Průmyslové řídicí systémy vs. bezpečnost

Odborníci varují: řada dodavatelů IT zabezpečení nemá o průmyslových řídicích systémech (ICS) dostatečné znalosti a snaží se prodat nevhodné technologie. V elektrárně, rafinérii nebo výrobním závodě to však může způsobit katastrofu.

Průmyslové řídicí systémy vs. bezpečnost


Joe Weiss, známý odborník na průmyslové systémy, který vypovídal před Kongresem USA o kybernetické bezpečnosti, ve svém nedávném blogovém příspěvku kritizoval IT průmysl za přesvědčení, že lze poskytovat zabezpečení průmyslových řídicích systémů prostřednictvím mírných úprav produktů již existujících pro jinou oblast. Weiss uvádí, že tento přístup dokazuje absolutní nepochopení technologie, kterou se tito dodavatelé pokoušejí chránit.

„Předtím, než by skutečně začali dodávat technologii, která má být nasazena do vrstvy řízení, by měli získat rozsáhlé znalosti této oblasti,“ tvrdí Weiss, zakladatel poradenské společnosti Applied Control Systems a bývalý technický manažer organizace Electric Power Research Institute. Zmiňovanou sférou Weiss chápe například skutečný řídicí systém v rámci rozvodny, elektrárny, rafinerie nebo rozvodného potrubí.

Dodavatelé se příliš často snaží uplatnit zabezpečení navržené pro ochranu dat v tradiční síti informačních technologií, která se jen velmi málo podobá síti zařízení ICS. Například v prvním jmenovaném prostředí stačí počítač infikovaný malwarem jednoduše odpojit od sítě. Stejný přístup v prostředí s průmyslovými řídicími systémy by například vedl ke katastrofě v elektrárně, ve výrobním závodě, ale i na ropovodech či plynovodech. „Pokud to uděláte ve výrobním závodě, způsobíte výbuch a zabijete lidi,“ varuje Walt Boyes, šéfredaktor časopisu Control a webu ControlGlobal.com, které se specializují na obor automatizace.

Proprietární operační systémy

V prostředí průmyslového řízení jsou data důležitá jen z hlediska toho, co říkají zařízení, aby dělalo, jako je například otevírání a zavírání ventilů, zvýšení nebo snížení tlaku kapalin proudících potrubím nebo zvýšení či snížení výrobních teplot ve výrobním závodě. „Jednou z důležitých věcí, o které se staráme, je autentizace mezi zařízeními,“ upozorňuje Weiss. „Nestaráme se, zda data vidíte, ale zatraceně dobře se staráme, zda ve skutečnosti přicházejí z místa, odkud se předpokládá, že přicházejí.“

Dodavatelé zabezpečení mají tendenci zaměřovat se na Windows, což je dominantní operační systém v rámci prostředí IT. V prostředí ICS však technologie často zahrnují proprietární integrované operační systémy, modemy komunikující rychlostí 1 200 baudů a aplikace, kde je použití procesoru 286 považováno za moderní, vysvětluje Weiss. Na tak omezené prostředky nejsou dodavatelé zabezpečení IT zvyklí. Například výpočetní výkon potřebný pro typickou aktualizaci signatur antivirového softwaru by způsobil odstavení některých zařízení ICS na dobu šest až osm minut.

Dokonce i nejnevinnější úlohy v prostředí IT by mohly znamenat v prostředí ICS katastrofu. Například příkaz ping na všechna zařízení v případě běžných IT za účelem zjištění, zda hardware běží, by mohl snadno způsobit vypnutí řadiče v systému ICS. „Jsou to dva zcela odlišné způsoby myšlení,“ popisuje Weiss. „Způsob myšlení odborníků v oblasti IT je zabezpečení v zájmu zabezpečení. Nechápou fyzické důsledky v průmyslových řídicích systémech, ke kterým nemůže v oblasti stolních počítačů dojít.“





Úvodní foto: © branex - Fotolia.com




Komentáře