Powerlink odporny na włamania

Industry 4.0, szeroko popularyzowany, rewolucyjny projekt przemysłowy oparty na Internecie przedmiotów (Internet of Things) dodatkowo zwiększy zapotrzebowanie na szybkie, otwarte sieci przemysłowe. Jednak wielu producentów nie pali się do podłączania swoich maszyn i urządzeń produkcyjnych do sieci zewnętrznych, nie wspominając już o usługach w chmurze - stoi za tym strach przed hakerami i złośliwymi atakami mogącymi wstrzymać produkcję. Pomimo to, istnieje już sieć przemysłowa zapewniająca wysoką prędkość i bezkompromisową otwartość, której architektura chroni przed koniecznością stosowania zewnętrznych zabezpieczeń. Ta sieć to POWERLINK.

Trzydzieści lat temu, wirusami zwaliśmy mikroorganizmy powodujące choroby, koń trojański był podarunkiem z mitologii greckiej, a słowo "malware" nawet jeszcze nie istniało. Wiele się jednak zmieniło i teraz bezpieczeństwo cyfrowe to dla firm na całym świecie istotne zagadnienie. Co więcej, ataków hakerów obawiają się już nie tylko pracownicy biur, od lat narażeni na poważne szkody i borykający się ze skutkami ataków cybeprzestępców.

Pomimo, że korzyści płynące ze zwiększonej wydajności są oczywiste, firmy niechętnie podłączają oparte na architekturze PC komponenty układów automatyki maszyn i urządzeń przemysłowych do internetu, dla celów diagnostycznych, konserwacji, aktualizacji i innych usług. "To całkowicie zrozumiałe, ponieważ jakiekolwiek przestoje w produkcji skutkują stratami", mówi Stefan Schönegger, dyrektor zarządzający Ethernet POWERLINK Standardization Group (EPSG).. "Działający na wysoce konkurencyjnych rynkach producenci niełatwo godzą się na to, by poufne dane produkcyjne mogły się znaleźć w rękach obcych osób."

1. To kwestia protokołu

Bezpieczeństwo systemów ICS i SCADA to od ponad dekady bardzo istotna kwestia, ale po odkryciu wirusa Stuxnet w roku 2010, wirusa DuQu w roku 2011 i wirusa Shamoon w roku 2012 (czyli wirusów atakujących przemysłowe systemy sterowania), sprawa stała się jeszcze poważniejsza. W październiku 2013 roku organizacja RISI (Repository for Industrial Security Incidents) opublikowała roczny raport incydentów związanych z cyberbezpieczeństwem i omawiający trendy mające wpływ na przemysłowe systemy sterowania. Raport zawiera dokładną analizę 240 incydentów zarejestrowanych w bazie RISI w latach 2001-2012 oraz szczegółową analizę wyników drugiego rocznego badania wzorcowego bezpieczeństwa systemów sterowania. Stwierdza się tam, że 33% wszystkich incydentów związanych z usługą ICS miało miejsce poprzez dostęp zdalny; z danych wynika również, że w ostatnich latach znacznie wzrosła liczba zgłaszanych incydentów związanych z bezpieczeństwem cyfrowym, w niektórych obszarach przemysłu nawet o ponad 150%.

Hakerzy i twórcy oprogramowania malware zyskują dostęp do indywidualnych komputerów poprzez internet, wykorzystując do tego unikalne adresy IP komputerów. Ponieważ taki sposób adresowania stosuje się też w protokołach TCP i UDP (które jednocześnie są najpopularniejszymi protokołami komunikacyjnymi w sieciach LAN), atakujący uzyskują bezpośredni dostęp do sprzętu działającego w sieciach wewnętrznych, nawet jeśli urządzenia te nie są bezpośrednio połączone z Internetem.

Podzespoły maszyn produkcyjnych są podłączone poprzez protokół fieldbus lub, coraz częściej, jeden z aktualnie dostępnych przemysłowych protokołów Ethernet. Poszczególne standardy różnią się znacząco sposobem adresowania węzłów i przesyłania danych. Niektóre z nich nadal wykorzystują, w niezmienionej formie, protokół TCP/IP. W związku z tym, producenci układów automatyki i dostawcy przemysłowych rozwiązań teleinformatycznych wspierających te standardy, zajmują się tym problemem oferując koncepcje bezpieczeństwa wykorzystujące przemysłowe, sprzętowe zapory ogniowe chroniące oparte na protokole Ethernet sieci, eksploatowane w działach produkcyjnych.

2. Wbudowana zapora ogniowa.

Inne przemysłowe protokoły Ethernet, szczególnie te odpowiadające za działania wykonywane w czasie rzeczywistym, wykorzystują modele komunikacji typu master-slave dla potrzeb przesyłania większości danych, a komunikację TCP/IP jedynie do przesyłu danych w standardowej warstwie protokołu Ethernet w ramach systemu. Niektóre z tych modeli wykorzystują warstwy niestandardowe, co może w przyszłości stanowić potencjalne źródło niekompatybilności. Istnieją jednak przemysłowe protokoły sieciowe Ethernet, które są nie tylko zbudowane na bazie warstw Ethernet, certyfikowanych zgodnie ze standardem IEEE 802.3, ale które dla potrzeb komunikacji w czasie rzeczywistym wykorzystują także warstwy komunikacji deterministycznej.

Aby uzyskać maksymalną wydajność, protokół POWERLINK został oparty bezpośrednio na standardzie IEEE 802.3 Ethernet MAC. Stos TCP/IP znajduje się na warstwie łączy danych POWERLINK, co gwarantuje wbudowaną ochronę działających w czasie rzeczywistym warstw komunikacyjnych POWERLINK.

Jedną z najbardziej godnych uwagi technologii wykorzystujących tę architekturę jest POWERLINK, gdzie izochroniczny przesył danych odbywa się dzięki połączeniu przedziałów czasowych i procedur odpytywania. Sposób, w jaki węzeł nadrzędny adresuje węzły sterowane mogą konfigurować deweloperzy oprogramowanie, wykorzystując do tego celu odpowiednie narzędzia, jednak sposób ten nie będzie jasny dla innych jednostek sieci. "Ponieważ nie ma absolutnie żadnego sposobu, by użytkownicy mogli uzyskać dostęp do szczegółowych danych konfiguracyjnych sieci w czasie, gdy system pracuje, eliminuje potrzebę stosowania w samym systemie określonych zabezpieczeń przed niepożądanymi manipulacjami", wyjaśnia Pan Schönegger.

3. Całkowita izolacja danych ogólnych.

Każdy cykl komunikacyjny protokołu POWERLINK składa się z trzech faz. W fazie wstępnej węzeł nadrzędny wysyła komunikat synchronizujący do wszystkich węzłów kontrolowanych; stanowi to przygotowanie do izosynchronicznej wymiany danych, odbywającej się w drugim, cyklicznie wykonywanym etapie. Faza trzecia jest fazą asynchroniczną, podczas której dane użytkownika i pakiety TCP/IP wysyłane są przez sieć. Wbudowane routery w bezpieczny i przejrzysty sposób rozdzielają dane czasu rzeczywistego i dane asynchroniczne; w innym przypadku zagrożona byłaby odbywająca się w czasie rzeczywistym praca całego systemu. Dzięki temu, nawet jeśli szkodliwe oprogramowanie malware zostałoby zainstalowane bezpośrednio w sieci, pozostałoby ono całkowicie odizolowane.

Faza trzecia jest fazą asynchroniczną, podczas której dane użytkownika i pakiety TCP/IP wysyłane są przez sieć. Wbudowane routery w bezpieczny i przejrzysty sposób rozdzielają dane czasu rzeczywistego i dane asynchroniczne; w innym przypadku zagrożona byłaby odbywająca się w czasie rzeczywistym praca całego systemu. Dzięki temu, nawet jeśli szkodliwe oprogramowanie malware zostałoby zainstalowane bezpośrednio w sieci, pozostałoby ono całkowicie odizolowane.

Również hakerzy i złośliwe oprogramowanie malware atakujące z zewnątrz nie mają żadnych, realnych szans naruszenia integralności sieci POWERLINK, ponieważ mogą przedostać się jedynie na przeciwną stronę sterownika działającego jako węzeł zarządzający sieci. Ponieważ nie można dopuścić, by ataki przedostawały się poprzez sieć przemysłową do warstw komunikacyjnych TCP/IP, najrozsądniejszym wyjściem jest ochrona linii zewnętrznych za pomocą odpowiedniej zapory ogniowej umieszczonej nie po stronie POWERLINK routera. Niemniej jednak, warstwy komunikacji POWERLINK w czasie rzeczywistym są chronione wewnętrznie i nie muszą polegać na takich zabezpieczeniach.

4. Wysoka prędkość, wysoka dostępności wysoki poziom ochrony.

Znaczny udział w zapewnieniu niezrównanego poziomu bezpieczeństwa protokołu POWERLINK ma fakt, że jest to oprogramowanie typu open source. Kod źródłowy stosu oraz wszelkie jego modyfikacje są często weryfikowane przez członków społeczności. To nie tylko świetny sposób przeciwdziałania problemom bezpieczeństwa - wykrywanym i eliminowanym na długo, zanim mogłyby one wyrządzić szkody - ale również skuteczne ochrona przed atakami typu backdoor.

"Ponieważ w swojej wczesnej fazie, dla uzyskania zaawansowanej i możliwej do utrzymania wydajności, projekt Industry 4.0 opiera się na Internecie rzeczy, zakłady przemysłowe potrzebują mechanizmów komunikacji przemysłowej, które są nie tylko szybkie i otwarte, ale również charakteryzują się wysoką dostępnością," objaśnia Stefan Schönegger. "Wysoka prędkość niezależnie od wielkości sieci, całkowita otwartość, wysoka tolerancja zakłóceń elektrycznych, redundancja linii i węzłów nadrzędnych oraz "wbudowana" ochrona skutecznie zatrzymująca ataki - POWERLINK spełnia wszystkie te kryteria."