BLOG
Směrem k řešení OT kybernetické bezpečnosti
V dnešní geopolitické situaci i v rámci pokračující digitalizace a automatizace nabývá na významu nutnost kvalitního řešení kybernetické bezpečnosti OT technologií, které jsou jádrem kritické infrastruktury států i průmyslových podniků. Najít včas vhodné řešení pro jejich zabezpečení může být pro mnohé podniky otázkou existence.
Úvod
Velkým tématem v kybernetické bezpečnosti je dnes zabezpečení provozních technologií (Operational Technologies – OT). OT technologie jsou významnou součástí podniků čím dál více propojených, a tedy závislejších průmyslových dodavatelských řetězců. Za příklad lze uvést celý dodavatelský řetězec automobilového nebo lékárenského průmyslu, kde výpadek byť i jen jednoho výrobního podniku či článku v dopravním řetězci (např. transportní lodi) může způsobit značné potíže. [1]
Tato vzájemná propojenost je dnes zřejmá a naprosto zřetelná snad ve všech průmyslových odvětvích. Mezi taková odvětví patří velkoobjemové výroby energie, výroby elektřiny z jaderných, plynových, větrných, vodních elektráren za současného zavádění a rozšiřování lokálních, národních i nadnárodních inteligentních sítí (Smart Grids [2]). Dále sem patří různá chemická zařízení, přeprava vody, výroba a přeprava ropy a plynu, železniční a námořní doprava, letectví, automobilový průmysl a mnoho dalších.
Všechna tato různá průmyslová odvětví čelí novým kybernetickým hrozbám. Zejména průmyslová odvětví spadající pod státní kritickou infrastrukturu čelí v dnešní geopolitické situaci novým výzvám kybernetické bezpečnosti, protože bezpečnost a ochrana lidí je jedním z hlavních zájmů. Hrozby vytváří také konvergence OT a informačních a komunikačních technologií (Information Communication Technologies – ICT), tedy propojení dvou dříve odlišných prostředí kybernetická bezpečnost provozní technologie průmyslový řídicí systém řízení kybernetické bezpečnosti v rámci nástupu Průmyslu 4.0 s postupně se rozvíjející automatizací a digitalizací. [3]
Vzhledem k specifikům průmyslových odvětví zde dochází oproti odvětvím využívajícím primárně ICT technologie (např. bankovnictví) k implementaci postupů a procesů kybernetické bezpečnosti se zpožděním. Toto zpoždění a pomalá implementace je způsobena především velkým využitím OT technologií, jež jsou mnohdy staršího data výroby a jejichž výměna či renovace je velmi nákladná. Oproti tomu v odvětvích využívajících primárně ICT technologie jsou inovace řízeny především nutností kompatibility s ostatními ICT technologiemi a probíhají násobně rychleji. [4] Z těchto důvodu je nutné porozumět specifikům OT prostředí a nalézt efektivní způsob pro řešení OT kybernetické bezpečnosti.
Hlavní skupiny OT systémů
OT systémy tvoří několik velkých množin systémů, které se dále dělí na další podmnožiny (viz Obr. 1). Představené základní dělení OT systémů vychází z autorových zkušeností a z predispozice, kdy základním smyslem OT technologií je řídit, monitorovat či vykonávat nějakou fyzickou činnost. Součástí množiny OT jsou tak systémy a zařízení, která mají v rámci své činnosti jasný přesah do fyzického světa. [5]
OT systémy lze rozdělit na čtyři základní skupiny: průmyslové řídicí systémy (Industrial Control System – ICS), řídicí systémy (Control Systems – CS), kyber-fyzické systémy (Cyber-Physical System – CPS) a zařízení rozšířeného internetu věcí (Extended Internet of Things – XIoT).
ICS systémy jsou stále pravděpodobně největší množinou OT systémů. Tyto systémy a jim přidružené OT technologie lze rozdělit do několika základních skupin dle jejich funkcionalit. ICS se dělí na systémy pro dispečerské řízení a sběr dat (SCADA – Supervisory Control and Data Acquisition), ale také na distribuované řídicí systémy (Distributed Control System – DCS) a systémy bezpečnostní integrity (Safety Integrated System nebo také Safety Instrumented System – SIS); jež jsou přesným opakem řídicích systémů a jsou řešeny především sérií standardů IEC 61508. SCADA jsou největší podmnožinou ICS systémů a stejně jako DCS a SIS se skládají z několika skupin vzájemně spolupracujících OT technologií.
Do ICS této množiny spadají systémy pro řízení transportu (Transportation System – TS; např. systémy pro řízení vlakové dopravy) a systémy zaměřující se na kontrolu a monitorování fyzického prostředí (Physical Environment System – PES). U TS probíhá významný vývoj především směrem k integrované bezpečnosti (např. řízení vlakové dopravy) a autonomii (např. automobilová doprava).
Další velkou množinou jsou samotné řídicí systémy, které se využívají pro jiné než čistě průmyslové účely. Lze si představit systémy pro podporu komerčních aktivit a také systémy, které se začínají využívat v jednotlivých domácnostech.
Do této skupiny patří systémy pro integrované řízení budov (Building Automation System – BAS nebo také Building Management System – BMS), které integrují různé systémy pod automatické centralizované řízení. Integrovanými systémy mohou být systémy pro řízení tepla a ventilace vzduchu (Heat, Ventilation, Air Conditioning – HVAC), řízení výroby a rozvodu elektrické energie (Building Energy Management System – BEMS), řízení osvětlení, systémy pro kontrolu fyzických přístupů v budovách (Physical Access Control System – PACS) a kamerové systémy (Closed-Circuit Television – CCTV). V kyberfyzických systémech jsou propojené výpočetní, komunikační a řídicí schopnosti ICT s tradiční provozní infrastrukturou (OT). Operabilita těchto systémů závisí na propojenosti fyzické vrstvy (např. nosič elektrické energie) a vrstvy kybernetické (např. nosič dat a informací). Zjednodušeně lze říci, že se jedná o fyzické systémy, jež jsou řízené kyberneticky (pomocí softwaru). Vzhledem k vývoji v rámci průmyslu 4.0, autonomních vozidel a dalších CPS systémů (např. dronů) lze v blízké budoucnosti očekávat významný rozvoj této množiny.
Zařízení rozšířeného internetu věcí (XIoT) označuje holistický termín, který zahrnuje všechna zařízení, jež jsou připojitelná k síti. Tato většinou drobnější zařízení s jednodušším ovládacím systémem (oproti CPS, které jsou o poznání komplexnější) se používají v různých kontextech lidské společnosti. Významnou úlohu začínají hrát v průmyslu (Industrial Internet of Things – IIoT), kde se jedná o využití chytrých senzorů, aktuátorů a dalších chytrých zařízení (např. připojitelné brýle pro virtuální či rozšířenou realitu) za účelem zlepšení výrobních a průmyslových procesů. U zařízení IIoT lze často využívat výpočetní sílu a moderní analýzu dat v reálném čase za využití specifických dat, která produkují stroje v průmyslovém prostředí. Podniková alternativa IoT (Enterprise Internet of Things – EIoT) obsahuje obdobná zařízení, jež jsou připojena k podnikovým sítím a zpravidla usnadňují zaměstnancům určité pracovní i nepracovní procesy (např. dálkově ovládané chytré kávovary). Samotné civilní IoT jsou taktéž zařízení, která jsou vybavena senzory, softwarem a dalšími technologiemi, které jim umožňují přenášet a přijímat data do a z jiných zařízení a systémů (dnes také hračky, chytré chůvičky apod.). V rámci celosvětové digitalizace počty všech XIoT zařízení dramaticky stoupají. Koncept navíc rozšiřuje tradiční IoT o začlenění dalších technologií a schopností. Kombinací IoT s umělou inteligencí (Artificial Intelligence – AI), strojovým učením (Machine Learning – ML) a velkými daty (Big Data) se v rámci XIoT objevují stále inteligentnější a efektivnější systémy.
Důležité je zmínit, že výčet OT systémů není konečný a dané skupiny systémů se ve svých verzích mohou prolínat (SCADA systémy se objevují např. ve skupině TS) nebo dělit na další podskupiny. ICS mohou obsahovat ve svém designu IIoT zařízení apod. Náhledy na problematiku, kategorizace a definice těchto množin se mnohdy liší i mezi jednotlivými dodavateli. Autorovým cílem je vnést na problematiku jednoduchý strukturovaný náhled, na jehož základě si lze problematiku OT systémů lépe představit a díky tomu posléze kvalitněji řídit kybernetickou bezpečnost podniku.
Obecný vztah OT technologií v rámci systémů SCADA
SCADA systémy jsou dominantními OT systémy, z tohoto důvodu je porozumění jejich základnímu návrhu z hlediska zajištění kybernetické bezpečnosti důležité. Zjednodušené propojení vrstev OT a ICT technologií v rámci obecného návrhu SCADA systému lze vidět na Obr. 2. Fyzicky ovládaná zařízení, jakými jsou např. stroje, motory, čerpadla apod., jsou monitorována a kontrolována pomocí senzorů a akčních členů. Senzory zpravidla sledují vybrané fyzikální charakteristiky (např. úroveň teploty, objemu, průtoku, výšky, hlasitosti, vlhkosti, otáček, otřesů apod.). Senzory jsou tedy snímací zařízení, která jsou schopná něco regulovat a která přeměňují konkrétní veličinu na elektrický signál dle svého využití (fungují jako detektory, snímače, spínače, hlídače a hlásiče).
Tyto informace jsou poté předávány vzdálenému terminálu/ telemetrické jednotce (Remote Terminal/Telemetry Unit). RTU jsou jednoúčelová zařízení navrhnutá za účelem zpracování určitých signálů od zmíněných čidel. RTU mohou komunikovat i bezdrátově. Některé činnosti mohou provádět na základě obdržených informací od čidel zcela autonomně nebo na základě požadavku, který přijde od programovatelného logického řadiče (Programmable Logic Controller – PLC). RTU předává např. informace o stavu a měření z přenosové rozvodny nebo napájecího zařízení do systému SCADA a přenáší řídicí příkazy odeslané ze systému SCADA do provozního zařízení.