W miarę jak nieustannie rozwija się technologia wytwarzania, zwiększa się ryzyko zagrożenia bezpieczeństwa sieci przemysłowych. Przy rosnącej liczbie połączonych ze sobą urządzeń osoby z zewnątrz mają coraz większe możliwości zakłócania procesów przemysłowych.
Bezpieczeństwo sieci przemysłowych, okablowanych czy bezprzewodowych, jest przedmiotem coraz większej troski – także z tego powodu, że coraz częściej pakiety danych są przesyłane „w powietrzu”, co stwarza dodatkowe zagrożenie. Zawsze można zadać sobie pytanie: „Czy moja informacja jest naprawdę bezpieczna?” lub „Czy to jest równie bezpieczne, jak przesyłanie po kablu?”
Tak, sieć bezprzewodowa może być równie bezpieczna jak sieci okablowane, o ile podejmie się właściwe kroki na etapie planowania systemu, by otrzymać najwyższy możliwy poziom bezpieczeństwa.
Budowa bezpiecznej sieci bezprzewodowej
Przy rozpatrywaniu architektury i organizacji sieci bezprzewodowej trzeba się przyjrzeć wszystkim aspektom wykorzystywanych w niej produktów – nie tylko ze względów bezpieczeństwa, ale także elastyczności, funkcji i przyszłych możliwości jej rozszerzania. Dostępność sieci bezprzewodowej zmienia się w zależności od tego, czy jest to system oparty na publicznych, czy firmowych standardach. Publiczne standardy komunikacji bezprzewodowej, takie jak WiFi czy Bluetooth, to protokoły otwarte, powszechnie dostępne. Systemy firmowe, które komunikują się tylko z urządzeniami tego samego producenta, mają wbudowaną warstwę bezpieczeństwa. Intruzowi trudniej jest nauczyć się technologii wykorzystywanej przez te urządzenia, bo elementy trzeciej strony nie łączą się z tą konkretną siecią.
Niemniej w wielu aplikacjach publiczna sieć bezprzewodowa stanowi lepszy wariant z powodu kompatybilności wstecznej i większych możliwości współdziałania. Otwarte rozwiązania technologiczne są powszechnie znane i łatwe do zainstalowania. Jedna sieć WiFi może też wówczas składać się z wielu urządzeń pochodzących od różnych producentów, które są w stanie się ze sobą komunikować. Ten szeroki dostęp bywa wadą z reguły dopiero wtedy, kiedy pojawi się ktoś, kto ma złe intencje. Jednak wybierając odpowiednią technologię i stosując inteligentne metody postępowania, zagrożenie niepożądaną transmisją w sieci można zminimalizować.
Poprawa bezpieczeństwa rozwiązań bezprzewodowych
1️⃣ Szyfrowanie danych sieciowych przy użyciu klucza powoduje, że niemożliwe jest ich odczytanie w czasie transmisji. Jeśli ktoś podsłuchuje w sieci, to po zaszyfrowaniu danych nie będzie w stanie zrozumieć otrzymanej informacji.
Istnieje kilka różnych metod kodowania informacji w sieciach bezprzewodowych – w tym standard szyfrowania WEP (Wired Equivalent Privacy), WPA (Wireless Protected Access) i WPA2. Pierwsze dwa są łatwe do zhakowania. WPA2 stosuje jednak zaawansowany standard szyfrowania AES (Advanced Encryption Standard), zapewniający najwyższy stopień ochrony sieci bezprzewodowych. Co prawda po zastosowaniu standardu WPA2 istnieją jeszcze potencjalne możliwości wtargnięcia do systemu, ale ryzyko to można zmniejszyć przez połączenie tej metody postępowania z innymi.
2️⃣ Uwierzytelnianie definiuje tożsamość wszystkich użytkowników sieci oraz przyznany im poziom dostępu. W procedurze tej podstawą jest pytanie: „Czy chcesz być w tej sieci? Jeśli tak, to na jakim poziomie możesz się komunikować?”.
Poziomy dostępu sieciowego mogą określać status użytkowników – od tych, którzy mają pełne uprawnienia, do tych z dostępem tylko do jednego, ściśle określonego urządzenia. Przykładem może być stworzenie sieci produkcyjnej oraz „tylko dla gości”. W tej pierwszej przechowywane są wszystkie poufne informacje, ale jedynie niektórzy użytkownicy mają do nich dostęp. Sieć „tylko dla gości” jest otwarta dla wszystkich, którzy chcą się do niej dostać.
3️⃣ Praktyka działania zgodnie z zasadami zdrowego rozsądku. Nawet jeśli w konkretnej sieci bezprzewodowej obowiązują najwyższe poziomy szyfrowania i uwierzytelniania, to i tak wciąż może ona nie być dostatecznie zabezpieczona. Strategia rzeczywistej obrony dla całej sieci – zarówno okablowanej, jak i dla strefy bezprzewodowej – oznacza wdrożenie następujących działań:
➡️ ograniczanie mocy transmisji; należy rozważyć środowisko i aplikację systemu bezprzewodowego. Większość urządzeń bezprzewodowych pozwala na konfigurację mocy transmisji. Jeśli aplikacja dotyczy krótkiego zasięgu, trzeba rozważyć jej zmniejszenie, tak aby etykieta sieci ID nie była widoczna poza wymaganym obszarem;
➡️ instalowanie zapór sieciowych wszędzie tam, gdzie to konieczne i podejmowanie innych kroków w celu ograniczenia dostępu do sieci. Większość urządzeń bezprzewodowych to jedynie kanały do przesyłu danych, chociaż niektóre mają zaporę sieciową (firewall) i funkcje trasowania (routing). Zabezpieczenie sieci poprzez zaporę sieciową osprzętu komputerowego części okablowanej i głównego urządzenia bezprzewodowego zapewnia dodatkową warstwę bezpieczeństwa, na wypadek gdyby ktoś chciał uzyskać dostęp do całego osprzętu komputerowego zakładu (części okablowanej i bezprzewodowej) za pomocą „zdalnego sterowania z zewnątrz”;
➡️ wdrażanie w życie surowej i konsekwentnej polityki w zakresie stosowania haseł komputerowych i korzystania z pamięci USB. Integralność danych jakiegokolwiek systemu bezprzewodowego jest tak trwała, jak konsekwentne są zasady wdrażania polityki ich ochrony. Wprowadzanie zasad silnego hasła (np. nieużywanie układów typu „1234”, ustawień fabrycznych lub imienia swojego psa), wymaganie jego okresowej zmiany, ograniczanie fizycznego dostępu do portów komputerowych urządzeń sieciowych – to tylko kilka z wielu możliwości do rozważenia;
➡️ dobra komunikacja pomiędzy pracownikami fabryki a informatykami. Podobnie jak połączone są urządzenia, tak powinny być zintegrowane działania zespołu pracowników i personelu działu informatyki. Stała współpraca pomiędzy tymi dwoma grupami – tak aby obie wiedziały, co się dzieje w poszczególnych działach – przyczyni się do lepszego scalenia struktury organizacyjnej zakładu. Dla przykładu, jeśli pracownicy zechcą zainstalować system WiFi w magazynie zakładowym, to personel działu informatyki może ich powiadomić o wolnych kanałach komunikacji, aby była ona tak bezpieczna, jak to tylko możliwe. Ważne jest także informowanie o zmianach w składzie osobowym, aby można było na bieżąco dostosowywać politykę używania haseł. Jeśli pracownik odchodzi z firmy, powinien natychmiast stracić uprawnienia dostępu do sieci, aby uniknąć prawdopodobieństwa nieuprawnionego dostępu spoza zakładu.
Konsekwencją naruszenia spójności sieci przemysłowej mogą być m.in.: przestój i straty w produkcji, problemy z ochroną środowiska czy uszczerbek na wizerunku firmy. W razie potrzeby zawsze trzeba znaleźć czas na rozważenie wszystkich opcji związanych z bezpieczeństwem i podjęcie odpowiednich decyzji.
Warto również pamiętać, że większość producentów zapewnia szkolenia, wsparcie techniczne i oficjalne dokumenty na temat produktów bezprzewodowych – aby można było przeanalizować wszystkie dostępne opcje bezpieczeństwa. Tak czy owak nadeszła chwila, aby upewnić się, że nasze sieci przemysłowe są dobrze przygotowane na ewentualne zagrożenie.
Autor: Justin Shade jest specjalistą ds. marketingu, zajmującym się produktami bezprzewodowymi w firmie Phoenix Contact.