GO

Konfigurace SCADA

Zabezpečení doporučujeme řešit na všech úrovních vašeho řídicího systému. Jednotlivé komponenty, infrastrukturu vašeho monitorovacího a řídicího systému a zejména sítě je třeba ochránit před útoky zvenčí.

V minulosti byly SCADA sítě oddělené od ostatních sítí a pro provedení útoku bylo potřeba fyzické proniknutí do systému. Jak se firemní sítě staly elektronicky propojené s internetem a bezdrátovou technologií, fyzický přístup už nebyl potřeba pro kybernetický útok. Jedno řešení zabezpečení je izolovat SCADA síť, nicméně toto není praktické řešení ve světě, kde monitorovací a řídicí systémy bývají propojené s obchodním systémem, nebo kde data potřebná pro monitoring a řízení přichází ze vzdálených zdrojů, jako jsou vzdálené terminálové jednotky (RTU). Jako pomoc při rozvoji monitorovacího systému jsme vyvinuli dokument dostupný na www.citect.com/security. V tomto dokumentu popisujeme návrhové rozhodnutí, které musíte zvážit pro udržení vašeho SCADA systému chráněného jako celku. Základní pokyny zahrnuté v tomto dokumentu jsou:

  • udržujte návrh vaší sítě jednoduchý
  • použijte firewally k ochraně každé části vašeho systému a to zejména pokud váš systém komunikuje s externím prostředím mimo vaši kontrolu (bezdrátová síť nebo rádiové přenosy)
  • využijte sílu VPN, abyste umožnili autorizovaným uživatelům kdekoliv ve světě připojit se bezpečně na váš SCADA systém
  • použijte IPsec k zajištění, že pouze správná zařízení jsou připojena k síti

Zatímco existuje několik základních elementů ochrany, které jsou potřeba pro každou síť, pro bezdrátové sítě je nutná dodatečná ochrana. Dvě nejčastější cesty k získání neoprávněného přístupu jsou zneužití zařízení s bezdrátovým přístupem k síti jako například laptopu nebo PDA a vytvoření klonu bezdrátového přístupového bodu. Jestliže nebyla přijata žádná další opatření k zabezpečení bezdrátové sítě, pak obě tyto metody mohou poskytnout plný přístup do bezdrátových sítí.

Při implementaci bezdrátové sítě by mělo bát zváženo několik standardních ochranných opatření kvůli minimalizaci šance útočníka dostat se k síti:

  • omezení přístupu k síti na určité MAC adresy
  • využití WPA/WPA-2 protokolů
  • VPN pro bezdrátové klienty

Projekty jen pro čtení (Read-only Projects)

V rámci zabezpečené sítě může konfiguraci CitectSCADA provádět každý oprávněný uživatel. Těmto uživatelům nabízí zabezpečení systému Windows jednoduchý a bezpečný způsob konfigurace projektu. Každý projekt může být chráněn tak, aby byl pouze přístupný určité podskupině uživatelů. V případě větších projektů lze zabezpečit přístup k různým částem systému. Využití zabezpečení Windows také zajistí, že bez ohledu na použitý editor pro konfiguraci jsou projekty vždy zabezpečeny.