Cyberbezpieczeństwo w kontekście programowania sterowników PLC
Cyberbezpieczeństwo sterowników PLC to temat rzeka. Opisanie tego zagadnienia w sposób zwięzły jest zadaniem trudnym, ale dla chcącego nic trudnego!
Przede wszystkim, dobre praktyki w zakresie cyberbezpieczeństwa PLC wymagają skupienia na trzech obszarach: systemie operacyjnym, interfejsach sieciowych i kontroli dostępu użytkowników.
System operacyjny
Gdy się decydujemy na wykorzystywanie systemu operacyjnego typu open source, zamiast typu zamkniętego, specjalnie przystosowanego do specyfiki pracy sterowników PLC, powinniśmy zwrócić uwagę na to czy jest on tworzony dla konkretnego urządzenia oraz czy zawiera tylko wymagane pakiety. Muszą być one również cyfrowo podpisane przez dostawcę, a sam sterownik powinien akceptować tylko autoryzowane wersje takiego oprogramowania.
Interfejsy sieciowe
Ważne jest rozróżnienie pomiędzy siecią zaufaną a niezaufaną. Interfejsy sieciowe sterownika powinny być niezależne oraz nierutowalne. Powinniśmy otwierać tylko potrzebne porty i blokować wszystkie inne w przypadku interfejsów dla sieci zaufanych, a dla sieci niezaufanych, domyślne blokować wszystkie porty, oprócz bezpiecznego portu umożliwiającego uwierzytelnionym użytkownikom dostęp do kontrolera przy szyfrowaniu połączenia.
Prawidłowa konfiguracja sieci jest niezbędna. Powinna jednak iść w parze ze skuteczną kontrolą dostępu oraz przemyślanym przydzielaniem uprawnień.
Kontrola dostępu użytkowników
W sterownikach nie powinno się korzystać z domyślnej nazwy użytkownika, ani z hasła do żadnego innego z kont. Należy ustalić unikalne dane uwierzytelniające. Hasła muszą być silne, a uwierzytelnienie w celu skorzystania z systemu - obowiązkowe. W przypadku wycieku danych z uprawnieniami administratora lepiej zresetować sterownik PLC do ustawień fabrycznych, niż je zmieniać.
Liczba kont użytkowników powinna być ograniczona do niezbędnego minimum, a dobrym nawykiem powinno być wylogowywanie się z systemu w przypadku dłuższej nieaktywności.
Jeżeli wymagany jest zdalny dostęp do sterownika PLC przez Internet, należy komunikować się za pośrednictwem bezpiecznego portu z szyfrowaniem danych i kontrolą dostępu. Warto jest również rozważyć skorzystanie z sieci VPN.
Wiadomo jednak, że to człowiek jest najsłabszym ogniwem wszelkich zabezpieczeń urządzeń cyfrowych. To dlatego edukacja i uświadamianie pewnych kwestii w temacie cyberbezpieczeństwa jest tak bardzo istotne.
Artykuł wykorzystany do opracowania tekstu: https://automatykab2b.pl/technika/53828-cyberbezpieczenstwo-sterownikow-plc
Przede wszystkim, dobre praktyki w zakresie cyberbezpieczeństwa PLC wymagają skupienia na trzech obszarach: systemie operacyjnym, interfejsach sieciowych i kontroli dostępu użytkowników.
System operacyjny
Gdy się decydujemy na wykorzystywanie systemu operacyjnego typu open source, zamiast typu zamkniętego, specjalnie przystosowanego do specyfiki pracy sterowników PLC, powinniśmy zwrócić uwagę na to czy jest on tworzony dla konkretnego urządzenia oraz czy zawiera tylko wymagane pakiety. Muszą być one również cyfrowo podpisane przez dostawcę, a sam sterownik powinien akceptować tylko autoryzowane wersje takiego oprogramowania.
Interfejsy sieciowe
Ważne jest rozróżnienie pomiędzy siecią zaufaną a niezaufaną. Interfejsy sieciowe sterownika powinny być niezależne oraz nierutowalne. Powinniśmy otwierać tylko potrzebne porty i blokować wszystkie inne w przypadku interfejsów dla sieci zaufanych, a dla sieci niezaufanych, domyślne blokować wszystkie porty, oprócz bezpiecznego portu umożliwiającego uwierzytelnionym użytkownikom dostęp do kontrolera przy szyfrowaniu połączenia.
Prawidłowa konfiguracja sieci jest niezbędna. Powinna jednak iść w parze ze skuteczną kontrolą dostępu oraz przemyślanym przydzielaniem uprawnień.
Kontrola dostępu użytkowników
W sterownikach nie powinno się korzystać z domyślnej nazwy użytkownika, ani z hasła do żadnego innego z kont. Należy ustalić unikalne dane uwierzytelniające. Hasła muszą być silne, a uwierzytelnienie w celu skorzystania z systemu - obowiązkowe. W przypadku wycieku danych z uprawnieniami administratora lepiej zresetować sterownik PLC do ustawień fabrycznych, niż je zmieniać.
Liczba kont użytkowników powinna być ograniczona do niezbędnego minimum, a dobrym nawykiem powinno być wylogowywanie się z systemu w przypadku dłuższej nieaktywności.
Jeżeli wymagany jest zdalny dostęp do sterownika PLC przez Internet, należy komunikować się za pośrednictwem bezpiecznego portu z szyfrowaniem danych i kontrolą dostępu. Warto jest również rozważyć skorzystanie z sieci VPN.
Wiadomo jednak, że to człowiek jest najsłabszym ogniwem wszelkich zabezpieczeń urządzeń cyfrowych. To dlatego edukacja i uświadamianie pewnych kwestii w temacie cyberbezpieczeństwa jest tak bardzo istotne.
Artykuł wykorzystany do opracowania tekstu: https://automatykab2b.pl/technika/53828-cyberbezpieczenstwo-sterownikow-plc
