Highway

Bánszki Zsolt, 4iG; Gém Péter, 4iG; Regyep György, 4iG
Bánszki Zsolt, 4iG; Gém Péter, 4iG; Regyep György, 4iG
Forrás: 4iG
Ipar 4.0 és a biztonság

Az ember karanténba kerülhet, a gép nem

Az ipari-gyártási rendszerek eddig gyakran elhanyagolt információbiztonsági védelme az Ipar 4.0 megoldások terjedésével létfontosságúvá válik. Az irodai informatikai környezetből sok mindent át lehet emelni, de az iparra jellemző specialitásokat sem szabad figyelmen kívül hagyni.

Számtalan előnyt kínál az ipari és informatikai rendszerek, az OT és az IT integrálása – voltaképpen erről szól az Ipar 4.0. Az ipari, gyártási rendszerekből származó adatok begyűjtése és elemzése, majd az eredmények visszacsatolása révén mélyebb összefüggések tárulnak fel, tervezhetőbbé és így hatékonyabbá válik a termelés.

Az összekapcsolás azonban óhatatlanul veszélyekkel is jár, amelyek között az egyik legfontosabb a biztonság kérdése. Onnantól, hogy a gépi automatizálás szoros összeköttetésbe kerül az irodai informatikai rendszerekkel, az utóbbiakat fenyegető kiberbiztonsági támadások az OT-t is veszélyeztetni kezdik.

 

Magasabb kitettség, nagyobb kár

Az ipari rendszereket alapvetően ugyanazok a veszélyek fenyegetik, mint a „normál” irodai informatikai rendszereket: volt már példa zsarolóvírus-támadásra, az ellátási láncon keresztül érkező támadásra, de hackelték már meg amerikai vízmű rendszerét egyszerű távfelügyeleti rendszeren keresztül is. Két tényező miatt azonban az ipari rendszereket érő támadások jóval nagyobb kockázatokat jelentenek a vállalatok számára, mondja Regyep György, a 4iG információbiztonsági szakértője.

Az egyik ilyen tényező az ipari megoldások kitettsége. Sok esetben 5-10 éves, sőt idősebb, egyedi gyártású (PLC, SCADA) rendszerekről beszélünk, amelyek támogatását csak egy szűk szállítói kör képes ellátni. A másik tényező a kockázat mértéke, az esetleges leállás miatti kár nagysága, vagy például a közszolgáltatásokat ellátó vállalatok esetében az ellátásbiztonság fenntartása. Emiatt egyes ipari környezetekben a normál IT-ben extrémnek számító 99,999 százalékos rendelkezésre állás szokványos elvárásnak minősül.

Tanulni, tanulni, tanulni

Bármennyire is közelít egymáshoz az ipari és a hagyományos informatikai rendszerek világa, mindkettő igényel speciális ismereteket. Egy ipari Ethernet-kapcsolót másképp kell konfigurálni, mint egy irodai eszközt, termelési környezetben pedig számos olyan kérdéssel nem kell foglalkozni, amelyek a „normál” IT-ben mindennaposak. „A manapság jellemző informatikai szakemberhiányban már egyre kevésbé megengedhető, hogy teljesen külön csapatokat tartson fenn a vállalat a két területre”, mondja Gém Péter. „Az irodai IT-n szocializálódott informatikusoknak legalább alapszinten meg kell ismerniük az OT-környezet működési elveit, a gyártási rendszereket üzemeltető szakember pedig nem hátrálhat meg egy jogosultság-beállítás elől”, teszi hozzá.

Ha van a cégnél IT-biztonsági csapat, fel kell készíteni a gyártási rendszerek védelmére is. Amíg ez nem megy, vagy különleges probléma merül, fel, még mindig rendelkezésre állnak a külső szolgáltatók – különösen hasznos lehet, ha olyan szolgáltatót bíz meg a vállalat, amelyik egyaránt otthon van a hagyományos és az ipari informatikai rendszerekben is.

Az sem jelent biztonságot, ha a gépek, gépsorok nem kapcsolódnak közvetlenül az internetre. Az ipari irányítási környezet egyéb elemeivel (SCADA, MES-rendszerekkel) ugyanis szinte biztosan kapcsolatban vannak, és azokon keresztül ugyanúgy megfertőzhetők. Sőt, elegendő lehet az is, ha a hálózatra nem kötött eszközök frissítésére használt USB-meghajtó fertőzött. „A kitettség egyre fokozódik, hiszen az Ipar 4.0 rendszerek szükségességét és terjedését a vírusjárvány is elősegítette. Lehet, hogy az embereket karanténba kell küldeni, de a gépeket biztosan nem”, teszi hozzá Regyep György.

 

Hosszabb megtérülés

Mivel a veszélyek hasonlóak, a kivédésükre alkalmazott eszközöknek, módszereknek is hasonlónak kell lenniük – részben. „Ahogy az ipari technológiák közelítenek az informatika felé, egyre inkább használhatunk a hagyományos IT-világban megszokott eszközöket, például tűzfalakat. Ezzel együtt ezeknek olyan berendezéseknek kell lenniük, amelyek bírják a zord ipari környezetet, a hideget, a meleget, a port, a rezgéseket. Funkcionalitásban hasonlóak, kivitelben teljesen mások”, magyarázza Bánszki Zsolt, a 4iG IT-biztonsági üzletágának vezetője, a kettősséget. A funkcionalitásnál figyelni kell arra is, hogy a berendezés támogassa az ipari protokollok (Modbus/TCP, Profinet) tartalmainak szűrését is.

Szerencsére egyre több ilyen eszköz érhető el, teszi hozzá Gém Péter, a 4iG szakértékesítési és üzletfejlesztési igazgatója. Egy ipari kivitelű biztonsági eszköz természetesen drágább, de ezekre nem lehet az informatikába megszokott megtérülési számításokat alkalmazni. Az IT-ben 3-5 éves megtérüléssel és TCO-val számolnak, az ipari környezetekben viszont az informatikai eszközöket is legalább 10-15 évre veszik, ezért a TCO-t is erre az időszakra kell tervezni.

 

Elválaszt és összeköt

A legtöbb esetben már meglévő ipari rendszereket kell integrálni és biztonsági szempontból megerősíteni. Ennek első lépése az adott termelési egység folyamatainak és kitettségeinek felmérése, mondja Regyep György. Ezen kockázatok ismeretében lehet a szükséges védelmi eszközökről, eljárásokról dönteni.

Az OT és az IT rendszerek integrálását jócskán megnehezíti, hogy az alkotóelemeket úgy kell egységes rendszerré ötvözni, hogy közben szükséges gondoskodni a szeparálásukról is. Erre több módszer is kínálkozik; az egyik legnyilvánvalóbb a hálózati forgalom szegmentálása, elkülönítése. Ilyenkor az egyes funkcionális területekre külön VLAN-hálózatokat alakítanak ki, amelyeket megfelelő tűzfalszabályokkal védenek, a bejövő és kimenő forgalmat pedig logikai útválasztók figyelik. A szeparáció révén biztosítható, hogy egyetlen szegmens esetleges megfertőződése ne okozza a teljes üzem leállását.

Kisszótár

MES: manufacturing execution system, a gyártóeszközöket közvetlenül vezérlő, eközben a műveleteket monitorozó eszközök

OT: operation technology, (digitális) működésvezérlő eszközök

PLC: programmable logic control, programozható ipari vezérlő (nem feltétlenül digitális)

SCADA: supervisory control and data acquisition, felügyelő, vezérlő és adatgyűjtő rendszer (nem feltétlenül digitális)

Szintén hasznos lehet az adatdiódák alkalmazása: ezek olyan optikai eszközök, amelyek a hálózat fizikai szintjén biztosítják, hogy az adatok csak az egyik irányba áramolhassanak – például a gyártósor elején csak az IT-től az OT felé, a gyártósor végén pedig az ellenkező irányba, említ egy másik lehetőséget Bánszki Zsolt.

Óriási könnyebbséget jelent, ha van egy olyan platform, amely biztonságos összeköttetést teremt a régi OT-rendszerek és az informatikai vagy Ipar 4.0 megoldások között. Ilyen digitalizációs platform a 4iG megoldása, a 4iOP keretrendszer is. Ez egyfajta védőhálóként képes úgy elrejteni a meglévő ipari rendszereket a külső fenyegetettségek elől, hogy közben lehetővé teszi a folyamatos kommunikációt a termelési és az informatikai rendszerek között.

„A 4iOP révén például a SCADA-rendszerekből közvetlenül a vezetői információs eszközökbe vagy az ERP-szoftverbe továbbíthatunk adatokat. A lehetőségek óriási tárháza nyílik meg, vizualizálhatjuk a begyűjtött adatokat, az elemzések alapján proaktív beavatkozásokat tervezhetünk. Mindeközben a biztonság miatt sem kell aggódnunk, a 4iOP-t ugyanis saját biztonsági csapatunk is vizsgálta, illetve hitelesítette. Ha az OT-t és az IT-t a 4iOP ipari digitalizációs platformján keresztülkapcsoljuk össze, szinte teljesen elszigeteljük az informatikát érő támadásokat az ipari rendszerektől. Ha kiesik egy adatközpont, egy-két funkció talán elvész, de a termelés ettől még nem áll le – márpedig az iparban ez a legfontosabb”, teszi még hozzá Gém Péter.