Mivel a közelmúltban több beszélgetés során is hasonló megoldásokról hallottam adta az ötletet, hogy írjak pár gondolatot.
Nem olyan rég beszélgettem, egy vállalti IT rendszergazdával és szóba került a NIS2. Büszkén újságolta, hogy gyártásibázissal rendelkező multivállalata, ahol dolgozik igen jó eredménnyel zárt a közelmúltban a NS2-es auditon. Ez önmagában komoly munka és nagyon szép eredmény. Persze egyből érdekelt, hogy OT területen ezt, hogyan sikerült elérniük.
Nagyon kíváncsi voltam, hogy az ipari rendszereknél hogyan kezelték a védelmet. Hogyan választották szét a hálózattokat, hogyan szabályozták a munkaállomásokat stb.
A válasz nagyjából ennyi volt:
„Kapott egy zárt VPN-hálózatot, és oda került minden.”
Egyrészről csalódott voltam, hogy nem szerezhetek új imsereteket, másrészről ez a megoldás azért több kérdést is felvetett bennem. Első hallásra jól hangzó terminusok: zárt VPN hálózat, elkülönítés, hozzáférés-kontroll melyek egy audit során ismerősen csengenek, fontos elemei a védelemnek. Az OT-környezet mögött azonban nem csupán hálózati eszközök és IP-címek állnak, hanem technológiai folyamatok, termelési rendszerek, gépek, biztonsági követelmények, beszállítói függőségek és sokszor évtizedes üzemeltetési sajátosságok. Ezek kezelése azonban más szemléletet igényel, mint a hagyományos irodai informatikai rendszereké.
Profinet ≠ Ethernet
Tennék egy kis kitérőt. Munkáim során gyakori szembesülök egy félreértéssel: sok IT-szakember hajlamos az ipari hálózatokra ugyanúgy tekinteni, mint egy hagyományos Ethernet-alapú irodai hálózatra. Azonban ezek az ipari hálózatok (pl. EtherNet/IP, Modbus TCP/IP vagy Profinet) Bár fizikai és technológiai alapjaik sok esetben valóban az Ethernethez kötődnek, a szerepük, a viselkedésük és az érzékenységük jelentősen eltér egy klasszikus irodai hálózatétól. Ezek a hálózatok vezérlők, hajtások, I/O-szigetek, szenzorok és egyéb ipari eszközök közötti kommunikációt szolgálnak ki. Sok esetben időérzékeny vagy technológiai szempontból kritikus adatcsere zajlik rajtuk. Itt nem csupán általános adatcsomagok haladnak, hanem a gyártási folyamat működéséhez szükséges vezérlési, állapot- és diagnosztikai információk.
Egy irodai hálózatban egy kisebb késleltetés, csomagvesztés vagy rövid kommunikációs zavar sokszor legfeljebb lassulást, korrigálható adatvesztést vagy felhasználói bosszúságot okoz. Egy ipari hálózatban ugyanez technológiai hibához, gépleálláshoz, selejtgyártáshoz vagy akár biztonsági kockázathoz is vezethet. Ezért nem mindegy, milyen eszköz kerül rá, milyen forgalmat engedünk át rajta, hogyan történik a diagnosztika, a monitoring, a távoli hozzáférés vagy akár egy egyszerűnek tűnő hálózati átalakítás.
VPN-be zárt OT ≠ biztonság
A fentiek alapján szerintem egy ipari környezetben a fő kérdések például azok, hogy pontosan milyen rendszerek vannak benne? Ki fér hozzájuk, Milyen jogosultsággal? Milyen gyakran? Milyen célból? Ki hagyja jóvá? Ki naplózza? Ki nézi vissza? Mi történik, ha egy beszállító laptopja fertőzött és ne adj Isten még mobilnetet is használ? Mi történik, ha egy mérnöki gépről rossz konfiguráció kerül egy vezérlőre? Mi történik, ha egy távoli hozzáférésen keresztül valaki olyasmit ér el, amit nem kellene? Mi lesz akkor ha egy program elkezdi felesleges forgalommal terhelni az időkritikus ipari hálózatot?
Ezeket a kérdéseket a VPN nem oldja meg, legfeljebb keretet ad a hozzáféréshez. De nem érti a technológiát, nem ismeri a gyártási folyamatot, nem tudja, melyik PLC mit vezérel, melyik HMI mögött milyen kockázat van, és melyik rendszer leállása okoz öt perc kellemetlenséget vagy több hetes termeléskiesést.
IT szakember és OT szakember = OT védelem
Meglátásom szerint ez az a pont ahol már a tisztán IT szemlélet inkább hátrány jelent.
Az OT-t sokszor még mindig informatikai problémaként kezeljük. Van IP-cím, van switch, van tűzfal, van hozzáférés, tehát majd az IT-s eszköztárral rendbe tesszük. Csakhogy az OT-ben a hálózat csak az egyik réteg. Alatta ott van a technológia, a gép, a folyamat, az emberi biztonság, a minőség, a karbantartás, a beszállító, a régi rendszer, a gyártói garancia, és sokszor az a mondat is, hogy „ehhez inkább ne nyúljunk, mert működik”.
Ezt nem lehet egyetlen kontrollal lefedni.
NIS2 kettő vetülete az OT-ra
A NIS 2 miatt most sok szervezet ránéz olyan területekre is, amelyekkel korábban kevesebbet foglalkozott. Ez nagyon jó dolog. Legalábbis lehetne jó dolog. A kockázat ott van, hogy a megfelelés könnyen kipipálható feladattá válik. Kell szabályzat, kell bizonyíték, kell technikai intézkedés, kell auditálható válasz. És ha megvan a pontszám, mindenki megnyugszik.
Engem ezek a beszélgetés vittek rá arra, hogy megosszam a gondolatimat. Nem azért, mert egy rendszergazda rosszul fogalmazott. Nem is azért, mert egy konkrét üzemet kellene bírálni. Inkább azért, mert ez a mondat szerintem sok helyen elhangozhatna és el is hangzik.
Ha időm engedi ezen a felületen ezért olyan kérdésekről szeretnék írni, amelyek a gyakorlatban is előjönnek.
– Hogyan lehet egy OT-eszközleltárt úgy elkészíteni, hogy ne csak egy táblázat legyen?
– Mit jelent a hálózati szegmentáció ipari környezetben?
– Hogyan érdemes kezelni a beszállítói hozzáféréseket?
– Miért más egy incidens OT-ben, mint irodai IT-ban?
– Mit lehet kezdeni a régi rendszerekkel?
– Hol van az a pont, ahol egy biztonsági intézkedés már maga is üzemi kockázatot jelent?
És talán a legfontosabb: hogyan lehet úgy beszélni OT-biztonságról, hogy az IT, az OT a menedzsment és az auditor ugyanazt értse alatta.
