S postupující digitalizací v průmyslové automatizaci rostou požadavky na vzájemnou komunikaci operační technologie (OT) s výpočetními systémy průmyslových podniků (IT). Automatizační zařízení v OT síti poskytují do IT sítě stále větší množství dat, která jsou potřebná k efektivnímu řízení výroby, minimalizaci výrobních nákladů, optimalizaci prostojů či prediktivnímu plánování zásahů údržby. Intenzivní datová komunikace mezi OT a IT sítí však přináší vedle jednoznačně pozitivních efektů i větší otevřenost OT sítě, a tím i její vyšší zranitelnost vůči kybernetickým útokům.

Připomeňme, že tradičně byly OT sítě budovány jako téměř izolované od okolního kybernetického prostředí, možnost jejich napadení vnějším kybernetickým útočníkem tedy byla minimální. Proto i požadavky na zajištění kybernetické bezpečnosti OT sítě byly v minulosti nízké. Chceme-li však naplno využít potenciál, který přináší digitální transformace a IIoT technologie, je třeba tento koncept změnit. Moderní OT síť zkrátka izolovaná není, je třeba kvalitně analyzovat její zranitelnosti, zabývat se ochranou celé sítě stejně jako jednotlivých zařízení, monitorovat síťovou komunikaci a detekovat v ní případné kybernetické hrozby a aktivně těmto hrozbám čelit. Aspekt kybernetické bezpečnosti tak sehrává v moderních automatizačních projektech svou nezastupitelnou úlohu.

ThinManager

ThinManager je softwarový produkt, který umožňuje využití tzv. „tenkých klientů“ v průmyslové síti. Tenkým klientem rozumíme počítač bez operačního systému, případně i bez vlastního paměťového úložiště. Pomocí ThinManageru je možné takovému zařízení poskytovat obsah (například vizualizační aplikaci) z jednoho centrálního serveru. ThinManager navíc nabízí řadu dalších funkcionalit – zablokování USB portů pouze pro připojení myši a klávesnice, poskytování obsahu podle lokace, přihlašování uživatelů pomocí PINu, biometrických údajů, nebo scanem QR kódu, správu uživatelů a jejich oprávnění, atd. Využití tenkých klientů výrazně napomáhá ke komplexnímu řešení kybernetické bezpečnosti v OT síti. U tenkých klientů odpadají problémy se správou patchů, tato zařízení jsou zabezpečena proti vstupu nežádoucího malware.

CIP Security

CIP Security je protokol síťové komunikace, který zabezpečuje bezpečný přenos dat a ochranu jednotlivých zařízení v OT síti.

Ověřování koncových bodů – odesílatel i příjemce datové zprávy jsou ověřováni pomocí certifikátů nebo sdílených klíčů. Zařízení je tak schopné odmítnout datovou zprávu, která by pocházela z neověřeného zdroje.

Integrita dat – pomocí TLS message authentication code (HMAC) se ověřuje, že data nebyla pozměněna při jejich přenosu v síti. Tím je zabezpečena ochrana zařízení proti útokům typu Man-in-the-Middle (MitM)

Kryptování dat – data přenášená v síti jsou kryptována pomocí TLS a DTLS kryptografických protokolů. Datová komunikace je tak chráněna proti neoprávněnému monitoringu.

Nabízíme produkty Rockwell Automation s nativní podporou CIP Security protokolu.

Software

• FactoryTalk Policy Manager (verze 6.11 +)
• FactoryTalk Systém Services (verze 6.11 +)
• FactoryTalk Linx (verze 6.11 +)
• Studio 5000 Logix Designer (verze 31 s využitím 1756-EN4TR komunikačního modulu, verze 32 + i bez tohoto modulu)

Hardware

• řídicí systémy ControlLogix 5580
• řídicí systémy GuardLogix 5580
• řídicí systémy CompactLogix 5380
• řídicí systémy CompactGuardLogix 5380
• 1756-EN4TR ControlLogix EtherNet/IP Communication Module
• servopohony Kinetix 5300
• servopohony Kinetix 5700
• frekvenční měniče PowerFlex 755T
• modul 1783-CSP – CIP Security Proxy

Poslední z uvedených hardwarových produktů – modul CIP Security Proxy – slouží jako zprostředkovatel zabezpečené komunikace pro zařízení, která nedisponují nativní podporou CIP Security. CIP Security Proxy spravuje kryptovací klíče a certifikáty pro chráněné zařízení a zajišťuje tak jeho síťovou komunikaci na bázi CIP Security protokolu.

Claroty CTD – Continuous Threat Detection

Continuous Threat Detection je modulární a škálovatelný softwarový systém určený k trvalému monitoringu zařízení a komunikace uvnitř OT sítě a k detekci potenciálních kybernetických hrozeb.

• viditelnost – Claroty CTD poskytuje kompletní přehled OT sítě a centralizovanou, plně automatizovanou inventarizaci všech připojených zařízení. Systém byl navržen univerzálně pro všechny průmyslové OT sítě, disponuje rozsáhlou knihovnou průmyslových síťových protokolů a je schopen identifikovat i obtížně viditelná vnořená zařízení a zařízení umístěná na úrovních 0-2. O každém identifikovaném zařízení poskytuje Claroty CTD kompletní inventarizační data včetně popisu hardwaru, modelového označení, aktuální verze firmwaru, označení slotu, IP adresy a dalších podrobností.
• segmentace – Claroty CTD automaticky mapuje síť a uspořádává jednotlivá zařízení do tzv. virtuálních zón. Virtuální zóny jsou logické celky sdružující zařízení, která spolu za normálních okolností běžně komunikují. Tato virtuální segmentace usnadňuje detekci anomálního chování v síťové komunikaci, zvyšuje efektivitu datové analýzy síťové komunikace a může být podkladem i pro budoucí rozhodnutí o fyzické segmentaci OT sítě.
• management rizik a zranitelností – Claroty CTD poskytuje přehled o všech zranitelnostech jednotlivých zařízení v OT síti. Systém tak upozorňuje na nestandardní konfigurace, nezabezpečené protokoly, nechráněné komunikační porty a další zjištěná rizika. Pro identifikaci rizik je využívána průběžně aktualizovaná vlastní databáze zranitelností spravovaná výrobcem systému, firmou Claroty, stejně jako Národní databáze zranitelností, která slouží jako veřejný zdroj informací o kybernetických zranitelnostech v USA.
• detekce anomálií a možných kybernetických útoků – Claroty CTD monitoruje síťovou komunikaci a pomocí algoritmů umělé inteligence si automaticky vytváří model běžného provozu v síti. Dále obsahuje pět různých detekčních nástrojů pro zjištění anomálního chování v síti. Díky těmto nástrojům je systém schopen okamžitě upozornit uživatele na možný kybernetický útok.

Poradenství v kybernetické bezpečnosti

Ve spolupráci s našimi partnery zajišťujeme poradenství v kybernetické bezpečnosti, návrhy a posuzování projektů podle normy IEC 62443. Primárním cílem této normy je zajištění bezpečného provozu průmyslových automatizačních systémů a ochrana všech komponent těchto systémů před nežádoucími zásahy. Nabízíme systematický a praktický přístup k zajištění kybernetické bezpečnosti průmyslových systémů poskytovaný certifikovanými experty v tomto oboru.

Poradenské služby v oblasti kybernetické bezpečnosti

• analýza rizik
• analýza zabezpečení OT sítě a komponent
• návrh zajištění zabezpečení bezdrátových sítí
• SIS – Safety Instrumented Systems – návrh a jejich zabezpečení
• návrh a poskytování přesné dokumentace logické a fyzické infrastruktury
• zabezpečení vzdáleného přístupu
• kybernetické bezpečnostní incidenty (zvládání, vyhodnocení, náprava)
• dokumentování přístupových bodů
• ochrana před malware včetně vyhodnocení, schválení a testování
• qinstalace a správa patchů a bezpečnostních záplat
• specifikace a dokumentace ke správě a provádění zálohování dat a konfigurací