Architektonické propojení starého a nového v OT bezpečnosti ve výrobním podniku – 2. díl

Blog

 
 Michal Hanus

V prvním díle tohoho článku jsme podrobně hovořili o tradiční situaci v OT před nástupem cloudových služeb a internetu věcí (Internet of Things, IoT). Probrali jsme provozní a bezpečnostní výhody segmentované sítě v OT na nejběžnější referenční architektuře pro OT doporučované standardem IEC-62443 pro průmyslovou automatizaci a řízení. A vysvětlili jsme si klíčové pojmy OT bezpečnosti jako jsou OT DMZ a průmyslový firewall nové generace s hlubokou inspekcí průmyslových protokolů.

A jak to bude dál?

Somewhere Over The Rainbow

Poslední dekáda je v IT ve znamení razantního nástupu cloudových služeb a v OT ve znamení průmyslového internetu věcí (industrial IoT). Zprvu se zdálo, že se bude jednat o radikální náhradu starého za nové, ale jak už to většinou s radikálními novinkami bývá, v IT je dnes nejčastější hybridní model, který účelně propojuje on-premise svět s cloudy do jednoho prostředí.

Čeká nás totéž v OT? Troufám si říct, že ano! Vznikl koncept SCADA nové generace (next gen SCADA) či SCADA 4.0, která již zahrnuje integraci IIoT zařízení do tradiční automatizace a řízení, a rozšířený Purdue model, kde se nám již objevuje „Industrial Cloud Level“.

Tyto koncepty v architektonické a bezpečnostní rovině adresují principiální konflikty mezi starým a novým OT:

  • Internetové připojení nemá v OT co dělat, nemělo by se nám na L3 nikde objevit (ani v hraniční OT DMZ!) a přitom máme zahrnout internet věcí (IoT)
  • Potřebujeme efektivně spravovat OT uživatele a OT stanice a systémy, a přitom bychom měli striktně oddělovat IT a OT stanice, systémy, identity i samotný proces jejich správy v IAM (například Microsoft Active Directory)
  • Potřebujeme efektivně a bezpečně řídit výrobu na dané L2 nebo L3 úrovni a současně máme poskytovat stále více dat do nadřazených systémů v IT světě, které se jeden po druhém stěhují do cloudu

img
Obr. 1 - Cloud level in Siemens SIMATIC PCS7 reference model (Zdroj: Siemens)

img
Obr. 2 - ENISA Revised Purdue Model with cloud services (2018)

Obsah obrázku text, parkování, kytice, snímek obrazovky Popis byl vytvořen automaticky
Obr. 3 - KPCS datový a bezpečnostní model pro IIoT prostředí

Cesta vede jednoznačně přes zachování osvědčeného provozního a bezpečnostního modelu řízení a komplexní ochranu celého OT/IIoT prostředí, která na technické úrovni zahrnuje kontrolu komunikačních protokolů a datových toků z OT prostředí (přes dedikovanou IIoT Gateway) a na procesně-organizační úrovni precizní kontrolu průmyslového prostředí.

Obsah obrázku text Popis byl vytvořen automaticky
Obr. 4 - ENISA recommended complex OT practices (2018)

Bez konkrétních funkčních nástrojů jako jsou StormShield Sni40 (průmyslový firewall), Azure Defender for IIoT (pasivní monitoring průmyslového síťového provozu) a Active Directory (centrální správa a konfigurace Windows stanic zařízení), by šlo zase jen o koncepce na papíru. A žádným PowerPointem zatím ještě nikdo nikdy hackera nezastavil! A vy víte, jak na tom jste? Náš KPCS OT Security Check vám může napovědět.

V souvislosti s OT bezpečností připravujeme webinář na téma „Vyvažujeme IT i OT ve výrobním podniku“ kde si ukážeme na výstupech z nástroje KPCS OT Security Check, jaké jsou typické problémy v IT a OT, a podíváme se na typické referenční architektury vhodné pro zabezpečení výrobního procesu a na příklady plánů rozvoje kybernetické bezpečnosti (Cyber Security Roadmaps), které v KPCS pro naše klienty zpracováváme.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu