Loading

Blogg

Recent ActivityRecent Activity

Bezpieczeństwo sieci w produkcji żywności

Producenci żywności zbierają owoce konwergencji operacyjnych systemów sterowania procesami z systemami informatycznymi, uzyskując większe zyski i lepszy wgląd we wskaźniki KPI w czasie rzeczywistym. Można powiedzieć, że przechodzą oni na jasną stronę przemysłu przyszłości.

Nikt już nie zbiera informacji przy użyciu ołówka i papieru, ograniczając w ten sposób wielkość zbioru danych. Nikt już nie wprowadza wartości do arkusza kalkulacyjnego z odręcznych notatek, ryzykując popełnieniem błędów. Nikt już nie analizuje danych pochodzących sprzed kilku dniu ani nawet kilku godzin, gdyż są one zwyczajnie nieaktualne.

Zamiast tego producenci wyobrażają sobie możliwość szybkiego dostępu do wyselekcjonowanych zgodnie z żądanym kontekstem danych w czasie rzeczywistym. Wyobrażają sobie koncepcję Connected Enterprise.

Żadnej z tych rzeczy nie będzie można osiągnąć bez stworzenia wspólnej infrastruktury komunikacyjnej umożliwiającej wymianę informacji między osobnymi, niepołączonymi dotąd systemami automatyki przemysłowej. Innymi słowy, bez zastosowania technologii EtherNet/IP™. Bez względu na oczekiwania związane z koncepcją Connected Enterprise, wszystkie one zaczynają się od infrastruktury sieciowej, która ma być transparentna dla użytkowników, zabezpieczona przed zagrożeniami i umożliwiać dostęp do informacji w czasie rzeczywistym.

Jednak udostępnienie informacji wiąże się dla producentów żywności z wkroczeniem na terytorium nowych zagrożeń. Na tym terytorium można spotkać niebezpiecznych hakerów, ale także uczciwych pracowników, którzy często nie zdają sobie sprawy z konsekwencji podejmowanych przez siebie pozornie zwykłych działań. Zakres zagrożeń może być bardzo szeroki: od zanieczyszczenia produktu po utratę własności intelektualnej.

Nie ma co do tego wątpliwości: otwarty, łatwy dostęp do informacji jest nieodłącznym ryzykiem związanym z przemysłem przyszłości. Obecnie można sprawnie śledzić i analizować pochodzenie składników w gotowym produkcie, partii lub serii. Można uzyskać wgląd w warunki, w jakich powstawał produkt, i dowiedzieć się, dokąd ostatecznie trafił. Możemy mieć ciastko, a wiedząc, skąd pochodzi mąka i czy zawiera alergeny, RÓWNIEŻ to ciastko zjeść!

Możemy uczynić to bez obaw, ponieważ znamy sposoby ograniczania ryzyka, zabezpieczania receptur oraz ochrony marki. Jednakże podejście do ograniczania ryzyka związanego z bezpieczeństwem w konwergentnym środowisku sieciowym obejmującym cały zakład musi być holistyczne i wielopoziomowe oraz uwzględniać zarówno zagrożenia zewnętrzne, jak i wewnętrzne.

Bezpieczne środowisko impulsem do innowacji

Bezpieczeństwo sieci może wydawać się skomplikowane. Wróć. Bezpieczeństwo sieci JEST skomplikowane. Jednak, patrząc na nie z punktu widzenia potencjalnego producenta żywności, warto wyjaśnić niektóre ważne kwestie. Przyjrzyjmy się przykładowemu producentowi ciastek, który chce przejść z ręcznego odmierzania składników, konfigurowania wyposażenia i raportowania produkcji na system automatyczny ze zdalnym dostępem do niego poprzez technologię EtherNet/IP.

Po przeprowadzeniu audytu zakładu nasz producent odkrył pierwsze dwie możliwości poprawy bezpieczeństwa. Po pierwsze, nie wszyscy pracownicy potrzebują takiego samego fizycznego dostępu do serwerów i stacji klienckich systemów produkcji. Po drugie, w przypadku pracowników łączących się z zewnątrz zakładu wymagane są uwierzytelnienie i autoryzacja w celu wykrycia użytkowników o nieuczciwych zamiarach.

Nasz producent ciastek dowiedział się, że wdrożenie technologii EtherNet/IP spowoduje, że pracownicy będą korzystali ze sprzętu w sposób, z którym nie są zaznajomieni. Wszyscy przykładowo wiedzą, co to jest port USB, jednak port USB na serwerze lub kliencie HMI, mimo że pozornie zwyczajny, wymaga sprecyzowanych zasad jego wykorzystania.

Jakie zagrożenie bezpieczeństwa wiąże się z portem USB? Osoby o nieuczciwych zamiarach mogą pozostawiać pendrive'y przed zakładami produkcyjnymi. Pendrive'y wydają się niegroźne dla osoby, która je znalazła, dopóki wirus lub oprogramowanie szpiegujące nie zostanie przeniesione z pendrive'a do sieci, przez którą przesyłane są dane z produkcji do sieci przedsiębiorstwa. W ten sposób konkurencja może przejąć własność intelektualną firmy i osiągnąć znaczne korzyści poprzez zmniejszenie nakładów na własne prace badawczo-rozwojowe.

Ale nie muszą to być pendrive'y. Często porty USB traktowane są jako stacje ładujące do telefonów czy odtwarzaczy muzycznych itp. Nasz uczciwy pracownik jest nieświadomy, że urządzenia te mogą przenosić wirusy i oprogramowanie szpiegujące. Właśnie z tego powodu ważne jest ograniczenie fizycznego dostępu do urządzeń, maszyn i stanowisk sterowania wyłącznie do upoważnionych pracowników. Do zabezpieczenia otwartych portów, takich jak USB, przed nieupoważnionym dostępem można na przykład użyć kłódek i oznaczeń LOTO.

Ponieważ nasz producent ciastek potrzebuje nieograniczonego dostępu do nowo zautomatyzowanych procesów w celu ich udoskonalania i poznawania, wymaga on, aby pracownicy mieli dostęp do informacji z każdego miejsca i o każdej porze. Kierownicy mogą sprawdzać harmonogramy partii, wykorzystanie materiałów itp. Pracownicy utrzymania ruchu mogą diagnozować odchylenia operacyjne z dowolnego miejsca spoza zakładu.

Jednak zapewnienie pracownikom dostępu z zewnątrz zakładu lub nawet dostępu z tabletów wewnątrz zakładu oznacza potencjalne otwarcie dostępu osobom o nieuczciwych zamiarach próbującym uzyskać zdalnie nieupoważniony dostęp.

To, z czego producent zaczął sobie zdawać sprawę, to znaczenie technologii zapewniających bezpieczeństwo sieci. W takim przypadku rozwiązania uwierzytelniania, które ograniczają zdalny dostęp do sterownika na podstawie poziomu uprawnień użytkownika, mogą nawet całkowicie ograniczyć dostęp dla pewnych użytkowników, a innym zapewnić dostęp w trybie tylko do odczytu.

Celem jest zablokowanie możliwości logowania do sieci pewnym osobom i zezwolenie na logowanie innym, oraz ograniczenie dostępu wyłącznie do określonych użytkowników, źródeł, lokalizacji czy protokołów.

Wnioski płynące ze wstępnej oceny zakładu to: zabezpieczenie warstwy fizycznej, uwierzytelnianie i autoryzacja użytkowników oraz stosowanie odpowiednich rozwiązań.

Bezpieczeństwo w skomplikowanym świecie

Oczywiście nasz przykładowy producent ciastek żyje w prostszym świecie niż ten, który nas otacza. Producenci korzystają w swoich zakładach z różnych technologii i muszą myśleć o bezpieczeństwie w kontekście konkretnych urządzeń i aplikacji.

Jak tego dokonać? Topologia logiczna zakładu produkcyjnego powinna uwzględniać każdą strefę, począwszy od strefy gniazda/stanowiska po strefę przedsiębiorstwa. W przypadku połączenia z systemem obsługi przedsiębiorstwa należy rozważyć wykorzystanie przemysłowej strefy zdemilitaryzowanej, która zabezpiecza wymianę danych pomiędzy zakładem produkcyjnym a nadrzędną organizacją.

Na szczęście dla producentów żywności w realnym świecie istnieje zbiór najlepszych praktyk, które pomagają we wdrożeniu bezpiecznej technologii EtherNet/IP. Aby dowiedzieć się więcej o tym, co jest potrzebne do stworzenia bezpiecznej sieci przemysłowej, odkryj serię naszych szkoleń e-learningowych Design Considerations for Securing Industrial Automation and Control System Networks oraz Industrial IP Advantage.


Scott Johnston
Scott Johnston
Principal Consultant, Network and Security Services, Rockwell Automation
Scott Johnston
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You