Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
www.prs.pl
Cyberbezpieczeństwo - zagrożenia, dostępne technologie/środki ochrony oraz kroki ograniczające ryzyko skutków ataków
21.01.2020 Gdańsk
Specjalista ds. automatyki
Krzysztof Nosal
www.prs.pl
Sieć ethernet
2
www.prs.pl
Przemysł 4.0
3
www.prs.pl
Różne branże, podobne korzyści
4
• Access to automationnetwork from the officenetwork for analysis andlogistic control
• lower availability leadstoprofit losses
• Maintenance and servicecomplicated for on boardstaff→ remote support
• Implementation ofpreventive maintenanceschemes
• Remote service anddiagnosis of wide-spreadinstallations→ reducepersonnel cost
• Legal requirements fordocumentation ofemissions, consumptions
- Połączenie aspektów biznesowych z produkcją
- Rozszerzona analiza danych
- Zdalne wsparcie oraz serwis urządzeń
- Predictive maintenance
- Zdalne wsparcie oraz serwis urządzeń
- Monitoring procesów w celach spełnienia wymagań prawnych w zakresie dokumentacji
www.prs.pl
Bezpieczeństwo nie jedno ma imię
5
Functional Safety IT Security
Protection of the Human from the Machine Protection of Data and the Machine from theunauthorized Human
Bezpieczeństwo funkcjonalne Bezpieczeństwo sieciowe
www.prs.pl
Wspólne cechy przemysłu procesowego i morskiego
6
• Safety und Security sind relevant
• Einsatz von „off the shelf“ Technologien (Server, PCs, Switches)
• Einsatz von industriellen Automatisierungssystemen
• Vernetzung der Systeme z. B. über Ethernet
• Anbindung an externe Netzwerke (via Internet und Satellit)
• Remote Datenübertragung und Remote Diagnose
Bildquelle: industrieblick, Fotolia.com Bildquelle: EvrenKalinbacak – Fotolia.com• Przenikające się aspekty bezpieczeństwa sieciowego i funkcjonalnego• Wykorzystanie gotowych komponentów z sektora IT(komputery, serwery, switche)• Wykorzystanie systemów automatyki przemysłowej• Komunikacja najczęściej po Ethernecie• Połączenie z globalną siecią
www.prs.pl
Różne zagrożenia – różne środki zaradcze
7
• Zakażone nośniki danych• Urządzenia mobilne• Ataki DDoS• Zmiana/usunięcie programu• Przechwytywanie/fałszowanie komunikacji• Nieuprawniony dostęp
www.prs.pl
Bezpieczeństwo sieciowe – konieczna współpraca
8
Producent komponentów:
-Dba o aktualność mechanizmów bezpieczeństwa sieciowego
-Informuje/szkoli integratorów-Publikuje informacje o podatnościach wraz z rozwiązaniami-Certyfikuje urządzenia
Integrator:-Konfiguruje urządzenia-Ustala z użytkownikiem końcowym politykę zabezpieczeń i haseł-Certyfikuje system
Użytkownik końcowy:-Dba o odpowiednie standardy bezpieczeństwa-Zarządza użytkownikami/hasłami/certyfikatami-Aktualizuje urządzenia
www.prs.pl
ISO31000
9
www.prs.pl
Zalecenia i regulacje prawne
10
American Bureau of Shipping
• Empfehlungen für die
Etablierung von Cyber-
Security Prinzipien für Marine
und Offshore Anwendungen
• Aussagen:
– Vernetzung der Systeme so
stark, wie nie zuvor.
– Betreiber und OEMs wünschen
Zugriff auf die Systeme und
Komponenten.
– Cyber Security und das
Management der Software
Integrität wird eine zunehmende
Bedeutung für die Sicherheit
haben.
The Baltic and International Maritime Council (BIMCO)
• Beschreibt mehrstufiges
Vorgehensmodell zur
Verbesserung der IT-
Sicherheit.
• Vorgehen vergleichbar zur
Automatisierungstechnik
• Relativ ausführliche
Beschreibung.
• Definiert Vorgehensmodell
und beschreibt
organisatorische und
technische Maßnahmen.
Llloyds Register (LR)
• Im Feb. 2016 erschienen
• Der Standard bezieht sich
nicht nur auf IT-Sicherheit
sondern befasst sich mit den
folgenden Aspekten:
– System
– Human-system
– Software
– Network and communications
– Data assurance, and
– Cyber security.
UK Chamber of Shipping
• Kurze Einführung für die
Sensibilisierung des Bordpersonals
und der Schiffsführung.
• Einige Kernaussagen:
– The human Element is the most
significant threat to maritime cyber security.
– All crew and contractors need to be
aware of the risks, trained in
resilience, and supported to minimize the possibility of insider attacks.
– Actions taken on the ship alone
cannot minimize the risk from cyber
attack. Ships need to be adequately supported from ashore.
www.prs.pl
Wielopoziomowe bezpieczeństwo sieciowe
11
www.prs.pl
Sterownik PLC jako backdoor do sieci
12
www.prs.pl
Sterowniki WAGO – połączenie 2 światów
13
• Reports directly as the PLC
• IEC 61131
• LINUX® in background
• Open source
• Highly flexible
• Scalability
Automation Controllers Open Linux® ControllersPFC100 for I/O System 750
PFC200 for I/O System 750
PFC200 for I/O System Advanced
Security – Realtime – Stability
www.prs.pl
Cyber-bezpieczeństwo w systemach automatyki przemysłowej
14
• Network Functions
− Firewall− VPN− Radius Server− Separate Networks− VLAN
• Zarządzanie użytkownikami
− Role Based Access Management− LDAP
Linux World
IEC 61131 Automation WorldZnam Linux-a i korzystam z tych samych narzędzi co na serwerach
Korzystam ze znanych narzędzi. O bezpieczeństwo dba administrator
• PLC Program
− IEC 61131
• Wymiana danych
− VPN-tunnel function block
IT World - Linux Automation World - IEC 61131
www.prs.pl
Separacja sieci obiektowej
15
Ethernet
HTTPs
Ethernet
Modbus/TCP
Dienste/PortsIP Adress
MAC Adress
www.prs.pl
Wielopoziomowe bezpieczeństwo sieciowe
16
www.prs.pl
Separacja sieci obiektowej
17
Ethernet
HTTPs
Ethernet
Modbus/TCP
Dienste/PortsIP Adress
MAC Adress
www.prs.pl
Zarządzanie użytkownikami
18
Ethernet
HTTPs
Ethernet
Modbus/TCP
www.prs.pl
Szyfrowanie komunikacji
19
VPN über Eth.
HTTPs
Ethernet
Modbus/TCP
www.prs.pl
Kontrola komunikacji – Access Control List
20
Obcy sterownik
Client Modbus/TCP (port 502)
192.168.1.200
PC
Client web https (port 443)
192.168.1.100
Komputer serwisowy
Full access
192.168.1.250
Nom du profil 1 Action Autoriser
IP source 192.168.1.100 Masque IP source 255.255.255.255
IP destination 192.168.1.1 Masque IP destination 255.255.255.255
Port source Any Port destination 443
Nom du profil 2 Action Autoriser
IP source 192.168.1.200 Masque IP source 255.255.255.255
IP destination 192.168.1.1 Masque IP destination 255.255.255.255
Port source Any Port destination 502
Nom du profil 3 Action Autoriser
IP source 192.168.1.250 Masque IP source 255.255.255.255
IP destination Any Masque IP destination Aucun
Port source Any Port destination Any
Sterownik PLC
Resource to protect (example)
192.168.1.1
Zalety WAGO:
• ACL dla warstw ISO 2 / 3 / 4
• Zabezpieczenie przed nieuprawnionym dostępem do switcha i/lub urządzeń
www.prs.pl
VLAN – prostsza infrastruktura, zachowane bezpieczeństwo
21
Linia produkcyjna 1
(LAN10)
Linia produkcyjna 2
(LAN20)
Biuro
(LAN30)
RouterIP address
www.prs.pl
Sterowanie komfortem
(LAN20)
Biuro
(LAN30)
VLAN – prostsza infrastruktura, zachowane bezpieczeństwo
22
Sterowanie napędami
(LAN10)
Sterowanie komfortem
(LAN20)
www.prs.pl
Pewność komunikacji – topologie typu ring
• Odporność na uszkodzenie jednego elementu infrastruktury sieciowej
• Szybkie czasy przełączania
23
www.prs.pl
Ring typu ERPS
Większa dostępność komunikacji i otwartość na rozwiązania klasy IT (np. CISCO)
• Przełączanie <50ms
• Dowolność topologii
• Infrastruktura oparta na WAGO i nie tylko
• Eliminacja SPOF
24
ERPS Major-Ring
ERPS Major-Ring
ERPS Sub-Ring
www.prs.pl
Dostępne mechanizmy z podziałem na urządzenia
Sterowniki PFC100/200Bezpieczeństwo sieciowe-kontrola użytkowników-TLS-SSL-IPSec-OpenVPN-SCEP-Firewall-Whitelist-WPA 802.1x
Usługi Linux-Syslog-Karta SD-FTP, SFTP, SCP-Rsync, Backup-SNMP
Switche zarządzalneBezpieczeństwo sieciowe-kontrola użytkowników-TLS/SSL-VLAN-Routing-Firewall-Whitelist-MAC filter-Ograniczanie pakietów-WPA 802.1x
Usługi-Logi-Alarmy-SNMP-Backup/Restore
www.prs.pl
Przykład rozbudowanej konfiguracji zabezpieczeń
26
Router GSM
Lokalny port inżynierski
IP SEC
WPA 802.1x authenticator
SCEPSerwer CA
IP SEC
www.prs.pl
WAGO – Cybersecurity
https://www.wago.com/pl/cyfryzacja/cyberbezpieczenstwo
27
www.prs.pl
WAGO – Biała księga
28
www.prs.pl
WAGO – Alerty
29
https://www.wago.com/global/automation-technology/security
www.prs.pl
Certyfikacja
30
www.prs.pl
Dostęp do chmury
• Dostęp do chmur dostawców takich jak: AWS, Microsoft Azure, SAP Cloud Platform, IBM Watson
• Łatwa konfiguracja za pomocą strony WWW
• Certyfikowana kompatybilność z chmurą SAP i Azure
• Bezpieczna wymiana danych – szyfrowanie „out of the box”
• Zdalny dostęp do sterowników
• Zdalny update FW i/lub programu PLC
31