Written by Priemyselné systémy sú dnes stále viac riadené digitálne, čo zvyšuje riziko ich vystavenia kybernetickým útokom. S ohľadom na to je znalosť základov priemyselnej kybernetickej bezpečnosti – a súvisiacich technických termínov – teraz nevyhnutnou požiadavkou pre účinný boj proti hrozbám.
SCADA, ICS, DCS, HMI, PLC … Za neškodnými iniciálami „OT“ (Operational / prevádzkové technológie, na rozdiel od IT – informačných technológií) leží závoj priemyselného žargónu s radom významov, ktorých interpretácia sa v jednotlivých odvetviach i spoločnostiach líši.
„Dokonca aj samotný termín ‚OT‘, ktorý bol oddelený od tradičného informačného systému, má zložitý a rôznorodý význam,“ hovorí Vincent Riondet, vedúci tímov projektov a služieb kybernetickej bezpečnosti v spoločnosti Schneider Electric France. Výrazy špecifické pre dané odvetvie, často zle prekladané alebo chápané rôznymi spôsobmi, môžu byť zdrojom zmätkov, v neposlednom rade medzi tímami informačnej bezpečnosti.
Ak máme chrániť priemyselné vybavenie a zavádzať zodpovedajúci obranu, musíme mať presnú predstavu o tom, ako funguje, a čo znamenajú termíny, ktoré ho popisujú… o to viac, keď je potreba reagovať na kybernetický útok.
Čo je SCADA?
Termín SCADA (Supervize Control and Data Acquisition) je skutočnou križovatkou priemyselného žargónu. Jeho definícia však podlieha celej rade interpretácií, ktoré sa môžu líšiť nielen podľa zemepisnej oblasti, ale tiež podľa oblasti podnikania. SCADA môže znamenať softvér pre zber dát nainštalovaný v počítači alebo odkazovať na všeobecný monitorovací systém. Už toto počiatočné spresnenie je problematické.
„Táto terminológia SCADA spôsobuje IT pracovníkom väčšinu zmätkov,“ vysvetľuje Vincent Riondet. „CISO bude mať tendenciu používať SCADA ako plošný termín pre všetky formy prevádzkových technológií. Ale pre inžiniera automatizácie sa SCADA týka systému, ktorý je schopný získavať a spracovávať veľké množstvo dát. Jedná sa o monitorovaciu aplikáciu. Pre tých, ktorí nie sú zapojení do sektoru automatizácie, môže byť význam slova ohnutý na akýkoľvek priemyselný riadiaci systém,“ dodáva Fabien Miquet, produktový a bezpečnostný riaditeľ spoločnosti Siemens. Podobne integrátor použije SCADA na opis všetkých nainštalovaných častí priemyselného systému až po radiče (PLC).
Človek s IT pozadím nepoužije pre SCADA rovnakú definíciu ako niekto z OT.
Vincent Riondet, Head of Cybersecurity Projects and Services teams at Schneider Electric
Prakticky sa v Európe SCADA používa k všeobecnému označeniu systému vzdialenej správy a telemetrie s v reálnom čase komunikujúcim mechanizmom, ktorý sa používa na sledovanie inštalácií. Lenže to je zase iný príbeh.
ICS, DCS, HMI, PLC: preberania sa priemyselným žargónom
Najmä v Spojených štátoch je pojem SCADA definovaný širšie ako v Európe a odkazuje na všeobecný monitorovací systém pozostávajúci z ICS, DCS, HMI a ďalších PLC.
ICS (Industrial Control System) je skratka, ktorá zahŕňa priemyselný systém ako celok. Jeho účelom je riadiť všetko, vrátane (podľa európskej koncepcie) SCADA, s ktorou je často zamieňaný. „Kvôli pokriveniu jazyka ICS označuje to, čo, neautomatizační špecialisti považujú za SCADA,“ vysvetľuje Fabien Miquet. Celkový systém je často považovaný za „Achillovu pätu“ priemyselnej kybernetickej bezpečnosti, pretože jeho povrch útoku – tj. jeho vystavenie kybernetickému riziku v dôsledku jeho veľkosti – je zo svojej povahy rozsiahlejši.
Podobne ako ICS a SCADA sa používa aj pojem „DCS“ (Distributed Control System), ktorý sa s oboma termínmi zamieňa. V pripojenej podobe tento druhý systém umožňuje presieťovanie (a prípadnú vymeniteľnosť) väčšieho počtu robotov, čo umožňuje spravovať zložitejšie procesy s distribuovanými lokálnymi úlohami.
HMI (človek-stroj) rozhranie umožňujú užívateľovi sa pripojiť k systému alebo robotu. Ide o komunikačný kanál medzi SCADA (ktorý zhromažďuje dáta) a človekom (ktorý musí mať prístup k dátam). Napr. vo Francúzsku je tento termín často zamieňaný sa SCADA. „Bohužiaľ im unikol zvyšok prekladu,“ povzdychol si Vincent Riondet. „Francúzski odborníci na automatizáciu zvyčajne používajú termín SCADA iba v zmysle horných vrstiev procesu riadenia a zabezpečenia (pre protokolovanie a monitorovanie dát), zatiaľ čo iní európski odborníci na automatizáciu ho chápu tiež ako samotné radiče.“
Napokon, ďalší bežne používaný termín PLC (Programmable Logic Controller), je zariadenie pre riadenie nezávislých robotov. Stíhate to všetko?
„Každá z týchto domén … IT, OT, automatizácia … má svoj vlastný žargón. Ak používate termín SCADA na označenie celého nastavenia, vašich zamestnancov to bude celkom miasť. A neschopnosť sa zhodnúť na technických termínoch vytvára v prípade útoku potenciálne zraniteľnosti,“ vysvetľuje opačným pohľad Fabien Miquet.
Dôležitosť zvládnutia priemyselného žargónu
Tento zmätok by mohol byť do budúcna čiastočne zodpovedný za priemyselné kybernetické riziká. Použitie nesprávnych alebo mätúcich výrazov, ktoré vyzerajú podobne, ale majú rôzne funkcie a účely, ďalej komplikuje kybernetickú bezpečnosť v priemyselných systémoch.
Bez toho aby sme začínali hru „nájdite rozdiel“, je možné stručne zhrnúť hlavné odlišnosti medzi SCADA a DCS:
- DCS je procesne orientovaný, zatiaľ čo systém SCADA je viac zameraný na zber dát;
- DCS je riadený procesy prostredníctvom prepojenia senzorov, kontrolérov, terminálov a akčných členov, zatiaľ čo SCADA je riadený udalosťami (chemickými, fyzikálnymi alebo lineárnymi);
- DCS je integrovanejší a môže vykonávať zložitejšie úlohy, ale SCADA je flexibilnejší.
Znalosť tohto znamená lepšiu schopnosť predvídať ich zraniteľnosti a kybernetické hrozby a vedieť ich včas riešiť. To znamená ponúknuť účinnejšiu ochranu priemyselného systému.
Poskytovanie priemyselnej kybernetickej bezpečnosti v dnešnom svete
Z hľadiska produkcie sa hlavné kybernetické riziko týka výrobných jednotiek. Kybernetický útok je môže narušiť a poškodiť alebo dokonca zastaviť, čo má často za následok veľké finančné straty a v niektorých prípadoch vplyvy na človeka a životné prostredie. Táto zraniteľnosť pramení najmä zo skutočnosti, že svet OT sa nevyvíja rovnakou rýchlosťou ako jeho IT náprotivok.
„OT sa vyvíja pomalšie ako IT. Kybernetická bezpečnosť sa musí prispôsobiť priemyslu, nie naopak. Je to celkom rigidný systém. Niekedy je potrebné urobiť reverzný inženýrink na to, čo už máte, aby ste našli najlepšie možné riešenia,“ hovorí Franck Bourguet, viceprezident spoločnosti Stormshield pre Engineering.
Výrobné zariadenie je koniec koncov koncipované tak, aby vydržalo niekoľko desaťročí, a musí neustále fungovať. Z pohľadu aktualizácie mimo fázy údržby, ktoré sú kvôli minimálnemu dopadu na výrobu prísne naplánované, to nie je práve ideálne. Okrem toho svet OT historicky fungoval offline, a preto bol izolovaný od hrozieb prichádzajúcich priamo z internetu. Ale s digitálnou revolúciou a automatizáciou sa továrne pripájajú k internetu a teraz sa musia vysporiadať s kybernetickými rizikami.
„Zvýšené prepojenie priemyselných systémov a ich rozhrania s IT sieťami zvyšuje bezpečnostné riziká, pretože znamenajú nové povrchy útoku,“ vysvetľuje Bourguet. Spoločnosti a výrobcovia kybernetickej bezpečnosti dnes musia vedieť reagovať na globálne problémy, ktoré zahŕňajú IT a OT, a brať do úvahy celkovú architektúru zákazníka ako súčasť koncepcie ochrany týchto útočných povrchov za všetkých okolností.
Používanie správnych nástrojov a prijímanie osvedčených postupov
Prvými krokmi je vytvorenie hĺbkovej obrany zahŕňajúce niekoľko bariér – kryptografické podpisy, princíp najnižších oprávnení, blokovanie USB portov a ďalších periférií, segmentácia siete. Nezabúdajme však na to, že stále najlepšou obranou sú ľudia. „Pravidlá digitálnej hygieny (správa hesiel, aktualizácia, zálohy atď.) poskytujú účinnú ochranu a môžu eliminovať 80% kybernetického rizika,“ uzatvára Fabien Miquet.
V záujme lepšej ochrany musí byť prioritou harmonizácia priemyselného žargónu tak, aby si zamestnanci mohli navzájom rozumieť a robiť správne rozhodnutia. V dnešnom svete je overená digitálna prax otázkou každého z nás.
Autor: Khobeib Benboubaker, Stormshield
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: Industrial cybersecurity: why should we stop talking about SCADA?