Přenos dat z řídícího systému stroje do cloudu vyžaduje připojení k Internetu, které je však náchylné ke kybernetickým útokům. Stroje s cloudovým připojením proto vyžadují zvláštní ochranu.
Před nástupem průmyslového internetu věcí komunikovaly řídicí systémy strojů - pokud vůbec - pouze mezi sebou nebo s nadřazenými systémy uvnitř firemní sítě. Přímé připojení k internetu bylo velmi vzácné. Výrobci strojů a provozovatelé neměli důvod se proto zabývat tématem kybernetické bezpečnosti.
„Ale to se mění,“ vysvětluje Andreas Hager, produktový manažer společnosti B&R. V řešeních IIoT se průmyslová PC a další hardware používají jako Edge zařízení s přímým připojením k internetu, což je vystavuje jako potenciální cíle pro hackery.
- Klíčová fakta
- Přenos dat bez bezpečnostních hrozeb
- SiteManager s integrovaným firewallem
- Automatické aktualizace na pozadí
DDoS Útoky
Hackeři mohou paralyzovat řídicí systémy, a tedy celé stroje, například tím, že je ochromí přehlcením požadavky. Toto je známé jako útok DDoS (Distributed Denial of Service): Hacker distribuuje útočné programy napříč takzvaným botnetem, který zahrnuje několik set až tisíc počítačů, smartphonů či tabletů, a účinně je ozbrojuje typicky nějakým druhem mallwaru. Na příkaz pak postižená zařízení bombardují řídicí systém stroje současně tolika požadavky, že vlivem zatížení selže a stroj se zastaví. Tento typ útoku se prokázal nedávno u jednoho výrobce mikroprocesorů.
Otevřené porty
Pro oboustrannou komunikaci s cloudem, je často nutné na řídicím systému otevřít porty. „Pokud je otevřen komunikační kanál mezi řídicím systémem a cloudem, jsou tyto porty otevřeným oknem pro hackery,“ vysvětluje Hager. To však není jediný problém. Zařízení, která jsou přímo připojena k internetu, musí být pravidelně aktualizována, aby se nově zjištěné mezery v zabezpečení průběžně odstraňovaly.
„Mnoho strojů přitom běží často nepřetržitě týdny či měsíce,“ poznamenává Hager. Aktualizace však lze nainstalovat pouze při zastaveném stroji. Po aktualizaci může být někdy dokonce nutné upravit aplikaci. "To je spousta práce a z dlouhodobého hlediska se nejedná o schůdné řešení."
Naštěstí existuje jednoduché řešení: řídicí funkce a komunikační funkce musí být od sebe vzájemně izolovány. Tímto způsobem není schopen DDoS útok proniknout dostatečně hluboko, aby ovlivnil řízení stroje. „V nejhorším případě můžete ztratit komunikaci s cloudem, ale stroj sám o sobě může pokračovat v činnosti,“ zdůrazňuje Hager.
B&R za tímto účelem představilo SiteManager. Zařízení má integrovaný firewall a plní všechny nároky pro kybernetickou bezpečnost, jako je například správa aktuálních cloudových certifikátů a aplikace softwarových záplat k odstranění slabých míst v zabezpečení.
Cloudové připojení
Pro přenos dat do cloudu se řídicí systém spojuje se SiteManagerem přes OPC UA. Během konfigurace uživatel definuje, která data mají být přenášena. Je také možné přenášet různá data na více různých cloudových služeb. Konfigurace je záležitostí vyplnění zaškrtávacích políček ve webovém uživatelském rozhraní SiteManageru.
Při potřebě aktualizovat cloudový certifikát, nemusí obsluha stroje nic dělat.SiteManager automaticky stahuje a instaluje aktualizace, aniž by to ovlivnilo provoz stroje. Tím pádem jsou vždy a včas automaticky zajištěny bezpečnostní opatření cloudových poskytovatelů. Případné bezpečnostní mezery jsou tak rychle uzavřeny.
„Přítomnost SiteManageru mezi řídicím systémem a cloudem zajišťuje, že veškerá data přenášená mezi strojem a aplikacemi mimo podnikovou síť jsou chráněna před neoprávněným přístupem.“ Andreas Hager, produktový manažer řídicích systémů, B&R
Zabezpečená vzdálená správa
„Bezpečnostní požadavky na vzdálenou údržbu jsou velmi podobné požadavkům na cloudovou komunikaci,“ vysvětluje Hager. SiteManager je proto také dokonale vhodný i pro tento účel.
Zařízení umožňuje servisním technikům připojit se k řídícímu systému stroje pomocí zabezpečeného připojení VPN a diagnostikovat či upravovat vzdáleně software stroje. Systém správy uživatelů navíc poskytuje jasně definovanou a odolnou kontrolu nad tím, kteří technici mají přístup k vybraným strojům. "S technikem na místě je pak možné zahájit cílený proces odstraňování problémů," říká Hager. „SiteManager zajišťuje, že veškerá data přenášená mezi strojem a aplikacemi mimo podnikovou síť jsou chráněna před neoprávněným přístupem a kybernetickými útoky.“
Autor Carmen Klingler-Deiseroth, žurnalista na volné noze.
Vysoký výpočetní výkon
Edge computing je metoda sběru velkého objemu dat v blízkosti zdroje, tudíž je lze komprimovat a agregovat před jejich předáním do systémů vyšších úrovní. Spojení mezi systémy reálného času na úrovni strojů a procesů (OT = Operational Technology) a světem IT, je známo jako Edge zařízení. B&R nabízí tři různé typy Edge zařízení pro pokrytí všech aplikací: Edge Controller, Edge Embedded a Edge Connect.
B&R SiteManager je k dispozici ve třech variantách, které poskytují připojení k internetu přes LAN, WLAN nebo mobilní síť. Všechny tři varianty jsou vybaveny integrovaným firewallem. Aby nedocházelo ke konfliktům s firewally výrobního podniku, je komunikace s internetem prováděna pomocí šifrovaných webových protokolů kompatibilních s podnikovou bránou firewall.
Kromě tří hardwarových variant SiteManageru existuje také softwarová verze, která umožňuje kombinovat SiteManager a řídící systém do jednoho zařízení. To je možné díky použití B&R Hypervisoru sloužícího k instalaci dvou operačních systémů na jedno průmyslové PC. Operační systém reálného času pro řízení stroje a systém Linux nebo Windows pro běh SiteManageru. Oba operační systémy běží na sobě zcela nezávisle. I kdyby byl SiteManager zablokován útokem nebo by došlo ke zhroucení operačního systému pro všeobecné účely (Windows/Linux), řízení stroje by zůstalo nedotčeno.