Separacja sieci przedsiębiorstwa wodociągowego
Klient prowadzi działalność w różnych lokalizacjach miasta i okolic, w tym w przepompowniach ścieków, zakładach uzdatniania wody i ujęciach wody. Miejsca te są wyposażone w przemysłowe systemy sterowania przez programowalne sterowniki logiczne (PLC) do zarządzania krytycznymi procesami. Bezprzerwowa funkcjonalność ma tu kluczowe znaczenie. Konwergencja sieci IT i OT naraża organizację na potencjalne cyberzagrożenia i ryzyko.
Utrzymanie nieprzerwanych procesów produkcyjnych w środowisku przemysłowym przy jednoczesnym zapewnieniu bezpieczeństwa i zgodności sieci jest trudnym przedsięwzięciem. Konieczne jest uniknięcie przestojów pomp produkcyjnych i minimalizacja zmian w konfiguracji sieci.
Wdrożenie firewalli i strategia segmentacji sieci
Strategia wdrożenia obejmowała wdrożenie firewalli Stormshield SNi20 na obrzeżach każdej z sieci OT. Wybór lokalizacji tych zapór został oparty na rygorystycznej ocenie ryzyka i działających już połączeniach sieciowych. Urządzenia firewall zostały umieszczone jak najbliżej urządzeń automatyki przemysłowej i często montowane na tej samej szynie DIN co sterowniki PLC.
Takie podejście ułatwia szybkie wykrywanie zagrożeń i reagowanie na nie, minimalizując powierzchnię ataku i maksymalizując ochronę infrastruktury przemysłowej. Kontrola odbywa się w ramach standardowych prac konserwatorskich i nastawczych.
Pierwszorzędne znaczenie ma autoryzacja pracowników z użyciem istniejących już mechanizmów Active Directory i integracji poprzez mechanizm SSO. Następnie monitorowane i zapisywane są wszystkie działania w ramach protokołów przemysłowych, które są przepuszczone na urządzeniach. Zdarzenia są rejestrowane w centralnym systemie SIEM. Całość jest zarządzana z centralnego systemu Stormshield Management Center.
Aby sprostać wyzwaniu bezprzerwowego wdrożenia w istniejącej sieci, zaproponowano rozwiązanie, które koncentruje się na segmentacji sieci z wykorzystaniem funkcjonalności bridge, jednocześnie minimalizując zmiany w istniejącej infrastrukturze sieciowej. Podejście to opiera się na wykorzystaniu mostu między interfejsami do segmentacji, w połączeniu z kompleksową polityką bezpieczeństwa i dogłębną analizą protokołów dostosowaną do konkretnych protokołów przemysłowych używanych w różnych segmentach sieci oraz odrzucaniem całości niepożądanego ruchu sieciowego.
Priorytet: ochrona danych osobowych
Istotnym kontekstem projektu była konieczność zgodności z zasadami ochrony danych osobowych. Aby dostosować się do wytycznych ogólnego rozporządzenia o ochronie danych (RODO), dane osobowe, takie jak nazwy użytkowników, źródłowe adresy IP, adresy MAC i nazwy hostów, nie były prezentowane w dziennikach i raportach.
Zamiast tego zostały one zanonimizowane w celu zachowania prywatności użytkowników. Dostęp do tych dzienników ograniczony jest do upoważnionego personelu, zapewniając zgodność z przepisami o ochronie danych.
W ramach wdrożenia zdecydowano się także na zwiększoną ochronę systemów SCADA. Oprócz fizycznych zapór brzegowych (firewall), firma partnerska wdrożyła zwirtualizowaną zaporę firewall bezpośrednio przed systemem SCADA, który działa w prywatnej chmurze wykorzystującej farmę serwerów.
Zapora Elastic Virtual Appliance (EVA) została wdrożona na platformie serwerowej z wykorzystaniem wirtualizatora HyperV, zapewniając dodatkową warstwę ochrony dla systemów kontroli nadzorczej i akwizycji danych (SCADA). Takie podejście zapewniło, że krytyczna infrastruktura kontrolująca procesy przemysłowe pozostała chroniona przed potencjalnymi zagrożeniami cybernetycznymi, zarówno z Internetu, ale również z sieci wewnętrznej.
Autoryzowanie ruchu sieciowego następuje poprzez weryfikację dostępu do sterowników PLC. Z kolei dopasowanie sprzętu do specyfiki przemysłu wod-kan było związane z uwzględnieniem szeregu specyficznych ograniczeń fizycznych (wysoka wilgotność, szeroki zakres temperatur itp.). Zastosowanie sprzętu SNi20 umożliwiło spełnienie wielu ograniczeń środowiskowych.
Wyniki wdrożenia
Projekt wstępny i wykonawczy, realizacja, dokumentacja powykonawcza i testy funkcjonalne były przeprowadzane pod nadzorem i przy współudziale certyfikowanego inżyniera systemowego Aleksandra Kostucha, ze Stormshield. Czas realizacji wyniósł około miesiąca. Wdrożone rozwiązanie z powodzeniem osiągnęło główne cele projektu w obszarach:
Separacji - skutecznie oddzielono sieci OT od sieci IT przy pomocy firewalli SNi20, minimalizujące ryzyko zagrożeń z wewnętrznej sieci IT. Zamiast wprowadzać znaczące zmiany w topologii sieci, rozwiązanie Stormshield wykorzystuje interfejsy w konfiguracji bridge do segmentacji. Technika ta pozwala na izolację różnych segmentów przy jednoczesnym zachowaniu ogólnej struktury sieci. Ogranicza to zakres wymaganych modyfikacji, zmniejszając tym samym ryzyko zakłóceń operacyjnych.
Centralizacji - każdy firewall w konfiguracji bridge pomimo wspólnych cech ma niestandardową politykę bezpieczeństwa, która kontroluje dostępy do wyznaczonych zasobów w segmencie. Polityka ta zapewnia, że tylko autoryzowane urządzenia i podmioty mogą wchodzić w interakcje z krytycznymi zasobami, minimalizując potencjalną powierzchnię ataku. Dzięki wykorzystaniu SMC, zmiennych i możliwości oskryptowania łatwo zarządzać, zmieniać politykę i aktualizować centralnie wszystkie podłączone firewalle SNi20 i EVA, pomimo, że cechuje je indywidualna polityka w każdej lokalizacji.
Bezpieczeństwa - monitorowanie w czasie rzeczywistym przy pomocy systemu SIEM i scentralizowane zarządzanie firewallami brzegowymi przy pomocy SMC ułatwiło szybkie wykrywanie zagrożeń i reagowanie na nie oraz rekonfigurację.
Zgodności z przepisami — anonimizacja danych osobowych zgodnie z wytycznymi RODO zapewniła zgodność z przepisami dotyczącymi prywatności danych.
Ulepszonej ochrony SCADA — rozwiązania wirtualne firewall EVA dodały dodatkową warstwę zabezpieczeń do systemów SCADA.
Niezawodności – zastosowane firewalle mają możliwość funkcji bypass, która oznacza, że nawet w przypadku restartu urządzenia, na przykład podczas załadowywania nowego oprogramowania układowego firmware, transmisja działa bez przerwy.
Zabezpieczenie krytycznej infrastruktury wodociągowej
W efekcie wdrożenia krytyczna infrastruktura wodociągowa jest chroniona przed potencjalnymi cyberzagrożeniami, zapewniając nieprzerwane działanie gospodarki wodnej i procesów oczyszczania ścieków. Kompleksowe podejście do bezpieczeństwa, od fizycznych zapór sieciowych po zwirtualizowaną ochronę systemów SCADA, zapewnia solidny mechanizm obrony przed ewoluującymi zagrożeniami cybernetycznymi w środowisku przemysłowym.
Firewalle, które zarządzają bezpiecznym dostępem w sieci wod-kan wykonują głęboką analizę protokołów komunikacyjnych używanych w przemyśle, takie jak Modbus TCP, Profinet, OPC, ale również Softbus i Lacbus. Narzędzia do analizy bieżącego ruchu sieciowego pod kątem anomalii używając głębokiej analizy pakietów.
W obszarze głębokiej analizy protokołów przemysłowych OT, urządzenia Stormshield, zarówno SNi20 jak i maszyny wirtualne EVA potrafią również rozpoznać i odczytać adresacje, kody w innych protokołach charakterystycznych dla sieci OT, jak: UMAS, Siemens S7, EtherNet/IP, CIP, OPC UA, OPC (DA/HDA/AE), BACnet/IP, IEC 60870-5-104, IEC 61850-3.