Wpisz czego szukasz
i kliknij enter

Virtual Access

Projekt: Zapewnienie łączności z obiektami energetycznymi – według wytycznych Dyrektywy NIS i zgodnie ze standardem IEC 62351

Cel projektu

Celem projektu było określenie mechanizmu cyberbezpiecznej komunikacji między obiektami, wybór właściwych urządzeń komunikacyjnych dla obiektów końcowych oraz rozpoczęcie procesu wdrożenia. Esencją zagadnienia była migracja techniki, w jakiej zapewniana była łączność między centrum operacyjnym Operatora Systemu Dystrybucyjnego a dziesiątkami wyniesionych stacji i podstacji energetycznych.

Kluczowym aspektem projektu było wykorzystanie wskazówek zawartych w unijnej Dyrektywie NIS i wybór odpowiedniego standardu dotyczącego cyberbezpieczeństwa przekazywania danych w energetyce i automatyce.

Tagi
  • automatyka
  • cyberbezpieczeństwo
  • energetyka
  • komunikacja
  • łącznośc
  • Standard IEC 62351
  • virtualaccess

Szczegóły projektu

Wyzwania projektowe

Operatorzy systemów transmisji danych w energetyce coraz mocniej i intensywniej muszą dbać o ochronę przed nieuprawnionym dostępem z zewnątrz sieci znajdującej się pod ich kontrolą. Ataki na infrastrukturę krytyczną już dawno przestały być przypadkowymi incydentami. Coraz częściej są to świadome i dobrze przygotowane działania o określonym celu. Jeśli nie zostaną powstrzymane lub ograniczone, ich konsekwencje mogą mieć szeroki wpływ na stabilność organizacji, jak i całego sektora.

W sierpniu 2016 roku w Unii Europejskiej weszła w życie Dyrektywa NIS, której celem jest osiągnięcie wysokiego wspólnego standardu bezpieczeństwa sieci i informacji we wszystkich państwach członkowskich. Przez kolejne 21 miesięcy państwa te działały nad skorelowaniem jej wymagań ze swoim prawem krajowym jak również nad określeniem spółek, które podlegają zgodności z dyrektywą.

Sektor energetyczny jest jednym z oczywistych obszarów, który znalazł się w zakresie wymagań stawianych przez Dyrektywę NIS i w konsekwencji przez ustawę o krajowym systemie cyberbezpieczeństwa.

Duża część automatyki i urządzeń jak również mechanizmów stosowanych w sieciach łączności pochodzi z czasów, gdy świadomość i wymagania dotyczące bezpieczeństwa przekazu informacji nie były tak wysokie. Co ciekawe, aspekt ten może dotyczyć nawet współczesnych protokołów opartych na sieciach LAN, takich jak IEC 60870-5-104 czy DNP3.

W związku z powyższym, konieczne jest wyposażenie zarówno starszych jak i obecnych protokołów komunikacyjnych w odpowiednie funkcje, które podniosą poziom cyberbezpieczeństwa i zapobiegną współczesnym zagrożeniom.

Rozwiązania i produkty

Jednym z pierwszych i podstawowych rozwiązań jest stosowanie mechanizmu VPN. Dość powszechne jest przekonanie „VPN = ochrona transmisji”. Niestety, jest to tylko część zagadnienia. Mechanizm wirtualnych sieci prywatnych służy – tylko i aż – do bezpiecznego transferu danych.

Aktualnie równie ważne jest zapewnienie poufności, integralności danych i uwierzytelniania. W jaki sposób można osiągnąć te cele, informuje standard IEC 62351. Wprowadzenie tej normy wnosi znaczący postęp w zakresie bezpieczeństwa sektora energetycznego i zapewnia rozwój bezpiecznych protokołów komunikacyjnych.

Zastosowanie rozwiązań obiektowych zgodnych ze standardem IEC 62351 pozwala wejść na nowy poziom: bezpieczeństwo operacyjne. Norma IEC 62351 pomaga użytkownikom i operatorom systemów krytycznych w osiągnięciu bezpieczeństwa obejmującego między innymi uwierzytelnianie przesyłania danych, zapewnianie tylko uwierzytelnionego dostępu, zapobieganie podsłuchiwaniu czy wykrywanie włamań.

Innymi słowy, mechanizmy uzyskane dzięki zgodności ze wskazanym standardem pozwalają na przykład określić kto i jaką operację może wykonać. Gdzie i skąd. Kiedy. Uwidaczniają także nietypowe lub niespodziewane działania i zachowania w sieci.

W ramach projektu bardzo ważnym elementem było właśnie wprowadzenie bezpiecznej komunikacji. Stan ten osiągnięto dzięki zastosowaniu rozwiązania, w którym brama obiektowa (na stacji lub podstacji) zapewnia połączenie „site-to-site” jako secure IEC 104.

Warto nadmienić, że nie jest to ‘tylko’ VPN przenoszący dane protokołu IEC 104 – co jest powszechnie możliwe do osiągnięcia. W rozwiązaniu zapewniającym zgodność ze standardem IEC 62351 istotne jest bezpieczne uwierzytelnianie (Secure Authentication). To, podkreślając raz jeszcze, wprowadza właśnie bezpieczeństwo operacyjne. Posługując się przykładem oznacza to, że tylko Jan Kowalski i Jan Nowak mogą wykonać dane polecenie przy danym wyłączniku na danym obiekcie.

Korzyści

Korzyści dla integratora
  • Wprowadzenie nowego poziomu cyberbezpieczeństwa – bezpieczeństwa operacyjnego
  • Zapewnienie integralności, autentyczności i poufności danych przekazywanych w ramach różnych protokołów łączności w systemach energetycznych
  • Możliwość określania funkcjonalnego uprawnień i wykonywanych czynności w sieci
  • Ochrona przed podsłuchiwaniem, zapobieganie odtwarzaniu i podszywaniu się oraz wykrywanie włamań
  • Zachowanie dotychczasowej struktury obiektów stacyjnych oraz opcjonalnie możliwość zachowania istniejącego systemu centralnego
  • Możliwość stopniowej i etapowej realizacji procesu migracji
  • Zgodność z unijną Dyrektywą NIS i ustawą o krajowym systemie cyberbezpieczeństwa

Zdaniem specjalisty

Zastosowana brama obiektowa (gateway) umożliwiła zbudowanie zgodnej ze standardem IEC 62351 cyberbezpiecznej architektury, która zapewnia szereg funkcji ochrony. W warstwie transportowej zapewnione zostało szyfrowanie przez zastosowanie technik IPSec lub TLS z możliwością użycia silnych algorytmów kryptograficznych jak AES256. Szyfrowany tunel chroni np. przed atakami typu man-in-the-middle. Kolejnym zabezpieczeniem jest wbudowany w bramę firewall, którego zadaniem jest zablokowanie złośliwego ruchu, łagodzenie skutków ataków DoS oraz logowanie informacji o połączeniach. Kolejną funkcją jest kontrola dostępu – lokalni i zdalni użytkownicy uzyskują dostęp jedynie po udanym uwierzytelnieniu i autoryzacji. Ważnym aspektem wielowarstwowej ochrony jest oczywiście ochrona fizyczna. Tu wykorzystywane są cyfrowe porty I/O bramy do sygnalizacji otwarcia szafy i w takim przypadku urządzenie może wysłać wiadomość kilkoma drogami: sms, email, SNMP oraz syslog. Cele i założenia projektowe zostały spełnione.

Marcin Skórka
Menadżer Projektów Cyberbezpieczeństwa i Automatyki

Pozostałe case studies

Branża spożywcza
Zabezpieczenie sieci OT w zakładzie produkcyjnym z branży spożywczej.

W dzisiejszym krajobrazie zagrożeń cybernetycznych, ochrona sieci operacyjnych (OT) ma kluczowe znaczenie dla firm z branży produkcyjnej. W niniejszym studium przypadku opisano, jak przeprowadzono ocenę bezpieczeństwa w wiodącym zakładzie w celu wzmocnienia jego cyberbezpieczeństwa i zapewnienia ciągłości produkcji.

Czytaj
Wydobycie i hutnictwo
Szkolenie specjalistyczne dla CMC

Szkolenie specjalistyczne z zakresu cyberbezpieczeństwa OT/ICS dla pracowników CMC odpowiedzialnych za kluczowy proces przedsiębiorstwa.

Czytaj
Zobacz więcej case studies
  • Zobacz wszystkie
    Produkty
    Oferujemy pełen wachlarz produktów zapewniających bezpieczeństwo i ciągłość pracy urządzeń do przemysłowej transmisji danych.
    Doradzamy i pomagamy wdrożyć konkretne rozwiązania.
    Zobacz wszystkie
  • Poznaj wszystkie usługi
    Usługi
    Świadczymy usługi doradcze i wdrożeniowe z zakresu sieci OT i cyberbezpieczeństwa przemysłowego.
    Zajmujemy się wsparciem technicznym oraz doborem rozwiązań dopasowanych do danej branży.
    Poznaj wszystkie usługi