Przemysłowe Cyberbezpieczeństwo - ICS/OT Security

Celem zrozumienia czym jest przemysłowe cyberbezpieczeństwo,  wpierw przedstawimy krótką charakterystykę systemów sterowania automatyki przemysłowej. Zagadnienia te, opisywane w dalszej części naszego portalu stanowią trzon Industrial Security.

ICS/OT to termin używany do opisania systemów sterowania, automatyki przemysłowej integrujący warstwę sprzętową, oprogramowanie, sferę komunikacji tych systemów. ICS – Industrial Control Systems, to system zapewniający kontrolę i monitorowanie procesów fizycznych, pracy linii, maszyn i instalacji technologicznych przy operacjach wytwarzania produktów, energii lub ich przetwarzania na określone potrzeby i/lub dobra. Stąd też systemy sterowania automatyki przemysłowej znajdują szerokie zastosowanie gospodarce i przemyśle kraju. Stanowią znaczną część infrastruktury krytycznej sektora zarówno publicznego jak i prywatnego. Stanowią również nieodzowną część systemów sterowania budynkami, infrastrukturą, systemami BMS (ang.Building Management System).

Systemy sterowania przemysłowego (ICS/OT) as kluczowe w aspekcie poprawnego funkcjonowania infrastruktury krajowej, świadczeniu usług kluczowych (jak dostawa energii elektrycznej, wody pitnej, funkcjonowania sektora bankowego lub opieki zdrowotnej) oraz produkcji/dostarczaniu szerokiej gamy produktów codziennego użytku. Dokładny opis stopnia skomplikowania tego zagadnienia zostanie opisany w części Współzależność w Infrastrukturze Krytycznej.

Otoczenie produkcyjne, systemy sterowań ICS linii, instalacji, maszyn, w skrócie systemów wytwórczych, oparte jest na wielu różnych urządzeniach/instrumentach/komponentach automatyki przemysłowej ICS i zasobów OT.  Pewnym uproszczeniem idei sterowania procesem produkcji dyskretnej, procesowej jest poniższy diagram.

Pętla sterowania i regulacji w systemach ICS
Pętla sterowania i regulacji w systemach ICS - Opis: Pętla Sterowania

Dalece zaawansowana automatyzacja sterowania procesami realizuje szereg zadań i zależności  nadzoruje proces wytwarzania, przetwarzania. Automatyzacja procesów jest kluczem do efektywnej produkcji i zarządzania procesem wytwórczym, elastycznej produkcji, efektywniejszego wykorzystania energii, surowców, czasu i ludzi. Przy odpowiednio dużej skali, skomplikowaniu operacji – złożoności etapów, automatyzacja procesów znajduje biznesowe uzasadnienie.

Dane, dostęp do danych. Analityka i predykcja zdarzeń

Dane. Im bardziej skomplikowany proces, tym danych jest więcej. Stopień analityki, którą proponują nam dzisiejsze rozwiązania technologicznie, instalacji jest wprost nieosiągalny przez człowieka, nawet przy pracy całych zespołów analityków. A wciąż musimy mieć na uwadze zależność przetwarzanych danych i ich wpływ na pracę całej instalacji, maszyny i linii technologicznej. W ramach określonej jednostki czasu, dane procesowe z czujników i elementów systemu sterowania/regulacji muszą zostać przeanalizowane przez sterownik np.PLC (ang.Programmable Logic Controller). Wynik operacji matematycznych, logicznych jest następnie przekazany do nadrzędnego systemu sterowania, kontrolera głównego i elementu nastawczego/regulującego w sterowanym obwodzie. Więcej o tym charakterystyce sterowników oraz pozostałych komponentach systemu znajduje się w treści automatyka i PLC.

Systemy ICS/OT – czy zawsze mówmy o tym samym ?

Wszystko zależy od złożoności systemu i instalacji, technologii, architektury i nadzorowanego łańcucha kinematycznego, sterowanych wielkości  fizykochemicznych mechanicznych.

Mały system produkcyjny – maszynę, może bowiem stanowić zaledwie jeden sterownik klasy PLC połączony z czujnikami, systemem prostej wizualizacji i elementami napędzającymi łańcuch kinematyczny. System komunikuje się po prostej szynie danych, w tym konkretnym przypadku poniżej po standardzie Ethernet/IP.

Machine level network
Przykład prostej maszyny - sytem ICS. Źródło: Rockwell Automation

Systemem sterowania procesem w rafineriach, zakładach chemicznych ogólnie rzecz ujmując w instalacjach procesowych cechuje się natomiast znacznie większym stopniem skomplikowania. Uwzględniony jest tutaj szereg dodatkowych czynników takich jak niezawodność systemu – dostępność systemu i oczywiście bezpieczeństwo procesowe. Ponadto, odczyty wartości zmiennych procesowych (wielkości fizyczne, chemiczne, elektryczne, inne …) pobierane są w wielu miejscach instalacji, transferowane do jednostek sterujących pracą elementów wykonawczych (pompy, silniki elektryczne, zawory, inne …).

Przykład instalacji opartej na architekturze systemów DCS (ang. Distributed Control System, Rozproszony system sterowania) przedstawia schemat poniżej – lecz znów w sposób mocno uproszczony:

PlantPax network level DCS
Przykład rozproszonego systemu sterowania DCS. Źródło, Rockwell Automation, PlantPax 5.0

W rzeczywistości, rozproszone systemy sterownia zbudowana są w oparciu o setki – tysiące punktów pomiarowych, elementów wykonawczych i pętli regulujących dany proces.

By lepiej zobrazować opisany powyżej produkcji, zachęcam do zapoznania się z filmem poniżej, który świetnie przedstawia złożoność i skale systemów ICS/OT.

Zakłady o produkcji dyskretnej to rozległe linie technologiczne z wieloma indywidualnymi operacjami – stanowiskami/maszynami, które stanowią ciąg technologiczny – linię produkcyjną. Dobrym przykładem jest tutaj branża samochodowa i produkcja samochodów, części do samochodów.

Poniższy film z fabryki Tesla, świetnie uwidocznia zależności systemów sterowania w produkcji gniazdowej, konieczność integracji maszyn i urządzeń w potok technologiczny jakim są linie produkcyjne:

IT vs. OT ? Dlaczego ICS musimy traktować w inny sposób

Widać tutaj znaczącą różnicę pomiędzy systemami jakie znamy z części IT a tymi które są podstawą działania przemysłu, systemu produkcji-przetwarzania-przesyłu energii, systemów wytwórczych dóbr i produktów.

Portal securOT trakuje właśnie o tych różnicach i charakterystyce poszczególnych systemów przemysłowych. Jak się bowiem okazuje, w dobie Industry x.0 łączymy nasze systemu biznesowe IT z infrastrukturą zakładową OT. Celem nadrzędnym jest pozyskanie danych i ich obróbka pod kątem wartości biznesowej, ciągłości produkcji. To jest główne założenie 4 Rewolucji Przemysłowej, wymiana danych między systemami. Lecz by nastąpiła wymiana informacji to wpierw nasze systemy musimy połączyć. I w ten sposób okazuje się, iż elementy z naszej infrastruktury OT/ICS zostają zintegrowane z infrastrukturą IT. W końcowym efekcie, nasze urządzenia automatyki przemysłowej jak sterownik PLC, stacje operatorskie HMI, stają się częścią infrastruktury IT. Wymienia dane z otoczeniem, systemami wyższego rzędu oraz światem zewnętrznym – internetem.

Industrial Security – ICS/OT Security, Cyber(nie)Bezpieczeństwo

Bezpośrednie porównanie przytoczonych powyżej dwóch typów systemów wytwórczych, rysuje jedynie wstępny zaraz dotyczący różnorodności systemów sterowania i ich stopnia skomplikowania. Ta różnorodność i wynikająca z tego tytułu charakterystyka zostanie opisana w kluczowej części poświęconej ICS Securit oraz w obszernej części Blog.

 Zrozumienie bowiem, idei działania tych instalacji, systemów a więc i sieci przemysłowych stanowi fundament ich ochrony a więc Industrial Security.

Współczesne systemy sterowania automatyki przemysłowej są wytwarzane w oparciu o najnowsze technologie. Są to komponenty składające się z najnowszych podzespołów, w tym wydajnych procesorów, dużej ilości pamięci operacyjnej RAM oraz trwałej FLASH. Porty komunikacyjne pozwalają na wymianę informacji z otoczeniem. Komunikacja często opiera się na specyficznych protokołach dedykowanych konkretnej aplikacji, branży (np. energetycznej) i/lub implementacji na standardzie Ethernet w ramach stosu TCP/IP.

Sterownik PLC, komponent systemu SCADA, DCS może być równie podatny (ang.Vulnerable) co komputer klasy PC, dedykowany serwer. Stanowi więc potencjalny wektor ataku.
… którym należy zarządzać.

Na chwilę obecną nie zagłębiamy się specyfikę poszczególnych systemów SCADA, DCS, PLC. Rozległy opis i charakterystyka każdego z tych systemów będzie opisany w dziale ICS Security. W części Industry X.0 poruszam kwestie związane z nowoczesnym zakładem przemysłowym, dostępem do nowych technologii, systemów zarządzania produkcją klasy MES, wsparciem poprzez funkcje analityczne i predykcyjne. Fundamentem działania jest niezaprzeczalnie prawie zawsze zapewnienie łączności między instalacją, maszyną a systemem sterowania i nadzoru procesem produkcji. W świetle bezpieczeństwa informacji systemów i danych, bezpieczeństwa przemysłowych systemów sterownia – obowiązuje niezmiennie jedna niepodważalna reguła zachowanie fundamentalnych zasad Security.

Proponuję przejście przez działy Industry x.0, Konwergencję IT/OT by skupić się na właściwym ICS Security.