www.prs.pl

Cyberbezpieczeństwo - zagrożenia, dostępne technologie/środki ochrony oraz kroki ograniczające ryzyko skutków ataków

21.01.2020 Gdańsk

Specjalista ds. automatyki

Krzysztof Nosal

www.prs.pl

Sieć ethernet

2

www.prs.pl

Przemysł 4.0

3

www.prs.pl

Różne branże, podobne korzyści

4

• Access to automationnetwork from the officenetwork for analysis andlogistic control

• lower availability leadstoprofit losses

• Maintenance and servicecomplicated for on boardstaff→ remote support

• Implementation ofpreventive maintenanceschemes

• Remote service anddiagnosis of wide-spreadinstallations→ reducepersonnel cost

• Legal requirements fordocumentation ofemissions, consumptions

- Połączenie aspektów biznesowych z produkcją

- Rozszerzona analiza danych

- Zdalne wsparcie oraz serwis urządzeń

- Predictive maintenance

- Zdalne wsparcie oraz serwis urządzeń

- Monitoring procesów w celach spełnienia wymagań prawnych w zakresie dokumentacji

www.prs.pl

Bezpieczeństwo nie jedno ma imię

5

Functional Safety IT Security

Protection of the Human from the Machine Protection of Data and the Machine from theunauthorized Human

Bezpieczeństwo funkcjonalne Bezpieczeństwo sieciowe

www.prs.pl

Wspólne cechy przemysłu procesowego i morskiego

6

• Safety und Security sind relevant

• Einsatz von „off the shelf“ Technologien (Server, PCs, Switches)

• Einsatz von industriellen Automatisierungssystemen

• Vernetzung der Systeme z. B. über Ethernet

• Anbindung an externe Netzwerke (via Internet und Satellit)

• Remote Datenübertragung und Remote Diagnose

Bildquelle: industrieblick, Fotolia.com Bildquelle: EvrenKalinbacak – Fotolia.com• Przenikające się aspekty bezpieczeństwa sieciowego i funkcjonalnego• Wykorzystanie gotowych komponentów z sektora IT(komputery, serwery, switche)• Wykorzystanie systemów automatyki przemysłowej• Komunikacja najczęściej po Ethernecie• Połączenie z globalną siecią

www.prs.pl

Różne zagrożenia – różne środki zaradcze

7

• Zakażone nośniki danych• Urządzenia mobilne• Ataki DDoS• Zmiana/usunięcie programu• Przechwytywanie/fałszowanie komunikacji• Nieuprawniony dostęp

www.prs.pl

Bezpieczeństwo sieciowe – konieczna współpraca

8

Producent komponentów:

-Dba o aktualność mechanizmów bezpieczeństwa sieciowego

-Informuje/szkoli integratorów-Publikuje informacje o podatnościach wraz z rozwiązaniami-Certyfikuje urządzenia

Integrator:-Konfiguruje urządzenia-Ustala z użytkownikiem końcowym politykę zabezpieczeń i haseł-Certyfikuje system

Użytkownik końcowy:-Dba o odpowiednie standardy bezpieczeństwa-Zarządza użytkownikami/hasłami/certyfikatami-Aktualizuje urządzenia

www.prs.pl

ISO31000

9

www.prs.pl

Zalecenia i regulacje prawne

10

American Bureau of Shipping

• Empfehlungen für die

Etablierung von Cyber-

Security Prinzipien für Marine

und Offshore Anwendungen

• Aussagen:

– Vernetzung der Systeme so

stark, wie nie zuvor.

– Betreiber und OEMs wünschen

Zugriff auf die Systeme und

Komponenten.

– Cyber Security und das

Management der Software

Integrität wird eine zunehmende

Bedeutung für die Sicherheit

haben.

The Baltic and International Maritime Council (BIMCO)

• Beschreibt mehrstufiges

Vorgehensmodell zur

Verbesserung der IT-

Sicherheit.

• Vorgehen vergleichbar zur

Automatisierungstechnik

• Relativ ausführliche

Beschreibung.

• Definiert Vorgehensmodell

und beschreibt

organisatorische und

technische Maßnahmen.

Llloyds Register (LR)

• Im Feb. 2016 erschienen

• Der Standard bezieht sich

nicht nur auf IT-Sicherheit

sondern befasst sich mit den

folgenden Aspekten:

– System

– Human-system

– Software

– Network and communications

– Data assurance, and

– Cyber security.

UK Chamber of Shipping

• Kurze Einführung für die

Sensibilisierung des Bordpersonals

und der Schiffsführung.

• Einige Kernaussagen:

– The human Element is the most

significant threat to maritime cyber security.

– All crew and contractors need to be

aware of the risks, trained in

resilience, and supported to minimize the possibility of insider attacks.

– Actions taken on the ship alone

cannot minimize the risk from cyber

attack. Ships need to be adequately supported from ashore.

www.prs.pl

Wielopoziomowe bezpieczeństwo sieciowe

11

www.prs.pl

Sterownik PLC jako backdoor do sieci

12

www.prs.pl

Sterowniki WAGO – połączenie 2 światów

13

• Reports directly as the PLC

• IEC 61131

• LINUX® in background

• Open source

• Highly flexible

• Scalability

Automation Controllers Open Linux® ControllersPFC100 for I/O System 750

PFC200 for I/O System 750

PFC200 for I/O System Advanced

Security – Realtime – Stability

www.prs.pl

Cyber-bezpieczeństwo w systemach automatyki przemysłowej

14

• Network Functions

− Firewall− VPN− Radius Server− Separate Networks− VLAN

• Zarządzanie użytkownikami

− Role Based Access Management− LDAP

Linux World

IEC 61131 Automation WorldZnam Linux-a i korzystam z tych samych narzędzi co na serwerach

Korzystam ze znanych narzędzi. O bezpieczeństwo dba administrator

• PLC Program

− IEC 61131

• Wymiana danych

− VPN-tunnel function block

IT World - Linux Automation World - IEC 61131

www.prs.pl

Separacja sieci obiektowej

15

Ethernet

HTTPs

Ethernet

Modbus/TCP

Dienste/PortsIP Adress

MAC Adress

www.prs.pl

Wielopoziomowe bezpieczeństwo sieciowe

16

www.prs.pl

Separacja sieci obiektowej

17

Ethernet

HTTPs

Ethernet

Modbus/TCP

Dienste/PortsIP Adress

MAC Adress

www.prs.pl

Zarządzanie użytkownikami

18

Ethernet

HTTPs

Ethernet

Modbus/TCP

www.prs.pl

Szyfrowanie komunikacji

19

VPN über Eth.

HTTPs

Ethernet

Modbus/TCP

www.prs.pl

Kontrola komunikacji – Access Control List

20

Obcy sterownik

Client Modbus/TCP (port 502)

192.168.1.200

PC

Client web https (port 443)

192.168.1.100

Komputer serwisowy

Full access

192.168.1.250

Nom du profil 1 Action Autoriser

IP source 192.168.1.100 Masque IP source 255.255.255.255

IP destination 192.168.1.1 Masque IP destination 255.255.255.255

Port source Any Port destination 443

Nom du profil 2 Action Autoriser

IP source 192.168.1.200 Masque IP source 255.255.255.255

IP destination 192.168.1.1 Masque IP destination 255.255.255.255

Port source Any Port destination 502

Nom du profil 3 Action Autoriser

IP source 192.168.1.250 Masque IP source 255.255.255.255

IP destination Any Masque IP destination Aucun

Port source Any Port destination Any

Sterownik PLC

Resource to protect (example)

192.168.1.1

Zalety WAGO:

• ACL dla warstw ISO 2 / 3 / 4

• Zabezpieczenie przed nieuprawnionym dostępem do switcha i/lub urządzeń

www.prs.pl

VLAN – prostsza infrastruktura, zachowane bezpieczeństwo

21

Linia produkcyjna 1

(LAN10)

Linia produkcyjna 2

(LAN20)

Biuro

(LAN30)

RouterIP address

www.prs.pl

Sterowanie komfortem

(LAN20)

Biuro

(LAN30)

VLAN – prostsza infrastruktura, zachowane bezpieczeństwo

22

Sterowanie napędami

(LAN10)

Sterowanie komfortem

(LAN20)

www.prs.pl

Pewność komunikacji – topologie typu ring

• Odporność na uszkodzenie jednego elementu infrastruktury sieciowej

• Szybkie czasy przełączania

23

www.prs.pl

Ring typu ERPS

Większa dostępność komunikacji i otwartość na rozwiązania klasy IT (np. CISCO)

• Przełączanie <50ms

• Dowolność topologii

• Infrastruktura oparta na WAGO i nie tylko

• Eliminacja SPOF

24

ERPS Major-Ring

ERPS Major-Ring

ERPS Sub-Ring

www.prs.pl

Dostępne mechanizmy z podziałem na urządzenia

Sterowniki PFC100/200Bezpieczeństwo sieciowe-kontrola użytkowników-TLS-SSL-IPSec-OpenVPN-SCEP-Firewall-Whitelist-WPA 802.1x

Usługi Linux-Syslog-Karta SD-FTP, SFTP, SCP-Rsync, Backup-SNMP

Switche zarządzalneBezpieczeństwo sieciowe-kontrola użytkowników-TLS/SSL-VLAN-Routing-Firewall-Whitelist-MAC filter-Ograniczanie pakietów-WPA 802.1x

Usługi-Logi-Alarmy-SNMP-Backup/Restore

www.prs.pl

Przykład rozbudowanej konfiguracji zabezpieczeń

26

Router GSM

Lokalny port inżynierski

IP SEC

WPA 802.1x authenticator

SCEPSerwer CA

IP SEC

www.prs.pl

WAGO – Cybersecurity

https://www.wago.com/pl/cyfryzacja/cyberbezpieczenstwo

27

www.prs.pl

WAGO – Biała księga

28

www.prs.pl

WAGO – Alerty

29

https://www.wago.com/global/automation-technology/security

www.prs.pl

Certyfikacja

30

www.prs.pl

Dostęp do chmury

• Dostęp do chmur dostawców takich jak: AWS, Microsoft Azure, SAP Cloud Platform, IBM Watson

• Łatwa konfiguracja za pomocą strony WWW

• Certyfikowana kompatybilność z chmurą SAP i Azure

• Bezpieczna wymiana danych – szyfrowanie „out of the box”

• Zdalny dostęp do sterowników

• Zdalny update FW i/lub programu PLC

31

www.prs.pl

DZIĘKUJĘ ZA UWAGĘ! / THANK YOU FOR YOUR ATTENTION

krzysztof.nosal@wago.com

Krzysztof Nosal