Utrzymanie zabezpieczeń sieci w firmie na odpowiednim poziomie wcale nie jest łatwe. Jeszcze trudniejsze bywa zbudowanie i utrzymanie bezpiecznej infrastruktury sieciowej w systemach sterujących produkcją – wymaga to często podejścia nieszablonowego, dobrego pomysłu i wyboru właściwych urządzeń.
W przedsiębiorstwach informatyką najczęściej zajmują się pracownicy z kompetencjami przynajmniej w dziedzinie systemów operacyjnych i aplikacji. Oczywiście dział IT rośnie i w zależności od wielkości firmy czy jej struktury organizacyjnej pojawia się więcej specjalizacji – bazy danych, wirtualizacja, aplikacje webowe itp. W przypadku firm, w których zachodzą procesy produkcyjne sterowane komputerowo, pojawiają się ponadto specjaliści związani z automatyką przemysłową. Ponieważ sieci przemysłowe obejmują szeroką gamę technologii, od sieciowych po systemowe, oraz korzystają z różnych specyficznych protokołów, wymagają szerokiej gamy kompetencji. Projekt takiego systemu powinien być traktowany multidyscyplinarnie, ponieważ zaniedbanie w jednej z dziedzin może nieść wielorakie ryzyko nie tylko dla firmy, ale również otaczającego ją środowiska naturalnego.
Systemy sterujące
W literaturze przedmiotu mówimy o systemach Industrial Control Systems, w skrócie ICS. Należą do nich systemy akwizycji danych i nadzoru procesów produkcyjnych (Supervisory Control and Data Acquisition – SCADA), rozproszone systemy sterowania (Distributed Control Systems – DCS) oraz inne konfiguracje systemów kontroli, takie jak bazujące na sterownikach programowalnych (Programmable Logic Controllers – PLC). ICS są zwykle wykorzystywane w takich branżach elektrycznej, wody i ścieków, ropy naftowej i gazu ziemnego, transportowej, przemysłu chemicznego, farmaceutycznego, żywności i napojów, motoryzacyjnego i lotniczego. Systemy SCADA są powszechnie używane do kontrolowania rozproszonych zasobów za pomocą scentralizowanej akwizycji danych i nadzoru sterowania. DCS są powszechnie stosowane do kontrolowania systemów produkcyjnych w obszarze lokalnym, takim jak fabryki, stosując nadzór i kontrolę regulacji. PLC są zazwyczaj wykorzystywane do dyskretnej kontroli dla konkretnych aplikacji i ogólnie zapewnienia kontroli regulacyjnej. Systemy ICS są obecnie niezbędne dla funkcjonowania infrastruktury krytycznej.
Na wcześniejszych etapach rozwoju systemów sterowania procesami produkcyjnymi miały one niewiele wspólnego z ogólnie pojmowana informatyką. Początkowo były to całkowicie izolowane rozwiązania oparte na dedykowanych dla nich oprogramowaniu i sprzęcie. Ze względu na rozwój coraz bardziej niezawodnych (i tańszych) sieci opartych o protokół IP, z czasem zastąpiono specyficzne rozwiązania standardami stosowanymi w sieciach komputerowych. Doprowadziło to jednak w ICS do pojawienia ryzyka związanego z cyberbezpieczeństwem, które do tej pory dytyczyło tylko sieci komputerowych.
Przemysłowe systemy sterowania zaadaptowały rozwiązania informatyczne, co umożliwiło uruchomienie wielu funkcji istotnych z punktu widzenia biznesu. Akwizycja danych pozwala na przesyłanie informacji do systemów wspomagających zarządzanie przedsiębiorstwem (Enterprise Resource Planning – ERP). Połączenie sieci systemu ICS z siecią korporacyjną pozwala również na zdalny monitoring oraz szybkie reagowanie serwisantów systemów. Integracja dodaje wiele funkcji istotnych z punktu widzenia biznesowego, jednak zmniejsza izolację od czynników ryzyka związanych z sieciami obcymi, a nawet publicznymi. Ze względu na specyfikę ICS rozwiązania bezpieczeństwa stosowane w środowiskach IT muszą być specjalnie dopasowywane do potrzeb systemów przemysłowych. W wielu przypadkach powinno być stosowane podejście bardziej restrykcyjne, uwzgledniające jednocześnie wiele ograniczeń wynikających ze specyfika działania ICS.
Systemy SCADA
Sieć systemów SCADA dzieli się na segment lokalnej sieci sterowania produkcją (LCN – Local Control Network) oraz separowaną część WAN z rozproszonymi miejscami sterowania np. w których znajdują się sterowniki PLC.
W lokalnej sieci sterowania produkcją znajdują się:
- serwery sterowania,
- stacje inżynierskie,
- stacje operatorskie.
Sieć sterowania produkcją powinna być odseparowana logicznie od sieci połączeń ze sterownikami w procesie produkcyjnym oraz logicznie lub fizycznie od lokalnej sieci korporacyjnej (CLAN).
Cechą systemów SCADA jest to, że sterowniki PLC połączone są bezpośrednio z urządzeniami wykonawczymi (zawory, pompy itp.) i pomiarowymi (czujniki temperatury, poziomu itp.). Zbierają aktualne dane z obiektu oraz wykonują automatyczne algorytmy sterowania i regulacji. Za pośrednictwem sterowników PLC dane trafiają do systemu komputerowego i tam są archiwizowane oraz przetwarzane na formę bardziej przyjazną dla użytkownika. Operatorzy systemu określają parametry procesu lub prowadzą proces w trybie ręcznym.
Systemy DCS
Sieć systemów DCS składa się z kilku elementów. LCN jest sercem sterowania. W tym miejscu znajdują się najważniejsze elementy służące do sterowania procesem produkcji:
- serwery sterowania produkcją,
- stacje inżynierskie sterowania produkcją,
- stacje operatorskie.
Jest to sieć separowana logicznie z siecią połączeń ze sterownikami w procesie produkcyjnym oraz logicznie lub fizycznie z CLAN.
Cechą systemów DCS jest sterowanie i wizualizacja procesu przemysłowego oparte na wspólnej bazie danych dla sterowania i wizualizacji (w przeciwieństwie do systemu zbudowanego na bazie SCADA i PLC). Wspólna baza punktów (tagów) daje jednoznaczne określenie w systemie DCS. Oznacza to, że jeśli przypiszemy przetwornikowi ciśnienia nazwę 934_PT-128, będzie to jego unikatowa nazwa widoczna zarówno w wizualizacji, jak i w oprogramowaniu aplikacyjnym. Niemożliwe będzie również nazwanie w ten sposób innego punktu. W systemach DCS procesory sterowników DCS są czasu rzeczywistego. CPU cyklicznie wykonują program w czasie (scan time), co zapewnia wykonanie w czasie rzeczywistym wszystkich zaplanowanych operacji (program nie może się zawiesić, nawet jeśli programista popełni błąd).
Systemy sterujące DCS działają w oparciu o standardowe systemy operacyjne i protokoły sieciowe. LCN przeznaczona dla serwerów i stacji inżynierskich oraz operatorskich przesyła pakiety z użyciem protokołu Ethernet oraz pozostałych, standardowych protokołów na wyższych warstwach modelu OSI. Jest to z jednej strony ułatwienie, ponieważ pozyskanie kompetencji niezbędnych do zarządzania jest prostsze. Kolejna korzyść to koszty, które ze względu na wykorzystanie standardów znanych z sieci komputerowych mogą być niższe. Z drugiej strony standardowe protokoły IP oraz połączenie z CLAN wprowadza potrzebę dodatkowej kontroli przepływu pakietów w punktach styku i punktach dostępu.
Autor: Artur Cieślik