Kibervédelem, NIS2

A modern SCADA szolgáltatások közé tartoznak a szabványos kibervédelmi megoldások is, amelyek az adatok biztonságát szavatolják. Ilyen a NIS2 (Network and Information Security 2) irányelv.

A modern SCADA a magasabb szintű digitalizációt és az Ipar 4.0 megoldásokat támogatja, amelyek nyilvánvaló előnyökkel járnak: rugalmasság, skálázhatóság, széleskörű adatelérés, adatvezérelt döntéstámogatás, magasabb automatizációs fok, hatékonyság javulás, magasabb üzembiztonság stb. Ugyanakkor ezen új, fejlettebb rendszerek integrációjával megjelentek bizonyos sebezhetőségek is, amelyek korábban csak az IT számára voltak relevánsak. A kihívásokat az OT-IT integráció jelenti, vagyis az, hogy a technológiai folyamatok és a menedzsment rétegek (energiamenedzsment, karbantartás menedzsment, tervezés, üzemirányítás, AI stb.) közötti kapcsolatok megvalósítása – történjen bár az egyes szintek közötti kommunikációval (3.0), vagy a közös névtér révén (4.0) – egyben sebezhetővé is tette a technológiai rendszereket és azok automatizálását. Éppen ezért az OT kiberbiztonsággal kapcsolatos gyakori problémák és fenyegetések ismerete kulcsfontosságú a működési és pénzügyi veszteségek megelőzése és a védelem megvalósítása érdekében. A kiberbiztonság tématerülete természetesen bő, az alábbiakban megoldási javaslatokat csak a folyamatirányításhoz közvetlenül kapcsolódó problémákra adunk.

SCADA alapú ipar 4.0 kibervédettség megvalósítása

Kibervédelmi szempontból a több alközpontból álló regionális rendszerek a problematikusabbak, lévén központi szerverből, terepi alközpontokból és munkaállomásokból állnak, amelyek egymással is cserélnek adatokat; elérhető ezenkívül a SCADA webalkalmazásként. A vezérlők is gyakran kapcsolódnak a SCADA-hoz ugyanazon TCP/IP hálózaton keresztül ipari kommunikációs protokollokat használva, vagy ami még kritikusabb, DCOM alapú elavult OPC-DA-n keresztül. Különösen problémás ez a régi, de széles körben elterjedt ipari kommunikációs protokollok esetén (Modbus TCP), ami kibervédelmi szempontból szintén kritikus.

Az alábbi ábra együttes a védetlen rendszert és a kibervédett rendszer különbségeit, azaz a kibervédelmi válaszokat mutatja be:

A kibervédelem érdekében tett változtatások balról jobbra a következők:

•      Szerver hozzákapcsolása IIoT platformhoz (VISION: Fact-IoT), ami webszolgáltatásokra épül  (HTTPS – SSL / TLS 1.3)

•      IIoT distribution szervíz alkalmazása a többi szerver és a munkaállomások, valamint alközponti szerverek esetén is, HTTPS webkapcsolat mindenhol

•      Adatkapcsolati protokoll (OPC-DA) átalakítása OPC-UA-ra

•      Ahol nem védett a kommunikáció vagy nem választható le a hálózatról, ott IoT edge device, gateway vagy IoT-PLC használata

•      VISION web-es hálózat átalakítása HTTPS-re

•      Felhasználók beléptetése AD (Microsoft Active Directory) használatával.

További lehetőségek:

•      Cloud adatbázis használata (VISION szolgáltatás), ami a távoli SQL adatbázis műveleteket védett webszolgáltatásokon keresztül biztosítja

•      Audit Trail VISION szolgáltatás használata

Hangsúlyozzuk, hogy az eredeti rendszer is védhető a kívülről érkező illetéktelen behatolásokkal szemben, amennyiben az irányítástechnikai hálózatot a vállalati hálózatról teljesen leválasztjuk – a legtöbb helyen ezt csinálják. Ekkor azonban az integráció lehetőségei szűkülnek és akadályt gördítünk a digitalizáció elé. Ám maga a VISION is funkcionálhat kibervédett IoT-gateway-ként, ha a vezérlőrendszer (PLC) adatai a Fact-IoT réteg distribution service-én keresztül kapcsolódnak a hálózatra, ahogy az ábra jobb oldalán bemutatott munkaállomások esetén látható.

Nem szükséges tehát feltétlenül IoT-gateway, annak funkcióját maga a VISION rendszer is biztosíthatja – hasonlóan más elterjedt SCADA rendszerek (pl. Zenon) megoldásaihoz. Így nem kell cserélni sem a régi vezérlőket, se a protokollokat, és nem kell a költséges IoT eszközök beszerzéséről és telepítéséről sem gondoskodni.

Végeredményben a VISION X10 SCADA-val többféleképpen is biztosíthatjuk a folyamatirányító rendszerre vonatkozó NIS2 kibervédelmet – még az iparági standard megoldásokon túl is –, erre épp a VISION rendszer IIoT platformja biztosítja a lehetőséget.

Ezért mondhatjuk, hogy a VISION X10 full-stack rendszer szolgáltatásaival Ipar 4.0 szintű modern rendszert építhetünk, mely a legmagasabb szinten garantálja a NIS2 kibervédelmet.

Alap SCADA szolgáltatásokon felüli NIS2 megfelelőség

Az előző fejezetben vázolt alap kibervédelmi megoldásokon túl is képes a VISION X10 rendszer NIS2 támogatást nyújtani számos, a szabvány által érintett területen.

Biztonsági Audit

A VISION a beépített Audit Trail modulja révén képes nyomon követni a beavatkozásokat és eseményeket a sebezhetőségek és a beállítási hibák feltárása érdekében. Az Audit Trail naplók tartalmazzák, hogy ki, mit, mire, mikor és miért módosított, valamint tartalmazzák a módosítás előtti és utáni állapotokat, amit a napló alapján vissza is lehet állítani. Mindezt ráadásul nemcsak az emberi, de a gépi (automatizált) folyamatokra is meg tudja valósítani a program. Ennyiben a SCADA még többet is tud, mint a legtöbb üzleti szoftver Audit modulja.

Adatvédelem és hozzáférés-kezelés

A felhasználói hozzáférések szabályozása és naplózása, az erős jelszókezelés, a kétfaktoros autentikáció magának az AD szolgáltatásnak a megfelelő beállításával megoldható, a VISION pedig képes csatlakozni az AD szolgáltatásokhoz többféleképpen is (WinNT, LDAP).

Emellett képes a VISION önmaga is biztonságos beléptetést biztosítani a saját eszközeivel a programozhatósága révén. Ne felejtsük el, hogy a Node.js keretrenszer számos, a VISION saját XSDL scripting megoldásain is túlmutató lehetőséget biztosít. Az általunk gyártott JavaScript kód mindenki számára elérhető és a következő védelmeket biztosítja:

·        Strong credential storage with Argon2id (→ access control, crypto hygiene)

·        Password policy & input validation via Zod (→ secure development)

·        TOTP-based MFA (speakeasy) + backup codes (→ strong authentication)

·        Session model with short‑lived access token + rotating refresh token in HttpOnly cookie and automatic reuse detection (→ session security, incident detection)

·        Role‑based access control (RBAC) + least privilege (→ access management)

·        Rate limiting + account lockout + IP-based anomaly hinting (→ threat mitigation)

·        Centralized audit logging of authz/authn events (→ logging & traceability)

·        Secure headers (helmet), strict CORS, and TLS‑only cookie settings (→ hardening)

·        Simple secrets management via environment variables (→ governance)

Megfelelőségi (compliance) jelentések

·        Jelentések generálása automatikusan, amelyek tartalmazzák a hálózati eseményeket, hozzáférési naplókat, biztonsági intézkedéseket.

·        Rendszeres auditálás.

Monitorozás, naplózás

·        A VISION program a hálózati forgalmat folyamatosan elemzi és logolja, így képes a gyanús tevékenységek azonosítására és a forgalomban mutatkozó kiugró értékek (túlterheléses támadás) azonosítására.

·        SCADA alapfeladat az eseménynaplók részletes és hosszú távú tárolása, a naplókhoz való gyors hozzáférés, elemzés és statisztikai kiértékelés is. Így képes a VISION kimutatni a leggyakoribb rendszerszintű eseményeket bármilyen csoportosításban és időben (illetéktelen beléptetés, sikertelen beléptetés stb.).

·        Illetéktelen belépési kísérletek naplózása.

Incidens menedzsment

·        Automatikus értesítés generálás a SCADA alarm rendszerén keresztül.

·        Incidens nyugtázása és nyomkövetése részben az Audit Trail, részben a VISION megjegyzés menedzsment alrendszere által.

Végül ismét hangsúlyoznánk, hogy a VISION scripting programozhatósága és a Node.js integráció miatt a rendszer további védelmi eljárásokkal tetszőlegesen bővíthető.

Tekintse meg a témáról készült alámondásos videónkat is: