Питання безпеки IIOT: що вам потрібно знати

11.09.2018

Питання безпеки IIOT: що вам потрібно знати

Промислові компанії все частіше впроваджують Інтернет Речей (IoT) у виробництво і сільське господарство. Таке масштабне підключення до Інтернет-протоколу (IP) створює не тільки багато можливостей системи, а й величезну загрозу для її безпеки. Технологія Operations Technology (OT), яку підтримує IIoT, набагато більше схильна до кібер-атак, ніж простір IT.

У промисловому секторі величезні обсяги даних надходять в систему в крайній точці, відправляються назад в хмару для подальшого аналізу і далі використовуються різними додатками. Ці додатки, а також їх операційні системи, взаємодіють з фізичними пристроями через драйвери пристроїв та прошивку. Атакуючі можуть використовувати ці особливості програмного забезпечення для пошкодження або компрометації обладнання, так як кожен пристрій і датчик в IoT схильний до потенційного ризику. Тому, для забезпечення безпеки, значна кількість пристроїв IoT, схильних до фізичного доступу, не використовується.

Не дивно, що для багатьох компаній безпека є основним пріоритетом. Деякі з них вважають за краще відмовитися від використання потенційних переваг IIoT, якщо це буде нести загрозу. Однак, для більш безпечного обміну і аналізу критично важливих даних всім промисловим компаніям необхідно буде вирішити дане питання.

Важливо не тільки захистити активне обладнання, а й самі комунікаційні канали. А мережі IIoT можуть займати великі відстані і мати сотні тисяч точок входу даних.

Дотримуйтесь цих основних правил безпеки IIoT:

  • Переконайтеся, що кожен доступ аутентифікований і авторизований
  • Всі повідомлення повинні бути зашифровані
  • Все програмне забезпечення та прошивку необхідно регулярно оновлювати

Застосуйте їх до кожного пристрою, який підключений до промислового Інтернету речей (IIoT).

Практичне застосування теорії

Давайте, розглянемо типовий сценарій промислового IoT і застосуємо ці правила на практиці.

Малюнок 1. (Схема MQTT) показує просту настройку датчика, який підключається за стандартом ISO MQTT (телеметричне транспортування черги повідомлень). Це широко використовуваний в IoT протокол в IoT, розташований на рівні таких додатків як HTTP, FTP або DNS поверх Ethernet TCP/IPN.

Це простий протокол підписки та публікації, який дозволяє датчику або видавцеві публікувати свої дані в якості теми. Для прикладу у нас є датчик із заданою темою «Завод 1, поверх 1, робот 3, температура масла», яка регулярно публікується цим датчиком. Якщо інший клієнт хоче побачити цю інформацію, він може підписатися на «Завод 1, поверх 1, робот 3, #», а потім отримувати необхідні дані.

Тепер давайте застосуємо наше перше правило безпеки, де кожен доступ повинен бути аутентифікований і авторизований. Для аутентифікації нам потрібно, щоб всі учасники мали адрес, а це значить, що кожному датчику, клієнту і пристрій може потребувати власне ім’я користувача, пароль або власний файл ключа.

Поки все просто. Але що робити з авторизацією? У цьому прикладі датчику в лівому верхньому кутку дозволено відправляти тільки тему «Завод 1, поверх 1, робот 3, температура масла». У закритій мережі всі повинні мати строго описані права користування, щоб зловмисники не змогли отримати доступ.

Але аутентифікації і авторизації може бути недостатньо, особливо якщо в мережі немає шифрування. Коли підключається новий мережевий клієнт, облікові дані відображаються у вигляді звичайного тексту, що означає, що все всередині мережі можуть легко дізнатися їх. Єдине, що Вам потрібно – це мережевий монітор та доступ до цієї мережі.

Ми можемо уникнути цього, застосувавши наше друге правило: зашифрувати весь транспорт всередині мережі. MQTT дійсно простий, тому що Ви можете налаштувати його поверх будь-якого рівня безпеки в TCP / IP.

Третє правило полягає в тому, що необхідно оновити програмне забезпечення і прошивку кожного пристрою. Пам’ятайте, що мережа IIoT зазвичай включає в себе безліч вбудованих пристроїв з тривалим терміном служби. Але, чесно кажучи, вони не схожі на сучасну операційну IТ- систему, таку як Windows, яка постійно проводить масові поновлення.

Насправді деякі вбудовані технології не дозволяють ніяких оновлень. Згадайте 2014 рік, коли Heartbleed став проблемою в OpenSSL? Це призвело до того, що зашифровані дані повністю розкрилися для всіх. За шкалою від 0 до 10 балів він отримав 11. Це означає, що всі шифрування було марним. Проблема могла бути вирішена тільки шляхом поновлення фіксованою версії програмного забезпечення.

Є багато інших прикладів, таких як Poodle, який не був настільки проблематичним як Heartbleed, але все ж став серйозною проблемою. Було виправлено оновлення програмного забезпечення, але це не дало гарантії, що ситуація не повториться. А ще не так давно ми могли спостерігати наслідки, викликані Spectre/Meltdown.

Не має значення як проводити оновлення поки це робиться локально або віддалено. Всі клієнти, сервери та пристрої, на яких розміщується прошивка або програмне забезпечення, повинні мати можливість виправлення.

Правильно обирайте партнерів по технологіям

Як вже обговорювалося, гіпермасштабування IIoT вимагає більш безпечного підходу до взаємозв’язку безлічі різних типів пристроїв, машин та систем з апаратним забезпеченням, програмним забезпеченням і прошивкою. У свою чергу, зараз ще більше уваги приділяється вибору найбільш підходящих технологічних партнерів, у яких є все необхідне для забезпечення безпеки IIoT.

Коли мова заходить про вбудовані плати і контролери, то відомо, що рішення Kontron вже захищені дизайном. Для захисту нашого обладнання та програмного забезпечення, яке працює на ньому, ми співпрацюємо з деякими з провідних постачальників безпеки, таких як Wibu-Systems.

Наприклад, виявлення будь-яких несподіваних змін коду, даних або конфігурації під час процесу завантаження, починаючи з моменту скидання, є достатньо бажаною функцією при спробі скомпрометувати систему. Для цього розробники можуть інтегрувати наше безпечне, надійне завантажувальне програмне забезпечення, щоб забезпечити ланцюжок довіри, створивши аутентифікацію системної BIOS. Те ж саме відноситься і до рівня ОС з захищеними операційними системами.

За допомогою Kontron APPROTECT досягається ще один рівень доступності на стороні додатку. Тут плати Kontron включають в себе чіп безпеки Wibu Systems з пов’язаним із нею програмним забезпеченням, що надає повний захист IP для запуску програмного забезпечення. Код програми може бути зашифрованим і, тому, не реверсивним. Комбіноване апаратне та програмне рішення є доповненням до модуля TPM 2.0 (Trusted Platform Module) для забезпечення повного захисту рівня додатків.

Таким чином, більшість організацій в промисловому просторі в даний час дуже цінують величезні вигоди від підвищення ефективності і конкурентних переваг, пропонуючи охоплення IIoT. У той же час, багато хто стурбований підвищеними ризиками безпеки, які він представляє. Використання передової практики безпеки і партнерство з правильними постачальниками технологій допоможуть полегшити навантаження.

Для отримання додаткової інформації відвідайте сторінку  https://www.kontron.com/blog/embedded/iiot-security-essentials

Статьи

25.09.2018

Незважаючи на десятиріччя проведення в США успішних операцій за допомогою роботизованої техніки, які позитивно вплинули на мільйони пацієнтів, в країнах, що розвиваються, як і (читать далее)

19.09.2018

В даний час розробляється безліч рішень для автоматизації розумного будинку, але більшість з них не можуть плавно і безпечно інтегрувати в уже функціонуюче домашнє (читать далее)