Digital Industries προσφέρουμε ένα πλέγμα λύσεων που απαντούν στην ανάγκη για Industrial Security, οι οποίες μπορούν να προσαρμοσθούν στις απαιτήσεις της εκάστοτε βιομηχανίας.