Sdružení NAMUR nabízí podobný soubor pokynů jako standard ISA 62443 pro kybernetické zabezpečení, přičemž funkce SIS jsou seskupeny do tří zón: jádro SIS, rozšířený SIS a architektura řídicího systému(označovaná sdružením NAMUR jako „periferie“).
Všechny obrázky poskytla společnost Emerson
Výběr architektury bezpečnostního přístrojového systému (Safety Instrumented Systems – SIS), která umožní obranu systému po dobu životního cyklu produktu, je jedním z prvních rozhodnutí, které musí organizace učinit. Měli byste znát příslušné platné standardy.
Když organizace zahajuje projekt bezpečnostního přístrojového systému (SIS), jedním z prvních rozhodnutí zúčastněných stran je volba architektury. Je možné realizovat úspěšné a odolné systémy s využitím architektury SIS s rozhraním nebo integrované architektury SIS v rámci mezí stanovených mezinárodními standardy pro kybernetické zabezpečení, jako je soubor norem IEC 62443 (ANSI/ISA 62443), případně lokálně platná doporučení, což jsou např. pokyny sdružení výrobců, dodavatelů a uživatelů automatizační techniky v procesním průmyslu (NAMUR). Pochopení jedinečných výhod a úvah, které stojí za každou architekturou, je rozhodující pro informované rozhodnutí o tom, která nejlépe poslouží potřebám organizace.
Standardy pro kybernetické zabezpečení poskytují pokyny pro oddělení bezpečnostně kritických a bezpečnostně nekritických komponent. Podle pokynů ISA musejí být bezpečnostně kritické výrobní prostředky seskupeny do zón logicky nebo fyzicky oddělených od bezpečnostně nekritických výrobních prostředků.
Sdružení NAMUR nabízí podobný soubor pokynů v pracovním listě NA 163 „Hodnocení bezpečnostních rizik SIS“. Tento pokyn definuje tři logické zóny – jádro SIS, rozšířenou SIS a architekturu řídicího systému (NAMUR ji označuje jako „periferie“), které musejí být fyzicky nebo logicky odděleny (obrázek 1).
Jádro SIS se skládá z komponent potřebných pro provádění bezpečnostní funkce – logický řešitel, vstupní/výstupní (I/O) komponenty, senzory a konečné prvky. Rozšířená SIS obsahuje součásti bezpečnostního systému, které nejsou vyžadovány pro vykonávání bezpečnostní funkce (například technické pracovní stanice). Periferie jsou součásti a systémy, jako je základní řídicí systém procesu (Basic Process Control System – BPCS), které nejsou přímo nebo nepřímo přiřazeny k SIS, ale mohou být použity v souvislosti s bezpečnostní funkcí. Bezpečnostní funkce mohou zahrnovat žádost o opětovné zaslání ze strany BPCS nebo vizualizaci bezpečnostní funkce na rozhraní HMI.
Žádný standard však nedefinuje požadovanou architekturu. Uživatelé se musejí rozhodnout, jak nejlépe strukturovat sítě SIS, a zajistit, aby konečné řešení poskytovalo dostatečné logické a fyzické oddělení BPCS a SIS. To často ponechává organizacím tři možnosti pro architekturu sítí SIS:
Mohou se objevit názory, že samostatný SIS je bezpečnější než jakýkoli jiný typ nasazení SIS. Všechny uvedené architektury však mohou poskytovat zvýšenou bezpečnostní pozici, pokud je tato pozice předem definována a vymáhána během návrhu, implementace a údržby bezpečnostního systému. I když je důležitá, architektura SIS je jen jedním z aspektů definování zabezpečení pro bezpečnostní systém.
Ochrana SIS vyžaduje přístup hloubkové obrany. Vzhledem k tomu, že počet kybernetických útoků každým rokem roste, pro bezpečnostně kritické výrobní prostředky nestačí jen jedna vrstva ochrany. Správci sítě používají několik vrstev zabezpečení (antivirus, správu uživatelů, vícefaktorovou autentizaci, detekci/prevenci narušení, whitelisting, firewally a další), aby zajistili, že neoprávněným uživatelům bude bránit nepřekonatelná překážka vstupu. Cílem strategie hloubkové obrany je posílit mechanismy ochrany kontroly přístupu. To se provádí přidáním vrstev ochrany, které se vzájemně doplňují.
Infrastruktura se „vzduchovou mezerou“ odděluje bezpečnostně kritický a nekritický systém SIS, ale klade vyšší nároky na údržbu bezpečnostních vrstev hloubkové obrany na dvou různých systémechJednou z nejběžnějších metod ochrany SIS je úplné oddělení systému a vytvoření „vzduchové mezery“ mezi základními funkcemi SIS a BPCS (obrázek 2). Výhody tohoto přístupu se zdají zřejmé. Pokud je SIS oddělený od jiných systémů, ochrana proti vniknutí je přirozeně posílena.
Ani oddělené systémy však nejsou vůči kybernetickým útokům imunní. Uživatelé nakonec budou vyžadovat externí přístup do systému pro úkoly, jako je extrahování záznamů o událostech pro analýzu posloupnosti událostí, obcházení, potlačení, záznamy o zkušebních testech nebo provádění změn konfigurace a použití aktualizací zabezpečení. Jednotky USB, které se často používají k implementaci těchto aktualizací, není snadné chránit.
Závislost na externích médiích je jedním z hlavních důvodů, proč oddělený SIS stále potřebuje další vrstvy ochrany, jako jsou ty, které se používají k ochraně BPCS. Náležité vyztužení systému ponechává na uživatelích správu dvou samostatných sad architektur hloubkové obrany. To vytváří vysoký potenciál pro zvýšení časové náročnosti práce, delší prostoje a další oblasti, kde by přehlédnutí mohla zanechat díry v ochranných vrstvách.
Hloubková obrana – systémy s rozhraním
Systémy s rozhraním fungují jako oddělené systémy v tom, že funkce související s bezpečností jsou fyzicky odděleny od funkcí nesouvisejících s bezpečností (obrázek 3). Rozdíl spočívá v
Architektury s rozhraním fyzicky oddělují SIS od BPCS, ale mají připojení k BPCS. Tato konfigurace obvykle vyžaduje údržbu několika propojených systémů a systémů hloubkové obranyProtože jádro SIS a rozšířený SIS jsou fyzicky odděleny od periferií, systémy s rozhraním nabízejí odpovídající ochranu, aby splňovaly standardy ISA a NAMUR. Stejně jako u oddělených systémů je však třeba chránit hardware a software SIS. Uživatelé musejí zajistit, aby jádro SIS nebylo ohroženo připojením k rozšířenému SIS.
Pro dosažení této ochrany je u systémů s rozhraním zapotřebí, aby byly vrstvy zabezpečení hloubkové obrany duplikovány na více systémech. V některých případech může více instancí kybernetického zabezpečení, které je třeba monitorovat, zvýšit pracovní zátěž nezbytnou k udržení přiměřeného zabezpečení. Je také na koncovém uživateli, aby zajistil, že spojení mezi BPCS a SIS je nakonfigurováno tak, aby systém nebyl vystaven riziku.
Hloubková obrana – integrované systémy
Další možností pro realizaci oddělených systémů je integrovaný SIS (obrázek 4). V tomto přístupu je SIS integrován do BPCS, ale existuje logické a fyzické oddělení mezi jádrem SIS a rozšířeným SIS. Obvykle je tohoto oddělení dosahováno vlastními protokoly s využitím zabudovaného kybernetického zabezpečení přímo z výroby. Tím se eliminuje mnoho bezpečnostních rizik, která vyplývají z manuálního propojování SIS a BPCS.
Integrovaný SIS vyžaduje stejné úrovně ochrany v rámci hloubkové obrany jako oddělené systémy, ale protože některé bezpečnostní vrstvy chrání jak BPCS, tak SIS, může integrovaný SIS snížit čas a úsilí potřebné pro monitorování, aktualizaci a údržbu bezpečnostních vrstev. Tento přístup nabízí ochranu, která přesahuje běžné bezpečnostní vrstvy. Integrovaný SIS má také další a specifické bezpečnostní vrstvy určené k ochraně jádra SIS.
Eliminace komplikovaných, manuálně realizovaných rozhraní mezi jádrem SIS a rozšířeným SIS může díky integrovanému prostředí vést k jednoduššímu a rychlejšímu přejímacímu zkoušení v závodě (Factory Acceptance Testing – FAT), což přispívá k rychlejšímu uvádění projektu do provozu a ke snížení objemu dodatečných prací.
Pečlivé zvážení vrstev hloubkové obrany je zásadní pro zajištění kybernetického zabezpečení SIS, avšak to samo o sobě nestačí. Aby bylo zajištěno adekvátní zabezpečení sítě SIS, musí organizace omezit také vstupní body do bezpečnostně kritických funkcí a zajistit zmírnění veškerých rizik, která mají dopad na uvedené vstupní body.
Čím více vstupních bodů je dostupných pro bezpečnostně kritické funkce SIS, tím více je příležitostí k tomu, aby kybernetické útoky zneužily možné zranitelnosti ve vrstvách zabezpečení. Ačkoli je možné adekvátně bránit pět vstupních bodů proti vniknutí, je mnohem jednodušší a méně náročné na zdroje bránit pouze jeden.
Vstupní body – systémy s rozhraním
NAMUR nabízí jasné pokyny pro zónovou architekturu SIS ve formátu s rozhraním (obrázek 1). V diagramu jsou jádro SIS, rozšířený SIS a architektura řídicího systému náležitě izolovány ve svých vlastních zónách. Vytvořená propojení mezi prvky architektury ve třech zónách – technické stanice, BPCS, systémy pro správu informací o závodech, systémy pro správu výrobních prostředků a další – mohou vytvořit více potenciálních bodů připojení k jádru SIS.
Tyto body připojení nepředstavují ve své podstatě bezpečnostní riziko; předpokládá se, že budou zajištěny odpovídající hloubkovou obranou. Každé dveře musí být zabezpečené, což může vést k nutnosti spravovat pět nebo více sad bezpečnostního hardwaru a softwaru.
Vstupní body – integrované systémy
Integrované architektury SIS mohou nabídnout řešení, které omezuje vstupní body. Nejlepší integrované bezpečnostní přístrojové systémy mají jednu komponentu, která funguje jako strážce brány/proxy pro veškerý provoz směřující do bezpečnostně kritických funkcí a z nich. Výsledkem je jeden vstupní bod, který je třeba bránit, pravděpodobně pomocí stejných vrstev hloubkové obrany, které chrání BPCS, a některých dalších ochranných vrstev specifičtějších pro jádro SIS. Takové řešení může snížit nároky na údržbu a monitorování a zároveň zajistit stejnou, ba dokonce vyšší úroveň standardního oddělení SIS než jiné architektury.
V integrované architektuře SIS jsou bezpečnostně kritické funkce logicky a fyzicky odděleny (stále splňují standardy ISA a NAMUR), a přesto jsou umístěny ve stejném systému. To eliminuje potřebu udržovat několik řešení hloubkové obranyČasto se předpokládá, že větší fyzické oddělení mezi SIS a BPCS znamená větší zabezpečení. Stejně jako v případě systémů se „vzduchovou mezerou“ však může větší fyzické oddělení vést ke zvýšeným nárokům na údržbu a monitorování, aby byla zajištěna odpovídající hloubková obrana. Zvýšené nároky na obsluhu omezují hodnotu „vzduchové mezery“ pro organizace usilující o optimalizaci výkonu a výroby a současně i o dodržení standardů kybernetického zabezpečení.
Integrované systémy a systémy s rozhraním mohou dosahovat vysoké úrovně konektivity a zároveň nabídnout flexibilitu při implementaci struktur hloubkové obrany v rámci kybernetického zabezpečení. Protože obě architektury nabízejí nejvyšší úroveň zabezpečení, implementační týmy hledající řešení, které umožní obranu systému SIS po dobu životního cyklu produktu, často zjišťují, že mají pro BPCS a SIS více možností, jež odpovídají jedinečným cílům dané organizace.
Sergio Diaz a Alexandre Peixoto jsou produktoví manažeři pro DeltaV společnosti Emerson. Upravil Chris Vavra, redaktor časopisu Control Engineering, CFE Media, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript..
Control Engineering Česko je přední časopis o průmyslové automatizaci. Je vydáván v licenci amerického Control Engineering, které poskytuje novinky z této oblasti více než 60 let.
www.controlengcesko.com
Trade Media International nejen ve své mediální nabídce denně dokazuje svou snahu naplnit hlavní slogan společnosti: INspirujeme INterakci INženýrů!
![[ŽIVĚ] Jak kybernetická bezpečnost ovlivní výrobní sektor](https://www.vseoprumyslu.cz/media/k2/items/cache/4782e61929e852d1cbbbbebe70425508_S.jpg)
![[ZÁZNAM] Priemysel 4.0 – automatizácia, digitalizácia a robotizácia (2023)](https://www.vseoprumyslu.cz/media/k2/items/cache/6e4b2528701707a3ed973fc804a3e209_S.jpg)
