Informační bezpečnost technologických počítačů

Informační bezpečnost technologických počítačů Jan Drtil Vysoká škola ekonomická v Praze katedra informačních technologií VŠE nám. W. Churchilla 3, 130 00 Praha 3 [email protected] Abstrakt: Článek poukazuje na skutečnost, že soudobá průmyslová výroba stále komplexnějších produktů a jejich rostoucí variantnost vede k nutnosti rostoucí měrou podporovat samotný výrobní proces informačními technologiemi. V této souvislosti poukazuje na rizika, která jsou z pohledu informační bezpečnosti s tímto trendem spojena, a na praktických příkladech dokazuje, že se v řadě případů nejedná pouze o rizika teoretická, ale na základě studia literatury a autorových praktických zkušeností reálná. Po popsání nejzávažnějších rizik jsou tato doplněna o osvědčená opatření, která autor navrhuje ke zmírnění dopadu na průmyslové podniky. Klíčová slova: technologie, technologické počítače, informační bezpečnost Abstract: In order to satisfy the market of customer, current industrial production is forced to produce more complex products with more variants. Complexity of production process is growing and is enabled by still higher support from the side of information technologies. The article describes which risks are from the information security point of view crucial. After their demonstration in reality suggests – based on the study of literature and author´s own experience – ways, which proved in reality to be effective in order to diminish those risks and thus impact on the industry. Keywords: technology, technology computer, information security

1. Úvod Cílem tohoto příspěvku je popsat, jaké jsou největší současná rizika v oblasti informační bezpečnosti (dále jen bezpečnost) technologických počítačů ve velkých průmyslových podnicích, proč vznikají, a navrhnout řešení, která umožní snížení jejich dopadů. Technologický počítačem bude pro účely této práce chápáno PC na platformě Intel, na kterém je nainstalovaný operační systém z řady Microsoft Windows, nebo některá z distribucí Linuxu, případně jeho klonu (nebo zkompilované vybrané moduly jádra), a které je buď formou separátního boxu připojeno k průmyslové technologii, nebo je přímo vestavěné do průmyslové technologie jako takové. Také nebude rozlišováno mezi tím, jestli se jedná o počítač, nebo server (ve slova smyslu zařízení pro sdílení zdrojů). Informační bezpečnost je chápána jako „zachování důvěrnosti, integrity a dostupnosti informací ...“ (ISO/IEC FDIS 27001:2005, 2005). Autor v rámci přípravy tohoto příspěvku provedl průzkum informační bezpečnosti technologických počítačů (dále jen průzkum) ve 4 provozech výrobního podniku a v oblasti technického vývoje výrobku. Respondenty průzkumu byly pracovníci technické podpory výroby, průzkum probíhal formou nestrukturovaného interview, délka nepřekročila 1 hodinu na respondenta. Závěry z tohoto průzkumu budou průběžně doplňovat text tohoto příspěvku. 82

SYSTÉMOVÁ INTEGRACE 2/2012

Informační bezpečnost technologických počítačů

2. Důvody současného stavu, hlavní rizika Aby v soudobé konkurenci obstály, velké průmyslové podniky (např. v automobilovém průmyslu) vyrábějí čím dál tím pestřejší škálu čím dál tím složitějších produktů, s rostoucím množstvím jejich variant. Předpokladem tohoto stavu je to, že výrobní technologie bude nejen dostatečně flexibilní na to, aby variantnost výroby mohly zajistit, ale i dostatečně spolehlivá na to, aby fungovala nejlépe bezúdržbově po řadu let, v některých případech i v nepřetržitém provozu.

2.1 Umístění a význam technologických počítačů Technologická PC jsou jednou z klíčových součástí celého procesu výroby, který patří ke klíčovým procesům výrobního podniku. Uplatní se jak v řízení procesu výroby jako 1 2 takovém (např. PLC firmy Siemens, skládané do systémů SCADA ) a jeho vizualizaci, tak v dílčích procesech zajišťujících chod podprocesů výroby (např. svařovací roboty firmy KUKA, lakovací roboty GE FANUC a další). Zajištění celého procesu výroby může být podpořeno řadou obslužných, např. logistických procesů, které zajišťují výměnu dat s dodavateli (např. v rámci systému JIT nebo JIS), které opět mohou být podporovány technologickými PC, resp. komunikační infrastrukturou podniku. Kromě podpory procesu výroby výrobku mohou technologická PC ale podporovat také procesy vývoje výrobku – díky speciálním konfiguracím a perifériím mohou ovládat speciální zařízení, nebo simulovat některé děje ve výrobku ještě ve fázi vývoje, resp. testování jeho vlastností.

2.2 Rizika Z pohledu bezpečnosti jsou výše uvedené procesy vystaveny – zejména, ale nejen proto – řadou rizik, která vyplývají hlavně z použití technologických počítačů. Rizikem je v této souvislosti buď stav, že daná technologie nebude fungovat vůbec (typickým příkladem je např. výpadek atomové elektrárny EDISON ve státě Ohio (USA) v roce 2003, kdy obsluha díky neschopnosti izolovat ve své datové síti virus NIMDA způsobila několikahodinový výpadek dodávek do New Yorku (Hák, 2005)), nebo pouze částečně, resp. úplně proti původnímu určení (virus Stuxnet a jeho modifikace řídícího software PLC STEP7 (Symantec, 2011), který ovlivnil odstředivky pro obohacování uranu v Íránu). Přestože z pohledu důvěrnosti dat nejsou technologické počítače obvykle přímo cílem útoku s cílem získat důvěrné informace, ukazuje se (např. v (Ponemon Institute, 2010)), že škody způsobené průmyslu mohou být významné, a že se mu nevyhýbají ani přesně cílené útoky (Chien, 2011). Tyto útoky jsou navíc předpokládány i pro rok 2012 (CISCO Systems Inc., 2011). Přesné vyčíslení škod je, a do budoucna i může být ale problematické (Computer Security Institute, 2011). Čím je to způsobeno? Jak to, že jsou některé komponenty tak důležitých procesů takto zranitelné? Následující část odpoví na tyto otázky s využitím normy popisující analýzu rizik (vybrána byla hlavní rizika z (ČSN ISO/IEC 27005, 2005), výčet není ani vyčerpávající, ani konečný). 1 2

PLC – (Programmable Logic Controller) – programovatelný logický automat SCADA – (Supervisory Control And Data Acquisition) – dispečerské řízení a sběr dat

SYSTÉMOVÁ INTEGRACE 2/2012

83

Jan Drtil

2.3 Geneze vývoje a s tím souvisejících rizik Vznik výše uvedených problémů je spojen s genezí vývoje podpory informačních technologií hlavních procesů, kde významný předěl představuje okamžik jejich propojování do komunikačních sítí. V následující kapitole tedy budou nejprve probrána obecná rizika související s provozováním počítačů jako takových, a v dalších kapitolách potom rizika přibývající právě s propojováním do datových sítí.

2.3.1

Lokální počítače

Počítače jsou stroje, a k tomu, aby pracovaly, musí mít vytvořeny fyzické podmínky, které odpovídají tomu, pro co byly navrženy a zkonstruovány. Na PC mohou působit např. následující hrozby (autor na základě vlastní zkušenosti vybral níže uvedené do Tabulky č. 1, detailnější výčet k dispozici např. v (ČSN ISO/IEC 27005, 2005)): Tab. č. 1: Typy hrozeb pro technologická PC. Zdroj: (ČSN ISO/IEC 27005, 2005) Pořadí hrozby

Typ hrozby

1

nestabilita napětí v rozvodné síti (přepětí/podpětí)

2

nečistoty ve vzduchu (prach, jiné částice)

3

teplota

4

poruchy HW komponent

5

obsluha (člověk)

V prvním případě se jedná obecně o problémy buď s podpětí (tedy nedostatečné napětí), nebo přepětím (tedy přebytečné napětí), což obojí může vyústit buď k vypnutí počítače, nebo jeho nedefinovaný stav. Ve druhém případě se jedná o velmi časté riziko toho, že ve výrobních provozech se pohybuje ve vzduchu velké množství různých částic. Může se obecně jednat o prachové částice (není uklizeno), nebo mikročástice materiálů používaných v daném provoze pro nějakou technologickou činnost (mikroskopické kapičky oleje, brusivo, lakové částice). To může způsobit buď zanesení větráku s následným přehřátím počítače, nebo se částice mohou např. dostávat na základní desku, kde ji ve větším množství může i zkratovat, případně do čtecích hlav mechanik, resp. pevných disků, což způsobuje nečitelnost datových médií. Ve třetím případě může dojít k tomu, že teplota PC může překročit hranici, na kterou jsou komponenty vyrobeny, a dojde k přehřátí PC, případně částečnému spálení některých jeho komponent a jeho vypnutí. Ve čtvrtém případě se jedná buď o běžnou únavu materiálu, nebo např. proudový náraz po vypnutí PC (např. z důvodu jeho údržby). V obou případech může – zejména v případě starších technologií a je podporujících starších PC – dojít i k tomu, že běžná obnova už není možná (kompatibilní díl se již nevyrábí, ale výměna celého PC se nemůže uskutečnit, protože výrobce aplikačního SW ho již přestal podporovat, nebo jej nepodporuje na výrobcem operačního systému podporované verzi operačního systému). Výsledkem je opět vyřazení techniky z provozu a ztráta dostupnosti služby. Na základě průzkumu bylo zjištěno, že typicky dochází k poruchám zdrojů, pevných disků nebo základních desek.

84

SYSTÉMOVÁ INTEGRACE 2/2012

Informační bezpečnost technologických počítačů

Chyby obsluhy zařízení mohou mít různou podobu – může se stát, že PC někdo odcizí, nebo si do něj nahraje např. počítačovou hru, nebo se jen snaží nějakou nefunkčnost PC opravit vlastním neodborným zásahem. Všechny tyto činnosti mohou vést k úplné, nebo částečné nefunkčnosti PC. Z průzkumu vyplynuly následující závěry: 1) nelze exaktně určit, která z výše uvedených hrozeb je nejzávažnější (zejména proto, že v některých případech se nedá zcela exaktně určit, co bylo příčinou výpadku, a jedná se o souběh více faktorů). Míra závažnosti výpadku a jeho délka se také liší provoz od provozu. 2) po zpracování výsledků interview se nicméně ukázalo, že subjektivní míra shody na vnímání závažnosti, uváděné respondenty z výrobních provozů, je uvedena v Tabulce č. 2: Tab. č. 2: Subjektivní vnímání závažnosti hrozeb. Zdroj: vlastní průzkum autora Pořadí hrozby (subj. míra závažnosti)

Typ hrozby

Shoda na pořadí (% respondentů)

1

nestabilita napětí v rozvodné síti (přepětí/podpětí)

75%

2

nečistoty ve vzduchu (prach, jiné částice)

75%

3

teplota

75%

4

poruchy HW komponent

75%

5

obsluha

75%

2.3.2

Připojené / propojené počítače

Připojování počítačů ke komunikačním sítím se děje z různých důvodů. Z charakteru tohoto důvodu plyne, jestli se jedná o propojení dočasné (např. přes modem), nebo o propojení trvalé (např. do lokální/globální datové sítě). Z pohledu doby trvání připojení se může jednat o následující situace:



Dočasné připojení

Účelem dočasného připojení je dočasná datová komunikace počítače – zpravidla buď aktualizace firmware/software/parametrizace daného počítače, resp. přes něj připojené technologie, nebo její oprava.



Trvalé připojení

Účelem trvalého připojení je trvalá datová komunikace (ať už na úrovni operačního systému – např. jeho záplatování, nebo na úrovni aplikace k výměně dat) na/z počítače k jiným zařízením v datové síti/internetu. Použitelné pro všechny v předchozím odstavci uvedené činnosti + zálohování (archivace) dat z počítače. Tabulka č. 3 shrnuje tato hlavní rizika:

SYSTÉMOVÁ INTEGRACE 2/2012

85

Jan Drtil

Tab. č. 3: Typy síťových hrozeb pro technologická PC. Zdroj: (ČSN ISO/IEC 27005, 2005) Pořadí

Typ hrozby

Procentuální výskyt v roce

1

nahrání škodlivého kódu (počítačového viru) do počítače

75%

2

(ne)úmyslné útoky odepřením služby (DoS )

75%

3

průmyslová špionáž

75%

4

cílená sabotáž

75%

3

Jak bylo ilustrováno v úvodu této subkapitoly, v prvním případě se jedná o závažný problém, jehož výsledkem (pole povahy viru) může být až nefunkčnost počítače (např. jeho neustálé restartování), případně využití všech zdrojů počítače k aktivnímu šíření viru dále. Ve druhém případě může být PC (např. v kombinaci se zavirováním) zahlceno požadavky z datové sítě natolik, že se jeho operační systém zhroutí a dojde k nedostupnosti jím poskytované služby. Ve třetím případě mohou být např. software, resp. jeho parametrizace předmětem zájmu konkurence, a díky dostupnosti PC na datové síti může dojít ke ztrátě know-how. V posledním případě může být na základě znalosti prostředí datové sítě, nebo PC samotného proveden cílený útok za účelem vyřazení PC z provozu, nebo modifikace jeho dat/parametrizace s cílem vyrábět neshodné výrobky a znehodnotit tak celý proces výroby. S rostoucím propojováním datových sítí např. v rámci globálních korporací může docházet i k tomu, že databáze k systémům řízení výroby jsou centralizovány v jedné geografické lokalitě, a odtud jsou řízeny všechny výrobní linky. V tomto případě, pokud dochází k výpadku datové linky jako takové, opět dochází k výpadku komunikace a tím pádem i k nedostupnosti služby. Jedná-li se o počítače zapojené do datových sítí, na základě osobních zkušeností autora s technologickými počítači (opět za předpokladu, že nejsou přijata žádná opatření navržená níže) je pořadí rizik uvedeno v Tabulce č. 4: Pořadí

Riziko

Pořadí + (% pravděpodobnost výskytu rizika za rok)

1

Nahrání škodlivého kódu do počítače

1. (10%)

2

(Ne)úmyslné útoky odepřením služby

2. (0,1%)

3

Cílená sabotáž (nespokojený zaměstnanec)

3. (0,09%)

4

Průmyslová špionáž

3. (0,01%)

Tab. č. 4: Pořadí rizik – síťové počítače. Zdroj: vlastní průzkum autora 3

DoS – (Denial of Service) – útok odepřením služby

86

SYSTÉMOVÁ INTEGRACE 2/2012

Informační bezpečnost technologických počítačů

Obdobně, jako může být veden útok na jedno konkrétní PC, může být útok veden i na 4 komponenty informační infrastruktury s cílem vyřadit ji celou (např. tzv. DNS servery).

2.3.3

Ostatní rizika / propojené počítače

Kromě výše uvedených rizik existují i rizika, která vyplývají z právního řádu dané země a z technologických charakteristik datové sítě jako takové. K prvnímu z nich patří skutečnost, že vlastník software je jeho nabytí povinen doložit příslušným dokladem (fakturou). K druhému fakt, že v datové síti (využívající komunikační protokol TCP/IP) mohou při zajištění správné funkčnosti existovat zařízení, které mají unikátní identifikátor (IP adresu), případně unikátní DNS jméno.

3. Východiska, návrhy řešení Za účelem snížení dopadu rizik budou v rámci této kapitoly navržena opatření v obdobném členění, jako v kapitole minulé.

3.1 Návrhy opatření 3.1.1

Lokální počítače

Jak bylo v minulé kapitole naznačeno, za hlavní rizika v oblasti technologických počítačů jsou považována následující rizika: 1. Nestability napětí v rozvodné síti 2. Nečistoty ve vzduchu 3. Teplota 4. Poruchy HW komponent 5. Obsluha Obecným reaktivním řešením pro většinu výše uvedených případů (samozřejmě pouze pokud bude odstraněna příčina rizika) je z pohledu zachování dostupnosti služby mít k dispozici jeden plně identický (jak z pohledu SW, tak z pohledu HW) počítač, který je technik schopen v případě problému vyměnit „kus za kus“, čímž sice dojde k prostoji, ale není nutné problém analyzovat a řešit přímo na místě. Obdobně zajištění pravidelného zálohování/archivace dat z počítače je vhodným preventivním opatřením pro rychlé obnovení dat v případě, kdy hrozí nedostupnost služby. V prvním případě řešíme následující problémy (navržena proaktivní řešení): 5 1) přepětí, podpětí – kolísání napětí se obvykle řeší předřazení zařízení typu UPS před daný počítač, resp. přímo vestavění baterií do zařízení (nap. KUKA roboty) – a to i vícezónově. 2) v případě kritických síťových komponent je to zdvojení zdrojů počítače, zdvojení všech příchozích tras, a případě i zdvojení dodavatelů energie (na úrovni velkých továren se obvykle řeší pořízením generátoru elektrické energie, který, 4

DNS – (Domain Name System) – systém doménových jmen (unikátní pojmenování PC v rámci dané oblasti datové sítě) 5 UPS – (Uninterruptable Power Supply) – náhradní zdroj energie, zpravidla dimenzovaný na omezenou dobu provozu přímo ze svých baterií SYSTÉMOVÁ INTEGRACE 2/2012

87

Jan Drtil

zásobovaný naftou, dokáže zpravidla překlenout krátkodobý výpadek některé části provozu do doby, než je zásobování elektrickou energií obnoveno). Ve druhém případě je proaktivním řešením (pokud to technologie dovoluje) instalovat počítač na jiné místo (např. do technologické místnosti), resp. uklízet (což může být v provozu problematické), nebo zařízení v pravidelných intervalech vyměňovat, a z právě vyměněného (resp. z jeho zdroje) prach vysávat. Alternativně umístit PC pod 6 IP65 krytí (eliminuje mikročástice pouze částečně). Ve třetím případě lze preventivní ochranu zajistit přesunutím techniky na k tomu centrálně předurčené klimatizované místnosti (výpočetní sály), pokud jsou k dispozici, a pokud je to technicky možné. Pokud to možné není, je vhodné techniku umístit do boxu s vnitřním odsáváním (teplého vzduchu), případně nezávislou klimatizací, alternativně chladit jiným médiem než je vzduch (finančně velmi náročné). Ve čtvrtém případě je řešením nákup náhradního PC „na náhradní díly“ už v době pořízení technologie. Protože to není konečné řešení, a nákup použitého hardware z bazaru řeší problém pouze dočasně, je možné se pokusit hardware virtualizovat a emulovat (na novějším systému). Pokud lze technologii obnovit, a ještě existuje výrobce, jeví se jako vhodné opatření uzavřít na zařízení servisní smlouvu a pod hrozbou sankcí přesunout starost o obnovu zařízení na jeho dodavatele. Z průzkumu nicméně vyplynulo, že v případě výrobních technologií výše uvedené postupy naráží na servisní podmínky dodavatele (např. větší dodavatelé zakazují pod hrozbou odebrání garancí jakoukoliv formu vnějšího zásahu do technologie). Díky tomu, že některou techniku už nelze koupit, nutí dodavatel ke kompletní výměně technologie za novější. V pátém případě lze ochranu rozdělit na hardwarovou a softwarovou. Hardwarově je nejlepší ochranou plechový kryt na PC, ze kterého vede pouze kabel ke klávesnici a ideálně i monitor je v krytu, případně je do něj vestavěný. Kryt je na zámek, a klíč od něj má pouze kvalifikovaná obsluha – údržbář. Softwarová ochrana spočívá v tom, vhodnou softwarovou konfigurací minimalizovat možnosti obsluhy jakkoliv zasáhnout 7 do nastavení zařízení (např. blokací na úrovni BIOSu a operačního systému, zakázat připojení výměnných médií, přístupy do konfigurace chránit heslem/jiným způsobem).

3.1.2

Připojené / propojené počítače

Z pohledu doby trvání připojení se může jednat o následující situace:



Dočasné připojení

Při dočasném připojení je riziko sice menší, než při trvalém, navíc je zpravidla omezeno typem použitého přenosového protokolu a kapacitou linky, nicméně teoreticky může dojít i zde k nahrání škodlivého kódu, průmyslové špionáži, nebo cílené sabotáži.

6

IP65 – (Ingress Protection) – úroveň ochrany elektrospotřebiče proti vniknutí cizího tělesa, nebo kapalin). Definováno standardem IEC 60529 7 BIOS – Basic Input Output System – (firmware) – obslužný SW k HW PC dodávaný jeho výrobcem 88

SYSTÉMOVÁ INTEGRACE 2/2012

Informační bezpečnost technologických počítačů



Trvalé připojení

Jestliže je potřeba, aby technologický počítač zůstal trvale připojen k datové sítě, je potřeba přijmout preventivní opatření jak z pohledu počítače samotného, tak z pohledu datové sítě. V předchozí sekci byly vyjmenovány tyto 4 typické okruhy rizik 1. nahrání škodlivého kódu (počítačového viru) do počítače 8 2. (ne)úmyslné útoky odepřením služby (DoS ) 3. průmyslová špionáž 4. cílená sabotáž Všechny okruhy souvisí s architekturou software na PC a architekturou připojení PC k datové síti. Architektura software na PC Protože technologické aplikace zpravidla nemají možnost aplikační kontroly používané komunikace, jsou k dispozici pouze 3 vrstvy ochrany: a) ochrana operačního systému (jako takového) b) antivirová ochrana c) ochrana PC jako celku Schematicky lze architekturu PC z pohledu jednotlivých vrstev – komponent (2. sloupec) a komunikačních vrstev (3. sloupec) znázornit např. následujícím způsobem (viz Obrázek č. 1)

Obr. č. 1: Schéma komunikace dvou počítačů – ve vrstvách. Zdroj: Autor Ochrana operačního systému Operační systém (na obr. č. 1 vrstva „Software“) lze chránit tím, že na PC pravidelně instalujeme aktualizace operačního systému, které vydává jeho výrobce (např. firma Microsoft pravidelně na svoje produkty jednou měsíčně uvolňuje tzv. „záplaty“). Vhodným preventivním opatřením je rovněž nespouštět na PC nepotřebné síťové služby, které představují vstupní bránu pro útok škodlivého kódu. Podle verze operačního systému lze na úrovni implementace síťových služeb lze zapnout tzv. firewall (v některých systémech již od výrobce, v jiných lze dokoupit), což je SW blokující vybrané typy komunikace. Je rovněž možné ve vlastnostech síťové komunikace v rámci operačního systému nastavovat do velké granularity akceptované typy spojení a množství akceptovaných síťových paketů. Z průzkumu zabezpečení technologických počítačů vyplynulo v této souvislosti to, že výrobci technologií nejsou zpravidla ochotni akceptovat změnu „podkladového“ 8

DoS – (Denial of Service) – útok odepřením služby

SYSTÉMOVÁ INTEGRACE 2/2012

89

Jan Drtil

operačního systému pro jejich aplikační nadstavbu. Standardní přístup je takový, že garantují to, co bylo předmětem dodávky. Problémem nejsou ani tak nová rozšíření operačního systému, ale to, že pokud se (v budoucnosti) nějakou záplatou operačního systému změní např. framework, na kterém stojí jejich aplikace (což není nikdo schopen dopředu odhadnout, natož otestovat), za těchto podmínek nejsou schopni ani ochotni držet podporu pro svoje aplikace. To je přístup všech velkých výrobců (SIEMENS, KUKA, GE Fanuc a další). Tento přístup navíc neplatí pro výrobní technologie, ale i pro simulační a testovací technologie (např. software pro kontrolu elektroniky CANoe firmy Vector Informatik GmbH, dataloggery firem GIN a IAV a další). Vybraní velcí výrobci (KUKA) nabízejí sice možnost záplatovat svoje technologie vlastními technologickými prostředky, ale pouze na základě vlastního uvážení, což nedává prostor ke vnější kontrole toho, jestli bylo postupováno opravdu svědomitě. Antivirová ochrana Antivirovou ochranou (na obr. č. 1 mezivrstva mezi vrstvami „Operační systém“ a „Aplikace/Data“) se rozumí instalace a automatická pravidelná aktualizace software s databází škodlivého kódu, který kontroluje komunikaci mezi operačním systémem a všemi aplikacemi a prohledává ji z pohledu výskytu škodlivého kódu. Z průzkumu zabezpečení technologických počítačů vyplynulo v této souvislosti to, že výrobci technologií jsou, jsou-li o to v rámci výběrového řízení včas požádáni, v drtivé většině případů buď dodat vlastní antivirové řešení (např. firma KUKA), nebo otestovat a akceptovat nasazení řešení třetí strany. Je nicméně pravdou, že i zde existuje řada případů, kdy technologie není slučitelná s během antivirového řešení – z novějších např. vybrané technologie firmy Pepperl+Fuchs, ze starších jakákoliv proprietární řešení, která dnes běží např. stále v prostředí operačního systému Windows 95. Ochrana PC jako celku Ochrana PC jako celku (na obr. č. 1 v podstatě sloučené vrstvy „Operační systém“ a „Aplikace/Data“) – pokud z nějakého důvodu nelze použít výše uvedené alternativy, a přesto je potřeba PC připojit do datové sítě a ochránit, existuje software (z pohledu operačního systému tzv. nízkoúrovňový), který umožňuje „sejmout“ otisk počítače, tak jak je, „zamrazit“ jeho konfiguraci a velikosti spustitelných souborů, a následně zkoumat, zdali se nově příchozí kód náhodou nepokouší obsah PC změnit, a takovou možnost blokuje. Dochází tedy k „zakonzervování“ software na PC. Architektura připojení PC k datové síti Díky soudobému propojování technologických sítí s datovými sítěmi pro „kancelářské“ použití, a těch zase s internetem, mohlo by schéma úplně nezabezpečené datové sítě schematicky vypadat např. takto (viz Obrázek č. 2):

90

SYSTÉMOVÁ INTEGRACE 2/2012

Informační bezpečnost technologických počítačů

Obr. č. 2: Úplně otevřená datová síť se základní segmentací. Zdroj: Autor Typickou pro tuto síť je naprostá otevřenost, každý prvek datové sít může komunikovat s každým, a to včetně technologických PC po všech portech a protokolech. Jestliže chceme v tomto scénáři provést základní zabezpečení, výsledné schéma se musí změnit a pokrýt všechna rizika pojmenovaná výše. Výsledné schéma může vypadat např. takto (viz Obrázek č. 3):

SYSTÉMOVÁ INTEGRACE 2/2012

91

Jan Drtil

Obr. č. 3: Návrh zabezpečení datové sítě. Zdroj: Autor Změny, které se udály, byly následující: 1) mezi technologickou síť a intranet a intranet a internet byl vložen firewall, který je nastaven tak, aby propouštěl pouze explicitně vyžadovanou komunikaci, a to na přesně stanovené cíle, definovaným síťovým portem a komunikačním protokolem 2) v rámci technologické sítě byly vytvořeny dvě logické podsítě, které jsou složeny ze zařízení, které podporují stejný systém – tudíž komponenty se nemají šanci ovlivnit navzájem a v případě zavirování jedné skupiny ta neohrozí druhou. Tato zařízení smějí komunikovat jenom mezi sebou – to zajistí komponenta přepínače 9 s funkcí filtrování na 3. vrstvě modelu RM ISO/OSI 3) technologický firewall (firewall mezi technologickou sítí a intranetem) povolí pouze tu komunikaci, která je vedená adresně (žádné všesměrové vysílání, žádné 10 ohledávání portů přes protokol ICMP ), předem definovaným portem a protokolem a to jak do intranetu, tak z intranetu. 9

RM ISO/OSI – tzv. referenční model organizací ISO a OSI (Open Systém Interconnection) – v podstatě způsob jak zobrazit pomocí logických vrstvev předávání instrukcí mezi jednotlivými software v rámci jednoho PC 10 ICMP – „Internet Control and Management Protocol“ – komunikační protokol primárně určený k diagnostice funkčnosti datové sítě 92

SYSTÉMOVÁ INTEGRACE 2/2012

Informační bezpečnost technologických počítačů

Výše uvedeným rozdělením sítí na logické celky (za pomoci vlastností nabízených použitými síťovými zařízeními) a zamezení zbytné a nechtěné komunikace je (společně s opatřeními uvedenými v části architektura software na PC) možné výrazně omezit všechna 4 rizika vyjmenovaná v předchozí kapitole.

3.1.3

Ostatní rizika / propojené počítače

Z pohledu ostatních rizik je potřeba především zmínit nutnost dokladovat v případě softwarového auditu legální vlastnictví a užívání software. Toho lze docílit důsledným vymáháním a archivací faktur s výslovně uvedeným software, který byl součástí dodávky. Druhou část (unikátní IP adresa a DNS jméno) je potřeba řešit organizační normou/směrnicí s jasně stanovenou strukturou interně unikátního DNS jména a zodpovědností za stanovování IP adres (alternativně dynamickým přidělováním IP adres, pokud to technologie podporují a nebrání to komunikaci přes firewall). Průzkumem bylo zjištěno, že výrobci průmyslových systémů začínají po ne tak dávných bezpečnostních incidentech popsaných v úvodu (STUXNET) klást větší důraz na datovou bezpečnost. Příkladem může být firma SIEMENS, která pro tyto účely vyvinula průmyslový firewall řady SCALANCE S 60(xx), kterým se snaží řešit vybrané problémy svých průmyslových technologií.

4. Závěr V rámci tohoto příspěvku byla rámcově popsána největší současná rizika v oblasti informační bezpečnosti technologických počítačů z pohledu průmyslových podniků, a důvody, které vedly k tomu, že se právě tato rizika se vzrůstající mírou v realitě objevují a ohrožují leckdy i kritické infrastrukturní procesy a provozy. Byla charakterizována role technologických počítačů jako důležitých komponent, které zajišťují chod hlavních procesů velkých průmyslových podniků a byla shrnuta konkrétní rizika, kterým je v této oblasti, zejména v souvislosti s rostoucím propojováním technologických datových sítí, datových sítí pro běžné kancelářské počítače a komunikace přes internet. V rámci rozboru rizik byla navrhnuta konkrétní opatření, která umožní tato rizika minimalizovat. Je smutnou skutečností, že v tak dynamickém světě, jako je svět informačních technologií dodavatelé technologických celků většinou nejsou ochotni podporovat bezpečnostní opatření vedoucí k větší síťové bezpečnosti jimi dodávaných technologií. Kromě výše uvedených omezení ochrany u velkých výrobců (např. firma KUKA) bylo v rámci průzkumu zjištěno více než dalších 100 individuálních typů software, u kterých výrobce z důvodu zachování garancí nepodporuje některou (nebo více) forem výše navrženého zabezpečení. Proto je na tomto místě nutné složit hold mistrovství, hlubokým znalostem a osobní odvaze těch, kteří se o ně dnes a denně v rámci svých pracovních povinností starají.

Literatura: CISCO Systems Inc. CISCO 2011 Annual Security Report. [online]. [cit. 2011-10-28] URL: < http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2011. pdf> (str. 28)

SYSTÉMOVÁ INTEGRACE 2/2012

93

Jan Drtil

Computer Security Institute. 2010/11 CSI Computer Crime and Security Survey. [online]. [cit. 2011-12-02] URL: < http://analytics.informationweek.com/abstract/21/7377/Security/research2010-2011-csi-survey.html> (str. 28) Hák, I. – Zelenka, J., 2005. Ochrana dat, škodlivý software. Gaudeamus. Hradec Králové ISBN 80-7041-594-0 ISO/IEC FDIS 27001:2005. ISO/IEC FDIS 27001:2005(E). Information technology Security techniques - Information security management systems - Requirements. International Standardisation Organisation. Geneva. 2005. 34 s. ISO/IEC 2005. ČSN ISO/IEC 27005 Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti 2009. informací. Praha: Úřad pro technickou normalizaci, metrologii a státí zkušebnictví, 52 s. Chien, E., O´Gorman, G., The Nitro Attacks. Stealing Secrets from the Chemical Industry. Symantec Corporation . [online]. [cit. 2011-10-28] URL: < http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepap ers/the_nitro_attacks.pdf> PONEMON INSTITUTE. Five countries: Cost of Data Breach. [online]. [cit. 2010-0713] URL: < http://www.ponemon.org/local/upload/fckjail/generalcontent/18/file/2010%20Global%2 0CODB.pdf> SYMANTEC. W.32 Stuxnet Dossier [online]. [cit. 2011-02-01] URL: < http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepap ers/w32_stuxnet_dossier.pdf >

JEL: L60, M15

94

SYSTÉMOVÁ INTEGRACE 2/2012