Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Case study: Separacja i ochrona sieci IT/OT w branży Wod-Kan

Case study: Separacja i ochrona sieci IT/OT w branży Wod-Kan

Cel: wdrożenie rozwiązania w zakresie bezpieczeństwa sieci, które skutecznie oddziela i zabezpiecza sieci operacyjne (OT) od sieci informatycznych (IT) w wielu lokalizacjach, takich jak przepompownie i ujęcia wody. Projekt zrealizowali specjaliści Stormshield. 

Separacja sieci przedsiębiorstwa wodociągowego 

Klient prowadzi działalność w różnych lokalizacjach miasta i okolic, w tym w przepompowniach ścieków, zakładach uzdatniania wody i ujęciach wody. Miejsca te są wyposażone w przemysłowe systemy sterowania przez programowalne sterowniki logiczne (PLC) do zarządzania krytycznymi procesami. Bezprzerwowa funkcjonalność ma tu kluczowe znaczenie. Konwergencja sieci IT i OT naraża organizację na potencjalne cyberzagrożenia i ryzyko. 

Utrzymanie nieprzerwanych procesów produkcyjnych w środowisku przemysłowym przy jednoczesnym zapewnieniu bezpieczeństwa i zgodności sieci jest trudnym przedsięwzięciem. Konieczne jest uniknięcie przestojów pomp produkcyjnych i minimalizacja zmian w konfiguracji sieci.

Wdrożenie firewalli i strategia segmentacji sieci

Strategia wdrożenia obejmowała wdrożenie firewalli Stormshield SNi20 na obrzeżach każdej z sieci OT. Wybór lokalizacji tych zapór został oparty na rygorystycznej ocenie ryzyka i działających już połączeniach sieciowych. Urządzenia firewall zostały umieszczone jak najbliżej urządzeń automatyki przemysłowej i często montowane na tej samej szynie DIN co sterowniki PLC. 

Takie podejście ułatwia szybkie wykrywanie zagrożeń i reagowanie na nie, minimalizując powierzchnię ataku i maksymalizując ochronę infrastruktury przemysłowej. Kontrola odbywa się w ramach standardowych prac konserwatorskich i nastawczych. 

Pierwszorzędne znaczenie ma autoryzacja pracowników z użyciem istniejących już mechanizmów Active Directory i integracji poprzez mechanizm SSO. Następnie monitorowane i zapisywane są wszystkie działania w ramach protokołów przemysłowych, które są przepuszczone na urządzeniach. Zdarzenia są rejestrowane w centralnym systemie SIEM. Całość jest zarządzana z centralnego systemu Stormshield Management Center.

Aby sprostać wyzwaniu bezprzerwowego wdrożenia w istniejącej sieci, zaproponowano rozwiązanie, które koncentruje się na segmentacji sieci z wykorzystaniem funkcjonalności bridge, jednocześnie minimalizując zmiany w istniejącej infrastrukturze sieciowej. Podejście to opiera się na wykorzystaniu mostu między interfejsami do segmentacji, w połączeniu z kompleksową polityką bezpieczeństwa i dogłębną analizą protokołów dostosowaną do konkretnych protokołów przemysłowych używanych w różnych segmentach sieci oraz odrzucaniem całości niepożądanego ruchu sieciowego.

Priorytet: ochrona danych osobowych

Istotnym kontekstem projektu była konieczność zgodności  z zasadami ochrony danych osobowych. Aby dostosować się do wytycznych ogólnego rozporządzenia o ochronie danych (RODO), dane osobowe, takie jak nazwy użytkowników, źródłowe adresy IP, adresy MAC i nazwy hostów, nie były prezentowane w dziennikach i raportach. 

Zamiast tego zostały one zanonimizowane w celu zachowania prywatności użytkowników. Dostęp do tych dzienników ograniczony jest do upoważnionego personelu, zapewniając zgodność z przepisami o ochronie danych.

W ramach wdrożenia zdecydowano się także na zwiększoną ochronę systemów SCADA. Oprócz fizycznych zapór brzegowych (firewall), firma partnerska wdrożyła zwirtualizowaną zaporę firewall bezpośrednio przed systemem SCADA, który działa w prywatnej chmurze wykorzystującej farmę serwerów. 

Zapora Elastic Virtual Appliance (EVA) została wdrożona na platformie serwerowej z wykorzystaniem wirtualizatora HyperV, zapewniając dodatkową warstwę ochrony dla systemów kontroli nadzorczej i akwizycji danych (SCADA). Takie podejście zapewniło, że krytyczna infrastruktura kontrolująca procesy przemysłowe pozostała chroniona przed potencjalnymi zagrożeniami cybernetycznymi, zarówno z Internetu, ale również z sieci wewnętrznej.

Autoryzowanie ruchu sieciowego następuje poprzez weryfikację dostępu do sterowników PLC. Z kolei dopasowanie sprzętu do specyfiki przemysłu wod-kan było związane z uwzględnieniem szeregu specyficznych ograniczeń fizycznych (wysoka wilgotność, szeroki zakres temperatur itp.). Zastosowanie sprzętu SNi20 umożliwiło spełnienie wielu ograniczeń środowiskowych. 

Wyniki wdrożenia

Projekt wstępny i wykonawczy, realizacja, dokumentacja powykonawcza i testy funkcjonalne były przeprowadzane pod nadzorem i przy współudziale certyfikowanego inżyniera systemowego Aleksandra Kostucha, ze Stormshield. Czas realizacji wyniósł około miesiąca. Wdrożone rozwiązanie z powodzeniem osiągnęło główne cele projektu w obszarach:

  1. Separacji - skutecznie oddzielono sieci OT od sieci IT przy pomocy firewalli SNi20, minimalizujące ryzyko zagrożeń z wewnętrznej sieci IT. Zamiast wprowadzać znaczące zmiany w topologii sieci, rozwiązanie Stormshield wykorzystuje interfejsy w konfiguracji bridge do segmentacji. Technika ta pozwala na izolację różnych segmentów przy jednoczesnym zachowaniu ogólnej struktury sieci. Ogranicza to zakres wymaganych modyfikacji, zmniejszając tym samym ryzyko zakłóceń operacyjnych.

  2. Centralizacji - każdy firewall w konfiguracji bridge pomimo wspólnych cech ma niestandardową politykę bezpieczeństwa, która kontroluje dostępy do wyznaczonych zasobów w segmencie. Polityka ta zapewnia, że tylko autoryzowane urządzenia i podmioty mogą wchodzić w interakcje z krytycznymi zasobami, minimalizując potencjalną powierzchnię ataku. Dzięki wykorzystaniu SMC, zmiennych i możliwości oskryptowania łatwo zarządzać, zmieniać politykę i aktualizować centralnie wszystkie podłączone firewalle SNi20 i EVA, pomimo, że cechuje je indywidualna polityka w każdej lokalizacji.

  3. Bezpieczeństwa - monitorowanie w czasie rzeczywistym przy pomocy systemu SIEM i scentralizowane zarządzanie firewallami brzegowymi przy pomocy SMC ułatwiło szybkie wykrywanie zagrożeń i reagowanie na nie oraz rekonfigurację.

  4. Zgodności z przepisami — anonimizacja danych osobowych zgodnie z wytycznymi RODO zapewniła zgodność z przepisami dotyczącymi prywatności danych.

  5. Ulepszonej ochrony SCADA — rozwiązania wirtualne firewall EVA dodały dodatkową warstwę zabezpieczeń do systemów SCADA.

  6. Niezawodności – zastosowane firewalle mają możliwość funkcji bypass, która oznacza, że nawet w przypadku restartu urządzenia, na przykład podczas załadowywania nowego oprogramowania układowego firmware, transmisja działa bez przerwy.

Zabezpieczenie krytycznej infrastruktury wodociągowej

W efekcie wdrożenia krytyczna infrastruktura wodociągowa jest chroniona przed potencjalnymi cyberzagrożeniami, zapewniając nieprzerwane działanie gospodarki wodnej i procesów oczyszczania ścieków. Kompleksowe podejście do bezpieczeństwa, od fizycznych zapór sieciowych po zwirtualizowaną ochronę systemów SCADA, zapewnia solidny mechanizm obrony przed ewoluującymi zagrożeniami cybernetycznymi w środowisku przemysłowym.

Firewalle, które zarządzają bezpiecznym dostępem w sieci wod-kan wykonują głęboką analizę protokołów komunikacyjnych używanych w przemyśle, takie jak Modbus TCP, Profinet, OPC, ale również Softbus i Lacbus. Narzędzia do analizy bieżącego ruchu sieciowego pod kątem anomalii używając głębokiej analizy pakietów.

W obszarze głębokiej analizy protokołów przemysłowych OT, urządzenia Stormshield, zarówno SNi20 jak i maszyny wirtualne EVA potrafią również rozpoznać i odczytać adresacje, kody w innych protokołach charakterystycznych dla sieci OT, jak: UMAS, Siemens S7, EtherNet/IP, CIP, OPC UA, OPC (DA/HDA/AE), BACnet/IP, IEC 60870-5-104, IEC 61850-3.

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa