+48 22 439 03 20 biuro@greeneris.com
Zaznacz stronę

Fox-IT

pierwsza linia obrony w bitwie o bezpieczeństwo SCADA


Przedsiębiorstwa produkcyjne jak również placówki przemysłowe, szczególnie te o znaczeniu strategicznym jak np. elektrownie, w szczególności stawiają na zapewnienie należytego poziomu bezpieczeństwa swojemu środowisku maszynowemu. Nie chodzi wyłącznie o dostarczenie fizycznej ochrony, chociaż w przypadku rozwiązania Fox-IT nie stanowi to dużego błędy merytorycznego.

Kluczowym punktem w działaniach mających zapewnić bezpieczeństwo systemu informatycznego jest zadbanie, aby absolutnie żadne poufne dane nie mogły wyciec poza jej obręb. Niezależnie od tego czy chodzi o całe dokumenty, pojedyncze hasła, czy może pliki konfiguracyjne, jeśli nieuprawniona osoba może cokolwiek pozyskać z takiej sieci, mowa jest o infrastrukturze niezabezpieczonej. Taka sytuacja może przynieść straty finansowe jeśli wystąpi w przypadku prywatnego przedsiębiorstwa produkcyjnego. Kradzież własności intelektualnej, skopiowany workflow, poufne dane produkcyjne, plany i schematy budowy produktu są cenną informacją dla konkurencji i potencjalnie ich pozyskanie może przyczynić się do stworzenia nieuczciwej przewagi handlowej, a więc też do strat w możliwych przychodach. Wprowadzenie błędnych konfiguracji do sprzętu należącego do linii produkcyjnej może doprowadzić do przerwania pracy lub nawet do uszkodzeń materialnych.

Ostatnie lata pokazują, że hakerzy, czy jakkolwiek inaczej można nazwać osoby pragnące przedostać się w nieautoryzowany sposób do przestrzeni informatycznej w swoich działaniach posługują się co raz bardziej zaawansowanymi metodami. Zazwyczaj takie osoby nie są amatorami, lecz wysoce wykwalifikowanymi specjalistami w swojej dziedzinie. Szczególnie w przypadku obiektów strategicznych, których przerwa w funkcjonowaniu może w znaczny sposób dotknąć szeroką grupę ludzi, należy nieustannie starać się być o krok przed cyberprzestępcami i posiadać rozwiązania dla problemów bezpieczeństwa, których oni jeszcze nie odkryli.
Wśród powodów ku zwiększaniu ilości zabezpieczeń informatycznych w przypadku przedsiębiorstw prywatnych można doszukiwać się głównie powodów finansowych, związanych z ograniczeniem zysków lub kosztami strat wywołanych atakami.

Innego podejścia wymaga ochrona obiektów strategicznych, w których kiedy mowa o bezpieczeństwie nie mamy na myśli jedynie prywatności sieci informatycznej. W przypadkach instytucji takich jak oczyszczalnie wody czy elektrownie, szczególnie korzystające z nieodnawialnych źródeł energii, chodzi o podjęcie wszelkich kroków, aby uniknąć skutków groźnych dla życia i zdrowia.

W społeczeństwie naszych czasów stałe elektroniczne połączenie ze światem jest oczekiwanym standardem. Taka sama sytuacja ma miejsce już w praktycznie każdym miejscu pracy. Najczęściej sieci firmowe są chronione od dostateczny sposób tak, aby nawet jeśli doszłoby do skutecznego ataku jednej ze stacji roboczych ograniczyć skutki włamania jedynie do tej jednej lokalizacji sieciowej. Dobrze sprawdzają się fizyczne firewall-e, lokalnie zainstalowane aplikacje antywirusowe, często oparte o sztuczną inteligencję uczącą się typowego ruchu sieciowego, wychwytującą i eliminującą ewentualne zdarzenia patologiczne.

Podstawową częścią tzw. dobrych praktyk dotyczących utrzymania sieci produkcyjnej jest możliwie jak najskuteczniejsze odseparowanie jej od łącz zewnętrznych. Niestety zazwyczaj musi istnieć jakiekolwiek połączenie z siecią korporacyjną, co mimo zastosowanych zabezpieczeń, skutecznych dla sieci biurowej, jest to niedostateczna ochrona systemu SCADA na linii produkcyjnej.
Pożądaną sytuacją jest całkowite odcięcie sieci produkcyjnej od zewnętrznego ruchu sieciowego, przy zachowaniu możliwości czerpania odpowiednich danych spoza niej, jak na przykład aktualizacje systemów operacyjnych, lecz uniemożliwienie pozyskania niczego z jej wnętrza. Takie rozwiązanie dostarcza swoją konstrukcją pewnego rodzaju kompromis między uszczelnieniem wrażliwego na ataki systemu SCADA od środowiska zewnętrznego uniemożliwiając użycie typowych metod hackerskich z sukcesem, ale jednocześnie umożliwia wykorzystanie zalet inteligentnej sieci korporacyjnej i istniejącej integracji między nimi.

Klasyczny firawall, nawet jeśli jest to rozwiązanie sprzętowe, filtruje i ocenia na bieżąco ryzyko związane z zaistnieniem każdego z zachowań w sieci, jednak w przypadku obiektów strategicznych nie można pozwolić sobie na wystąpień nawet najmniejszej szansy błędnej oceny ryzyka. Z tego powodu ruch wychodzący nie powinien istnieć w ogóle, a tego firewall nie umożliwia. Z tego powodu powstały rozwiązania takie jak dioda sprzętowa Fox-IT. Tak samo jak dioda w układach elektronicznych służy do umożliwienia ruchu ładunku elektrycznego jedynie w jednym kierunku, dioda sprzętowa Fox-IT blokuje całkowicie sieć zawierającą system SCADA przed wysyłaniem jakichkolwiek informacji poza nią.

Integracja oznacza budowanie połączeń

Linie produkcyjne każdego rodzaju niemal zawsze są wypełnione różnego rodzaju czujnikami, umożliwiającymi pozyskiwanie cennych danych koniecznych np. do oceny wydajności maszyn. Takie informacje byłyby bezużyteczne gdyby nie mogły trafić do odpowiedniej osoby, mogącej je przeanalizować i wykorzystać do optymalizacji działających procesów. Musi zatem istnieć integracja sieci produkcyjnej i korporacyjnej. Integracja oznacza zbudowanie połączeń między nimi. Jest to słaby punkt hermetycznego układu, podatny na złośliwe oprogramowanie i inne ataki.

Najczęstszym rozwiązaniem agregowania danych jest używanie specjalnie do tego przeznaczonych serwerów typu historian. Dostęp do takich danych może być potrzebny nie tylko operatorowi linii produkcyjnej, ale również zarządowi instytucji do uzyskania informacji o stanie produkcji jak również np. działowi księgowości, aby możliwe było prawidłowe przeliczenie kosztów, lub wystawienie faktur. Stworzenie bezpośredniego połączenia serwera z siecią korporacyjną stanowiłoby oczywiste zaprzepaszczenie starań o bezpieczeństwo systemów produkcyjnych. Z tego powodu Fox-IT posiada protokoły replikacji danych, dzięki którym możliwe jest bezpieczne utworzenie kopii danych na innym serwerze nie należącym do sieci produkcyjnej. Wgląd do takiej lokalizacji sieciowej będzie możliwy dla dowolnej uprawnionej osoby bez uszczerbku dla systemu ochrony dowolnego elementu procesu produkcji.

System CCTV to także źródło podatności na ataki

System kamer przemysłowych CCTV jest dobrym rozwiązaniem, aby w wygodny i wydajny sposób mieć pogląd wizualny na to co się dzieje w obrębie zakładu. Zarówno z punktu widzenia biura ochrony nieruchomości jak i zarządcy produkcji jest to narzędzie czasami niezbędne do pracy. Ważne jest, aby zdawać sobie sprawę z tego, że takie urządzenie podłączone do sieci firmowej jest jednak wystawione na czynniki zewnętrzne, a więc także jest potencjalną furtką dla nieautoryzowanego dostępu do sieci. Odpowiednie umiejscowienie Fox-IT DataDiode między kamerami a obsługującym je systemem nagrywającym obraz pozwala na bezpieczne przesyłanie danych bez umożliwienia przedarcia się niepowołanych osób do ochranianych lokalizacji sieciowych.

Dioda hardware-owa Fox-IT to najbardziej wydajne rozwiązanie obronne dla sieci IT w obiektach o wysokim znaczeniu. Jej funkcjonowanie jest oparte o odpowiedni projekt technologiczny urządzenia. Dioda jest jedynym rozwiązaniem, które z całą pewnością gwarantuje odcięcie ochranianej sieci od zagrożeń zewnętrznych poprzez dosłowne wyłączenie ruchu wychodzącego. Jedyną opcją na skuteczne złamanie blokady jest działanie bezpośrednio na elektronicznych komponentach urządzenia, lub kompletne odłączenie go od sieci. Dodatkowo jest to jedno z niewielu, lub nawet jedyne rozwiązanie, które nie musi być aktualizowane a nawet nie ma takiej możliwości. Znacząco ogranicza to koszt utrzymania, charakterystyczny dla konwencjonalnych metod ochrony elektronicznej.
Są regiony świata, w których użycie urządzeń takich jak Fox-IT Datadiode jest nakazane prawnie pewnego rodzaju obiektom, np. tym o wyższym znaczeniu strategicznym. Dioda sprzętowa jest gwarancją uniknięcia strat materialnych, a w skrajnych przypadkach nawet ochrony życia ludzkiego.

Skontaktuj się z nami: biuro@greeneris.com | tel. +48 22 439 03 20
lub napisz poprzez formularz kontaktowy