Możliwości rozwoju systemów zarządzania bezpieczeństwem i procesami w branży gazowniczej w świetle doświadczeń i standardów energetyki zawodowej

Transkrypt

1 Autor: Daniel Dziadek Możliwości rozwoju systemów zarządzania bezpieczeństwem i procesami w branży gazowniczej w świetle doświadczeń i standardów energetyki zawodowej

2 Bezpieczeństwo systemów systemy operacyjne Bezpieczeństwo Wiele definicji. Celem jest ochrona systemu oraz jego danych przed utratą bądź zniszczeniem, głównie poprzez zapewnienie ochrony przed dostępem osób nieuprawnionych. Strategia bezpieczeństwa w systemach Windows (główne elementy) Domena Logiczny zbiór komputerów i użytkowników w sieci, współdzielących wspólną bazę zabezpieczeń. Scentralizowana administracja Konta reprezentujące użytkowników lub komputer, Firewall ma chronić przed zagrożeniami z zewnątrz Baza Active Directory z tożsamościami i ich zależnościami w domenie.

3 Bezpieczeństwo systemów systemy operacyjne Bezpieczeństwo w systemach opartych o Linux. Podobne mechanizmy jak w Windows Mniej popularny jako system operacyjny dla systemów sterowania Mniej znany obsłudze, używany głównie do celu w jakim został zainstalowany

4 Bezpieczeństwo systemów przegląd zagrożeń Zabezpieczenia zewnętrzne: Czyli ochrona systemu przed zagrożeniami pochodzącymi spoza systemu sterowania. Internet, sieci zakładowe (intranet), zewnętrzne urządzenia podłączone do systemu, podłączenia zdalne Typy wirusy wprowadzone poprzez Internet, bądź użytkowników (pendrive), dostęp z nieuprawnionych źródeł (włamanie), takich jak hakerzy bądź szpiedzy przemysłowi, niedozwolone działania w systemie z nieuprawnionego źródła, nieuprawniony dostęp do zasobów (danych), użycie stacji operatorskich niezgodnie z przeznaczeniem (gry, poczta i www, niedozwolone oprogramowanie)

5 Bezpieczeństwo systemów przegląd zagrożeń Zabezpieczenia zewnętrzne c.d.: Zapobieganie (możliwe środki ochrony) zapory sieciowe, programy antywirusowe, zabezpieczone linki, kopie zapasowe i ich odtwarzanie, zarządzanie hasłami, kontrola wewnętrzna (osoba odpowiedzialna w zakładzie), polityka aplikowania łat (patchy), ograniczenie funkcji dostępu zdalnego, blokowanie zewnętrznych pamięci masowanych (CDROM, USB),

6 Bezpieczeństwo systemów przegląd zagrożeń Zabezpieczenia wewnętrzne: Czyli ochrona systemu sterowania przed działaniami umożliwiającymi wykorzystanie funkcji systemu do zrobienia szkody od środka. Do głównych zagrożeń tego typu można zaliczyć: nieuprawnione wykorzystanie danych funkcji systemu, niemożność zarządzania zabezpieczeniami dla dużego systemu, niezabezpieczone stacje robocze w innych częściach obiektu. Typy zagrożeń zabezpieczenia są zbyt skomplikowane by nimi łatwo zarządzać, stacje robocze nie są należycie zabezpieczone przed niewłaściwym użyciem, zła polityka zarządzania hasłami, nielogiczna polityka uprawnień dla komputerów i użytkowników.

7 Bezpieczeństwo systemów przegląd zagrożeń Zabezpieczenia wewnętrzne c.d.: Zapobieganie Uproszczenie konfiguracji zabezpieczeń: zarządzanie zabezpieczeniami z jednej lokalizacji, utworzenie grup wstępnie zdefiniowanych użytkowników (szablony), przyporządkowanie użytkownikom odpowiednich ról, wydzielenie dostępu do funkcji inżynierskich tylko dla uprawnionych użytkowników, Polityka zarządzania hasłami: wymaganie hasła na stacjach operatorskich i inżynierskich, wymaganie okresowej zmiany hasła, wymuszenie haseł o określonej złożoności, reagowanie na nieudane próby logowania. Utworzenie i użycie zabezpieczonych i ograniczonych stacji operatorskich: ochrona przed instalacją innych aplikacji, ochrona przed wprowadzaniem zmian do plików i katalogów, wymaganie hasła przy dostępie do stacji roboczej,

8 Bezpieczeństwo systemów a czynnik ludzki Podejście obsługi obiektowej Świadomość osób odpowiedzialnych za system do podejmowania działań mających na celu eliminowanie zagrożeń. Przykłady z życia: Okres uruchomienia systemu: kto jest odpowiedzialny? Przekazanie użytkownikowi końcowemu: forma SAT, zakres, zbycie odpowiedzialności za system, forsowanie zabezpieczeń, świadomość (kto może) forma (dziennik zmian) odpowiedzialność przywrócenie stanu z przed zmian, System alarmowania źle skonfigurowany - brak reakcji obsługi Archiwizacja zdarzeń i logów - uświadomienie obsługi.

9 Bezpieczeństwo systemów dobre praktyki Jak podnieś poziom bezpieczeństwa? Standardy (opisane wcześniej): instalacja zapory, tworzenie kopii (automatycznie), instalacja systemu antywirusowego, Utworzenie planu wdrażania zabezpieczeń systemu: zasady dla grup, role użytkowników gradacja, Planowanie a krótkie okresy przestojów zakładu, Szkolenia (jak często, kiedy planować?) obsługa obiektowa, pracownicy firm realizujących wdrożenia, współpraca osób zarządzających systemem (wykonawca - zamawiający): od momentu wstępnego konfigurowania systemu sterowania udział IT

10 Bezpieczeństwo systemów dobre praktyki Jak podnieś poziom bezpieczeństwa? Aktualnie wspierany system operacyjny, Użycie ACL na switch ach sieciowych systemu Firewall sprzętowy nie wszyscy się decydują ze względu na koszty Realizacja wdrożeń z zachowaniem standardów jakości i bezpieczeństwa (ISO/IEC 9001, ISO/IEC 27001). Certyfikowany personel: SIL, CCNA, CCNP, Praca na wybranym bloku (identyfikacja obiektu) VPN, zdalne logowanie przez gateway (stacja robocza z ograniczeniami użytkownika), brak pełnych rozwiązań systemowych wyszkolony personel, korzystanie z doświadczenia firmy zewnętrznej

11 Bezpieczeństwo systemów aplikacja, hardware Zwiększenie poziomu bezpieczeństwa i niezawodności systemu można realizować także w oparciu o: Definiowanie na etapie projektu odpowiedniej ilości sygnałów, Rozdział urządzeń, pomiarów na różne karty IO, sterowniki, Wybór 2 z 3 Powielenie aplikacji Dedykowane systemy: ESD, KUZB, HIPPS Dedykowane moduły IO, przekaźniki, Okresowe testowanie poprawności działania.

12 Bezpieczeństwo instalacji diagnostyka eksploatacyjna Pośrednie sposoby podnoszenia poziomu : Implementacja algorytmów czasu pracy urządzeń, Systemy zarządzania infrastrukturą przemysłową zawierające zaawansowane algorytmy prognozowania awarii planowanie przeglądów systemu, części zapasowe Aplikacja zarządzanie ryzykiem Serwis gwarancyjny i pogwarancyjny, zdefiniowanie Service Level Agreement (SLA)

13 Bezpieczeństwo systemów przykłady z zewnątrz W zakresie bezpieczeństwa działania Istnieją standardy tworzenia oprogramowania pozwalające spełnid wymagania zarówno walidacji jak i certyfikowania. Standardy projektowania architektury: Multiple Independent Levels of Security (MILS) Uwaga: niektóre standardy kodowania (JAVA,.NET) nie są certyfikowane w ogóle w zastosowaniach dla energetyki jądrowej wobec tego oprogramowanie wykonane w tych językach programowania nie może być dopuszczone do użycia źródło:

14 Bezpieczeństwo systemów przykład elektrownie atomowe Standardy prowadzenia oceny i certyfikacji wyrobów Amerykański standard NERC CIP 1 9 Nie ma zastosowania do elektrowni nadzorowanych przez U.S. Nuclear Regulatory Commission oraz the Canadian Nuclear Safety Commission. Inne podmioty muszą być zgodne z w/w standardem co potwierdza Federal Energy Regulatory Commission in Commission Order No. 706 W 2009 NRC wydała 10 CFR Protection Of Digital Computer and Communication Systems And Networks określając wytyczne dla bezpieczeństwa cybernetycznego w elektrowniach jądrowych Amerykański model ochrony, opracowany w ramach NEI 04-04

15 Bezpieczeństwo systemów podsumowanie, kierunki rozwoju Jak wpływać na bezpieczeństwo, jak monitorować instalacje w świetle rozwoju systemów sterownia i eliminowania obsługi obiektowej. Bezpieczeństwo systemu operacyjnego w dużym stopniu zależy od zachowania samego użytkownika. Brak dbałości o hasła, firewall czy uprawnienia użytkowników powoduje narażenie każdego systemu na zagrożenia podsumowując: bardzo ważna świadomość niezależnie od kierunków rozwoju. Bezpieczeństwo kosztuje: nowości oferowane przez producentów systemów, certyfikowani dostawcy, szkolenia personelu, Jakie instytucje, organizacje wytyczają standardy? Analogie do Smart Grid?

16 Bezpieczeństwo systemów podsumowanie, kierunki rozwoju Jak wpływać na bezpieczeństwo c.d. Podejście dwupoziomowe: ochrona informacji, bezpieczeństwo działania, ochrona fizyczna urządzeń: szafy sieciowe, stacje operatorskie Cykliczne przeglądanie logów systemowych, Wysyłanie istotnych komunikatów z logów zebranych przez system Aplikacje mobilne - tylko jednokierunkowo

17 Informacja o Firmie Dział Control Solution Center w Transition Technologies S.A.

18 CSC Control Solution Center ponad 20 lat na rynku Zakres działalności: Nasza wiedza i doświadczenie w zakresie rozwiązań opartych o DCS i PLC bierze się z ponad 400-stu wdrożeń na całym świecie w obszarach energetyki konwencjonalnej oraz: odnawialnych źródeł energii (spalarnie biomasy, elektrownie słoneczne, wodne, wiatrowe) stacji uzdatniania wody, stacji odsalania wody morskiej, zakładów chemicznych i farmaceutycznych, stalowni, cementowni, gipsowni Nadrzędne sekwencje startu i odstawienia jednym guzikiem Sterowanie turbinami i pracą wyspową Współpraca z centralną dyspozycją mocy i sterowanie obciążeniem bloków Komunikacja międzysystemowa (Modbus, Profibus, Fieldbus, protokoły rodziny IEC, OPC) Systemy zabezpieczeń (SIS, SIL3) Symulatory (blokowy, GE Mark IV)

19 CSC Control Solution Center ponad 20 lat na rynku CSC nasze doświadczenie w automatyce procesów chemicznych Zakres L.p. Nazwa obiektu Kraj Rok D B M L G S F 1. BIOCHEMI D CONDEA D RAS ABU FONTAS QA AS PONTES E LOS BARRIOS E KRIO PL DETROIT US TRZEBINIA PL Uwagi Chemia Chemia Odsalanie Instalacja uzdatniania wody System dozowania chemii Separacja Helu Instalacja uzdatniania wody Rafinacja of parafiny D B M L G S F Zakres - projekt - baza danych - układy automatycznej regulacji - sterowania - grafiki operatorskie - symulator prcesu - prace obiektowe, wdrożenie

20 Kontakt Dziękuję za uwagę Daniel Dziadek Dyrektor ds. Projektów Strategicznych Dział Control Solution Center Transition Technologies S.A. Control Solution Center ul. Antoniego Słonimskiego Wrocław T.: F.: