Wybór architektury przyrządowego systemu bezpieczeństwa (safety instrumented system ? SIS) dla celów obrony przed cyberatakami w ciągu całego cyklu życia produktu jest jedną z pierwszych decyzji, które musi podjąć organizacja.
Cyberbezpieczny system SIS wykorzystuje koncepcję obrony w głąb dla lepszego zabezpieczania się przed zagrożeniami wewnętrznymi i zewnętrznymi.
Dzięki współczesnym rozwiązaniom technicznym systemów bezpieczeństwa możliwe jest stworzenie skutecznych, niezawodnych systemów ochrony procesów produkcji przy wykorzystaniu sprzężonej (interfaced) lub zintegrowanej (integrated) architektury systemu SIS, spełniającego wymagania norm międzynarodowych, takich jak Międzynarodowa Komisja Elektrotechniczna: IEC 62443 (rodzina norm ANSI/ISA 62443) i/lub zaleceń lokalnych, takich jak wytyczne Stowarzyszenia Użytkowników Technologii Automatyki w Przemyśle Procesowym (User Association of Automation Technology in Process Industries ? NAMUR). Zrozumienie unikalnych zalet każdej ze wspomnianych architektur oraz ich przeanalizowanie jest konieczne dla podjęcia świadomej decyzji dotyczącej tego, która z nich będzie najlepiej służyć potrzebom organizacji.
Zrozumienie norm cyberbezpieczeństwa
Normy dotyczące cyberbezpieczeństwa dostarczają szeregu wytycznych odnośnie odseparowania komponentów krytycznych dla bezpieczeństwa od elementów niekrytycznych. Według wytycznych ISA zasoby krytyczne dla bezpieczeństwa muszą być pogrupowane logicznie na strefy lub fizycznie odseparowane od zasobów niekrytycznych.
NAMUR oferuje podobny zbiór wytycznych w arkuszu roboczym NA 163 ?Ocena ryzyka dla systemu SIS?. Wytyczne te definiują trzy strefy logiczne: podstawowy system SIS (core SIS), rozszerzony system SIS (extended SIS) oraz architekturę systemu sterowania (nazywaną przez NAMUR peryferiami/peripherials), które muszą być fizycznie lub logicznie odseparowane od siebie (rys. 1).
Podstawowy system SIS składa się z komponentów wymaganych do realizacji funkcji bezpieczeństwa: jednostki logicznej sterownika bezpieczeństwa PLC (logic solver), układów We/Wy, czujników i elementów końcowych. Rozszerzony system SIS zawiera komponenty systemu bezpieczeństwa, które nie są wymagane do realizacji funkcji bezpieczeństwa, takie jak stacja inżynierska. Peryferia to komponenty i systemy, takie jak podstawowy system sterowania procesem (basic process control system ? BPCS), które nie są bezpośrednio lub pośrednio przypisane systemowi SIS, ale mogą być użyte w kontekście funkcji bezpieczeństwa. Funkcje bezpieczeństwa mogą obejmować ponowne wysłanie żądania z systemu BCPS lub wizualizację zabezpieczeń w interfejsie operatorskim HMI.
Żadna z wymienionych norm nie definiuje ściśle wymaganej architektury systemowej. Użytkownicy muszą sami zdecydować, jak najlepiej ustrukturyzować sieci SIS oraz zapewnić, że końcowy projekt realizuje logiczną i fizyczną separację pomiędzy systemem BCPS i SIS. Takie podejście często pozostawia organizacjom trzy opcje wyboru architektury sieci SIS:
? Odseparowany system SIS, całkowicie odłączony i niezależny od systemu BCPS;
? Sprzężony system SIS, podłączony w sieci do systemu BCPS, z użyciem protokołów przemysłowych (zwykle Modbus);
? Zintegrowany system SIS, połączony w sieci z systemem BSPS, ale wystarczająco odizolowany, aby spełniał normy cyberbezpieczeństwa.
Niektórzy inżynierowie automatycy mogą twierdzić, że oddzielny system SIS jest bardziej bezpieczny, niż zrealizowany w oparciu o pozostałe dwie koncepcje architektury systemowej. Jednakże okazuje się, że wszystkie wymienione architektury pozwalają na realizację niezawodnie działających struktur systemów bezpieczeństwa maszyn i procesów tak długo, jak poprawnie definiowana jest struktura funkcjonalna takiego systemu i konsekwentnie wprowadzona podczas projektowania, wdrażania i konserwacji systemu bezpieczeństwa. Architektura SIS jest ważna, niemniej jednak jest ona tylko jednym z aspektów definiowania zabezpieczeń dla systemu bezpieczeństwa.
Maksymalizacja obrony w głąb
Zabezpieczanie systemu SIS wymaga podejścia określanego jako obrona w głąb (defense-in-depth). Ponieważ liczba cyberataków każdego roku wzrasta, to jedna warstwa zabezpieczeń zasobów krytycznych dla bezpieczeństwa procesów i maszyn w zakładzie przemysłowym już nie wystarcza. Administratorzy sieci stosują obecnie wiele warstw zabezpieczeń ? antywirusy, zarządzanie użytkownikami, uwierzytelnianie wielostopniowe, wykrywanie włamań i zapobieganie im, białe listy, firewalle oraz inne środki ? w celu zwiększenia poziomu pewności, że nieautoryzowani użytkownicy napotkają barierę niemożliwą do przejścia. Celem strategii obrony w głąb jest rozbudowa mechanizmów zabezpieczania i kontroli dostępu. Jest to realizowane przez dodawanie kolejnych warstw zabezpieczeń, które się wzajemnie uzupełniają.
Obrona w głąb ? systemy odseparowane
Jedną z najbardziej rozpowszechnionych metod zabezpieczania systemu SIS jest całkowite odseparowanie tego systemu od sieci informatycznych, czyli utworzenie tzw. szczeliny powietrznej (air gap) pomiędzy podstawowymi funkcjami systemu SIS a systemem BPCS (rys. 2). Korzyści z takiego podejścia wydają się oczywiste. Jeśli system SIS jest odseparowany od innych systemów sterowania procesami, to jest niejako domyślnie gruntownie zabezpieczony przed włamaniami.
Jednak nawet odseparowane systemy nie są całkowicie uodpornione na cyberataki. Użytkownicy w końcu będą przecież wymagali dostępu do systemu z zewnątrz w celu wykonania takich zadań, jak pobranie zarejestrowanych zdarzeń do przeprowadzenia ich analizy, obejść, nadpisań, zapisów testów kontrolnych lub wykonania zmian w konfiguracji i aktualizacji zabezpieczeń. Tymczasem nośniki danych USB, które są często wykorzystywane do realizacji tych aktualizacji, nie są łatwe do zabezpieczania.
Zależność od mediów zewnętrznych jest jednym z głównych powodów, dla których odseparowany system SIS nadal wymaga dodatkowych warstw zabezpieczeń, podobnych do tych stosowanych dla systemu BPCS. Gruntowne zabezpieczanie systemu zmusza użytkowników do zarządzania dwoma oddzielnymi zbiorami architektur obrony w głąb. Stwarza to duże prawdopodobieństwo koniecznej do wykonania dodatkowej pracy personelu, dłuższych przestojów zakładu oraz powstania obszarów, w których przeoczenia mogą spowodować powstanie dziur w warstwach zabezpieczeń.
Obrona w głąb ? systemy sprzężone
Systemy sprzężone funkcjonują podobnie do systemów odseparowanych ? funkcje związane z bezpieczeństwem są fizycznie odseparowane od funkcji niezwiązanych z bezpieczeństwem (rys. 3). Różnica tkwi w sprzężonych systemach: elementy BCPS oraz podstawowe funkcje SIS są połączone przy użyciu specjalnych łączy komunikacyjnych, wykorzystujących otwarte protokoły przemysłowe. Typowo firewalle lub inne zabezpieczenia sprzętowe i programowe ograniczają ruch sieciowy pomiędzy systemami BPCS i SIS.
Ponieważ podstawowy system SIS i rozszerzony SIS są fizycznie odseparowane od peryferiów, to systemy sprzężone oferują zabezpieczanie zgodne z wymogami norm ISA i NAMUR. Jednak, tak jak w systemach odseparowanych, sprzęt i oprogramowanie SIS muszą być zabezpieczone. Użytkownicy muszą zapewnić, że podstawowy system SIS nie jest zagrożony przez połączenia sieciowe z rozszerzonym systemem SIS.
Aby uzyskać takie zabezpieczenie, systemy sprzężone wymagają, aby warstwy zabezpieczeń obrony w głąb były duplikowane w wielu systemach. W niektórych przypadkach duża liczba cyberzabezpieczeń, które muszą być monitorowane, może prowadzić do zwiększenia obciążenia pracowników, co jest konieczne do utrzymania odpowiedniego poziomu bezpieczeństwa. Ponadto sprawą użytkownika końcowego jest zapewnienie, że połączenie pomiędzy systemami BCPS i SIS jest tak skonfigurowane, że system nie jest narażony na ryzyko.
Obrona w głąb ? systemy zintegrowane
Inną opcją opracowywania systemów odseparowanych jest zintegrowany system SIS (rys. 4). W tym podejściu system SIS jest całkowicie zintegrowany z systemem BPCS, jednak istnieje logiczna i fizyczna separacja pomiędzy podstawowym systemem SIS a rozszerzonym SIS. Typowo ta separacja jest powiązana z włączeniem w struktury połączeń sieciowych firmowych protokołów komunikacji, wykorzystując osadzone elementy cyberbezpieczeństwa, bez instalowania jakichkolwiek dodatków. To eliminuje zagrożenia dla cyberbezpieczeństwa, wynikające z ręcznego opracowywania połączenia pomiędzy systemami SIS a BPCS.
Zintegrowany system SIS wymaga tego samego poziomu obrony w głąb co systemy odseparowane, jednak ponieważ niektóre z warstw zabezpieczeń chronią zarówno system BPCS, jak i SIS, to zintegrowany system SIS skraca czas i nakład pracy konieczny do monitorowania, aktualizowania oraz konserwacji warstw zabezpieczeń. Zintegrowany system SIS ma ponadto dodatkowe i specyficzne warstwy zabezpieczeń, zaprojektowane do ochrony podstawowego systemu SIS.
Eliminowanie skomplikowanych, specjalnych interfejsów sprzęgających podstawowy i rozszerzony system SIS ze zintegrowanym otoczeniem może uprościć i przyspieszyć testy akceptacji fabrycznej (FAT), co pomaga w szybszym uruchamianiu projektów oraz redukcji nakładu prac nad nowymi projektami.
Zarządzanie punktami wejścia
Staranne przeanalizowanie warstw obrony w głąb jest kluczem do utworzenia cyberbezpiecznego systemu SIS, jednak to nie wystarczy. Aby zapewnić odpowiedni poziom zabezpieczeń dla sieci SIS, organizacje muszą także ograniczyć liczbę punktów wejścia do funkcji krytycznych dla bezpieczeństwa oraz zmniejszyć poziom każdego ryzyka, które ma wpływ na wspomniane punkty wejścia.
Im więcej dostępnych punktów wejścia do funkcji krytycznych dla bezpieczeństwa systemu SIS, tym więcej okazji do cyberataków, mających na celu znalezienie ewentualnych słabych punktów w warstwach zabezpieczeń. Co prawda może się okazać możliwe odpowiednie zabezpieczenie przeciw włamaniom np. pięciu punktów wejścia, jednak znacznie łatwiej jest zabezpieczyć tylko jeden, co ponadto będzie wymagało mniej zasobów.
Punkty wejścia ? systemy sprzężone
NAMUR oferuje jasno sformułowane wytyczne dotyczące podzielonej na strefy architektury systemów SIS w formacie sprzężonym (rys. 1). Na tym schemacie podstawowy i rozszerzony system SIS oraz architektura systemu sterowania są prawidłowo odizolowane, pozostając w swoich własnych strefach. Specjalnie opracowane łącza komunikacyjne pomiędzy elementami architektur w tych trzech strefach ? stacjami inżynierskimi, systemem BPCS, systemami zarządzania informacjami o produkcji (plant information management systems ? PIMS), systemami zarządzania zasobami oraz innymi ? mogą generować wiele potencjalnych punktów wejścia do podstawowego systemu SIS.
Te punkty wejścia niekoniecznie muszą stwarzać zagrożenie dla bezpieczeństwa. Zakłada się, że będą one zabezpieczone za pomocą odpowiedniej obrony w głąb. Każde ?drzwi? muszą mieć zabezpieczenie, co może skutkować pięcioma lub większą liczbą zestawów sprzętu i oprogramowania, którymi trzeba zarządzać.
Punkty wejścia ? systemy zintegrowane
Zintegrowane architektury systemów SIS mogą oferować koncepcje systemowe, które ograniczą punkty wejścia. Najlepsze zintegrowane przyrządowe systemy bezpieczeństwa charakteryzują się jednym elementem, który działa jak ?portier?/serwer proxy w stosunku do całego ruchu sieciowego funkcji krytycznych dla bezpieczeństwa. Wynikiem tego jest tylko jeden punkt wejścia, który musi być broniony przed cyberatakami, najlepiej przy użyciu tych samych warstw obrony w głąb, które chronią system BPCS oraz kilka dodatkowych warstw zabezpieczeń, które są bardziej specyficzne dla podstawowego systemu SIS. Taki projekt koncepcji systemu może zredukować zapotrzebowanie na konserwacje i monitoring, jednocześnie dostarczając ten sam lub nawet większy poziom separacji standardowego systemu SIS co inne architektury.
Często zakłada się, że większy poziom fizycznego odseparowania systemów SIS i BPCS oznacza większe nieodłączne bezpieczeństwo. Jednak, tak jak w przypadku systemów odizolowanych fizycznie od sieci (air gapping), większa separacja fizyczna może zwiększyć koszty konserwacji i monitoringu, by zapewnić odpowiednią obronę w głąb. Te dodatkowe koszty UR ograniczają wartość separacji metodą air gapping dla organizacji, które poszukują metod optymalizacji wydajności i produkcji, jednocześnie próbując osiągnąć standardy cyberbezpieczeństwa.
Systemy zintegrowane i sprzężone mogą osiągnąć wysokie poziomy usieciowienia, jednocześnie oferując elastyczność wdrażania struktur obrony w głąb. Ponieważ obydwa rodzaje architektur oferują najwyższe poziomy cyberbezpieczeństwa, to zespoły pracowników dokonujące wdrożenia systemu i poszukujące sposobu utrzymywania zabezpieczonego systemu SIS w ciągu całego cyklu życia systemu często odkrywają, że mają więcej opcji wyboru dla systemów BPCS i SIS, które są dopasowane do unikalnych celów organizacji.
Sergio Diaz i Alexandre Peixoto są menedżerami produktu w firmie Emerson. Opiekują się systemem DeltaV tej firmy.
