Čo si predstaviť pod OT (Operational Technology) a ako zaradiť SCADA systémy?
Operational Technology nie sú iba SCADA (Supervisory Control And Data Acquisition) systémy. Jedná sa o celé technologické prostredie, fungujúce na vlastných úrovniach 0-5 (Purdue modelu), ktoré je typicky oddelené od sveta Informačných Technológií. Práve najznámejšie SCADA systémy je možné vnímať ako podmnožinu celého OT prostredia, pre ktoré je charakteristická 2.-3. úroveň.
Najnižšie úrovne 0-2 sú tvorené produkčnou sieťou, ktorá pozostáva z koncových systémov - výrobné stroje, elektrické obvody, sondy a pod. Na tieto systémy sú priamo napojené takmer koncové priemyselné zariadenia, a to napr.:
- PLC (Programmable Logic Control) - priemyselný riadiaci systém slúžiaci na ovládanie technologických procesov
- HMI (Human-Machine Interface) – Konfiguračné rozhranie (často grafické), využívané na správu a samotnú konfiguráciu priemyselných systémov
- IED (Intelligent Electronic Device) – Integrované kontroléry zaisťujúce dlhodobú priemyselnú činnosť, ako napr. ochrany.
- RTU (Remote Terminal Unit) - Prepoj medzi fyzickým svetom (koncovými systémami) a SCADA systémami, napr. riadenie výroby energie a ropovodov.
Vyššie úrovne ďalej tvoria riadiace, monitorovacie a ovládacie systémy na 3. úrovni, priemyselná DMZ a firemná IT infraštruktúra na 4.-5. úrovni.
OT systémy všeobecne slúžia na signalizáciu, meranie, riadenie a ochranu v rôznych priemyselných odvetviach (výroba, energetika, doprava,...). Historicky sa jednalo o úplne oddelené prostredia, ale dnes sú v dôsledku konvergencie IT&OT, digitalizácie a interoperability čoraz viac priamo prepájané s IT infraštruktúrou.
(Zdroj obrázku: https://www.zscaler.com/resources/security-terms-glossary/what-is-purdue-model-ics-security)
Information Technology vs. Operational Technology
Najvýznamnejšie rozdiely:
- IT prioritizuje dôvernosť, OT dostupnosť
- IT incidenty sa dejú častejšie, ale OT incidenty sú deštruktívnejšie
- Bezpečnostné aktualizácie – každý mesiac vs. raz za rok
Tabuľka predstavuje súhrn základných rozdielov IT a OT systémov. Niektoré dáta sú prevzaté z informácií na webovej stránke organizácie SK-CERT (https://www.sk-cert.sk/sk/rady-a-navody/bezpecnost-priemyselnych-ot-systemov/technologicky-a-funkcny-rozdiel-medzi-it-a-ot/index.html).
|
IT Systémy |
OT Systémy |
Bezpečnostné požiadavky |
dôvernosť, integrita, dostupnosť |
dostupnosť, funkčnosť 24/7 |
Kompromitácia systému |
izolácia, vypnutie |
malý vplyv na funkčnosť – nevypína sa |
Hlavné procesy |
spracovávanie informácií |
riadenie technologických procesov |
Životný cyklus |
4-6 rokov |
15-20 rokov |
Patch management |
3-4x/rok |
1x/rok (1x/2 roky) |
Dostupnosť |
výpadky akceptované |
24/7 |
Aktuálne zabezpečenie |
dobré |
nízke/žiadne |
Komunikačné protokoly |
TCP/IP |
IEC60870-5, IEC61850,... |
Špecifiká OT Bezpečnosti
Pri zaisťovaní bezpečnosti v OT prostredí je potrebné klásť mimoriadny dôraz na fyzickú bezpečnosť, ktorej prienik môže viesť ku katastrofickým až k život-ohrozujúcim následkom. Prienikom fyzickej bezpečnosti je možné obísť takmer všetky bezpečnostné opatrenia implementované v kybernetickom priestore a dostať sa ku koncovým zariadeniam, ktoré sú štandardne najmenej ochránené pred poškodením/útokom.
Na základe štatistík zraniteľností je, podobne ako u bezpečnosti IT, najviac útokov vedených na zariadenia, s ktorými priamo pracujú ľudia (až 40% zraniteľností). Z tohoto je zrejmé, že bezpečnosť OT by nemala zanedbať HMI systémy a implementovať už známe bezpečnostné opatrenia zo sveta IT.
OT prostredia ale typicky disponujú viacerými limitáciami, keď dôjde k nasadeniu bezpečnostných opatrení:
- Aplikovať bezpečnostné záplaty je možné iba pri plánovaných odstávkach (napríklad 1 krát za rok).
- Navrátiť zariadenie do pôvodného stavu (pri kompromitácii systému, výraznej konfiguračnej zmene, aktualizácii...) je možné taktiež iba počas plánovanej odstávky.
- Koncové zariadenia sú výrazne limitované výpočtovým výkonom.
- Prostredia s veľkým množstvom proprietárnych a špecifických protokolov/aplikácií, ktoré nemusí rozpoznať každé bezpečnostné zariadenie.
Vhodným prístupom k zabezpečeniu OT prostredia je postupovať podľa stratégie „Defense in Depth“. S touto stratégiou v súvislosti s OT sa stotožňuje aj organizácia CISA alebo NIST. Jedná sa o nasadenie bezpečnostných opatrení vo viacerých vrstvách, napríklad podľa jednotlivých úrovní OT.
Čo ponúka COMGUARD a.s. na adresovanie OT bezpečnosti?
Aj napriek tomu, že sa COMGUARD a.s. primárne zameriava na zabezpečenie IT, nasadením vybraných technológií z dostupného portfólia dokáže pokryť oblasti vyšších úrovní OT prostredia.
COMGUARD a.s. poskytuje napríklad zabezpečenie nasledovných vybraných oblastí OT:
Oblasť OT Security |
Vendor |
Network Monitoring and Visibility |
Trellix(McAfee), Rapid7 |
Network Segmentation |
Sophos |
Secure Remote Access |
Sophos |
Endpoint Security |
Trellix(McAfee), Sophos |
Security Services |
Služby - Vulnerability Management, SOC, PhishTest |
Access Control |
Wallix |
Incident Response |
Rapid7 |
Pokiaľ máte záujem dozvedieť sa viac o možnostiach zabezpečenia OT/IT, ktoré COMGUARD a.s. ponúka, neváhajte kontaktovať sales@comguard.cz.