hirdetés
hirdetés

Ipari adatbiztonság

Gyártógépek biztonságos és egyszerű távelérése

A leszállított gépek távoli elérése iránti igény már jóval az ipar 4.0 betörése előtt megjelent. A gépgyártók számára a távoli karbantartás, a diagnosztika vagy akár az adatgyűjtés ma már alapvető fontossággal bír: a pandémia ideje alatt pedig egyre nagyobb igény jelentkezett erre. Hiszen számos ipari létesítményre be sem lehetett jutni, távolról kellett hozzáférni az üzemi (OT) rendszerekhez. Ahhoz viszont, hogy ez a távelérés legalább nagyjából biztonságos legyen, néhány alapvető kritériumnak meg kell felelni.

hirdetés

Fontos tisztázni, hogy 100 százalékos biztonság nincsen, a kockázatokat lehet csökkenteni. Ahogy szinte minden hétre jut egy globálisan is elhíresült kibertámadás, és napi szinten van minden üzem kitéve a hackerek akcióinak, ez a kockázat egyre nő. Amikor „véletlenül” bekerül a vezérlőszekrénybe egy „ismeretlen eredetű” – IT által nem jóváhagyott – LTE-modem, vagy egy PC-t illesztenek az üzemi (OT) hálózatba korlátlan Teamviewer-eléréssel, akkor ugyan megvalósul a hőn áhított távoli diagnosztika, hibaelhárítás és adatgyűjtés, és megnyílnak a kapuk a prediktív karbantartás és a gyártási folyamatok optimalizálása felé, ugyanakkor szépen kitárjuk az ablakunkat a hackerek felé is. A világhálón publikusan látható PLC-k java része ugyan csak a távoli hibaelhárítás idejére érhető el, de néha ez az időablak többnapos vagy -hetes, és teljes felügyelet nélküli, így jelentős veszélyt rejt magában.

Az alábbiakban összeszedtünk néhány olyan kritériumot, amelyeknek mindenképp meg kell felelni ahhoz, hogy egy modern és egyben biztonságos megoldást tudjunk létrehozni a leszállított gyártógépek táveléréséhez.

Legyen egyszerű a konfiguráció!

Mi a legnagyobb előnye a korábban említett, „szürkezónás” LTE-routeres, illetve a teamvieweres megoldásnak? Az, hogy egyszerűen megoldja a távelérés problémáját. Ha az IT-ra esetleg hetekig kell várni, mire kapunk VPN-hozzáférést, akkor ezt nagyon nehéz praktikusan szembeállítani azzal, hogy felpattintok a DIN-sínre egy LTE-routert, adok neki tápot, 5 perc alatt bekonfigurálom, és máris elérem a gépemet. Sajnos a klasszikus irodai környezetre szabott eljárások és szabályok a legtöbb esetben nehezen alkalmazhatók az OT-hálózatok területén, itt elő is kerül a sokszor emlegetett IT–OT-ellentét. Míg az informatika a maximális adatbiztonság köré építi fel a policy halmokat, az OT számára az elsődleges szempont a rendelkezésre állás, hiszen a gépnek gyártania kell, az üzem nem állhat le, különben folyamatosan veszteséget termelünk.

Ez a fajta körülményesség különösen akkor tud fájni, amikor mindössze egy néhány hetes tesztidőszakra szeretnék kérni távelérést, hogy ne kelljen folyamatosan ott lenni a gépeknél, hiszen ezáltal jóval egyszerűbb a beüzemelés, kevesebb kiszállással jár, így a költségek is csökkenthetők.

Mindezek miatt elengedhetetlen, hogy az OT területén dolgozó mérnök kollégák vagy akár a gépgyártók maguk olyan egyszerű eszközökkel dolgozzanak, amelyeket gyorsan, saját maguk be tudnak konfigurálni anélkül, hogy hosszú évek tapasztalatai lennének a hátuk mögött tűzfalak és routerek konfigurálása terén.

Feleljen meg az alapvető biztonsági elvárásoknak!

Amikor azt mondjuk, hogy egy távelérést nyújtó eszköz megfelel az alapvető biztonsági előírásoknak, akkor beszélhetünk egyrészt az adatbiztonságról – amely magában foglalja például az end-to-end titkosítást –, másrészt pedig a szolgáltatás- és időalapú engedélyezési lehetőségekről.

Az engedélyezési lehetőségek esetén az alábbiakat mindenképpen érdemes figyelembe venni:

  1. Időablakos elérés során lehessen engedélyezni, hogy pontosan ki, mikor és milyen szolgáltatáshoz férhet hozzá a gépeket illetően, így elkerülhetjük a korlátlan és átláthatatlan hozzáférést.
  2. Kiemelten fontos, hogy akinek hozzáférést adunk, az ne az egész hálózathoz férjen hozzá, hanem csak azokhoz a gépekhez, amelyekre specifikusan szüksége van. Itt előkerülhet még az ipari protokollok támogatása és engedélyezése, például ha csak Modbuson vagy Profineten akarunk az adott géppel kommunikálni, akkor csak azt engedélyezzük!
  3. Az engedélyezést ideális esetben a helyi üzemeltető hardveresen is szabályozhatja. Ez akkor lehet hasznos, amikor az üzemi személyzet nem szeretné, hogy bárki ránézhessen a rendszerre távolról, tiltja a hozzáférést, viszont ha éppen szüksége van erre valakinek, egy fizikai kulccsal vagy dedikált USB-eszközzel azonnal tudja engedélyezni. Az, hogy nemcsak virtuális, de hardveres védelem is elérhető, mindenképpen nagyobb biztonságérzetet ad.

Mindemellett még fontos, hogy az eszköz olyan portokat használjon, amelyeket az IT általában használ és engedélyez, így az informatikai csapattal történő egyeztetés és az engedélyezési folyamat is egyszerűbb lesz.

A megoldások már elérhetőek, de még nem terjedtek el

Habár már évek óta léteznek olyan megoldások, amelyekkel megvalósítható a gyártógépek biztonságos távoli elérése, még korántsem terjedtek el széles körben. Ennek egyik legfontosabb oka – azon kívül, hogy ezek az eszközök költségesek, és kevesen kalkulálnak ezzel, főleg amíg nem éri őket komolyabb kár a hiányukban –, hogy az eddigi megoldások konfigurációjához egy feketeöves informatikai szakemberre volt szükség.

A néhány éve piacra dobott Moxa Remote Connect funkcionalitásában óriási újdonságokat nem hozott a korábban már elérhető, például a régóta ezzel a területtel kiemelten foglalkozó MB Connect eszközei mellett, viszont a maga faék egyszerűségével, a 9 lépéses varázslójának köszönhetően elfogadhatóvá teszi az automatizálási mérnökök számára is. Mindemellett megfelel az ipari környezeti feltételeknek, támogatja az alapvető IT-biztonsági elvárásokat, el lehet kerülni vele az IP-cím-ütközéseket, szoftveresen és hardveresen is lehet korlátozni a szolgáltatások elérését, és még egy sor olyan funkciót támogat, amely által megbízható, biztonságos és kényelmes megoldást nyújt a leszállított gépek távoli eléréséhez.

Az eszköz mellé 5 éven keresztül jár egy 5 egyidejű kapcsolatot és havi 5 Gigabyte adatforgalmat magában foglaló Quick Connect szolgáltatás, így az egyszeri bekerülési költségek mellett jó ideig nem kell további költségekkel számolni.

Ha egy adott vállalatnál nem lenne engedélyezett publikus felhőszolgáltatáson alapuló megoldás használata, akkor az MRC Server saját szerverparkon is futtatható, megvásárolható.

Cikkünk eredetileg a GyártásTrend júniusi lapszámában volt olvasható.

(forrás: Com-Forth Kft.)
hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés