امنیت سیستمهای صنعتی
امروزه با حضور تجهیزات و سیستمهای کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیق تری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستمهای هیدرولیک و نیوماتیک قدیمی، به PLC ها و سیستمهای DCS و SCADA مجهز شده اند؛ از طرفی هم اکنون با توسعه شبکه های کامپیوتری، تجهیزات و شبکه های فیلدباس در جهان به سرعت در حال تحول می باشند و بسیاری از فرآیندهای صنعتی توسط این سیستمها که دارای مزایای بسیار زیادی نسبت به سایر روش ها بوده کنترل و نظارت می شوند.
هیرساویژن با بهره گیری از مهندسین مجرب و متخصص، به منظور امن سازی سیستمهای صنعتی خدماتی را به شرح زیر ارائه می دهد:
- مشاوره سیستم مدیریت امنیت اطلاعات سیستمهای صنعتی OT-CSMS
- طراحی و بازطراحی معماری شبکه های صنعتی
- ارزیابی امنیتی سیستمهای صنعتی
- آزمون تست نفوذ و مقاوم سازی سیستمهای صنعتی
- نرم افزار لیست سفید سیستمهای صنعتی
- بررسی پاکسازی سیستمهای صنعتی
- طراحی و ساخت اتاق پاک سیستمهای صنعتی
- طراحی چک لیست امنیت سیستمهای صنعتی
- نصب و راه اندازی محصولات امنیت سیستمهای صنعتی
در ادامه به توضیح برخی از این خدمات امنیت سیستمهای صنعتی پرداخته ایم …
مشاوره سیستم مدیریت امنیت اطلاعات سیستمهای صنعتی OT-CSMS
پیشرفت های روزافزون در سیستمهای کنترل صنعتی و تجهیزات مورد استفاده در آنها نه تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته است. علیرغم پیشرفتهای بسیار زیادی که در ساختار و عملکرد سیستمهای کنترل صنعتی و SCADA وجود داشته، این سیستمها از دیدگاه سایبری دارای ضعف های بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند. آسیب پذیری های موجود در بخش های مختلف سیستمهای کنترل صنعتی و SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساختهای حیاتی کشورها، آسیب رساندن و یا ایجاد اختلال در فرآیند کاری آنها باشند. از آنجا که بروز هرگونه نارسایی در بخش های مذکور ممکن است اثرات مخرب و جبران ناپذیری برجای گذارد لذا اهمیت شناخت تهدیدات، آسیب پذیریها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستمها بیش از پیش احساس می شود. در همین راستا و به منظور امن سازی سیستمهای کنترل و شبکه های صنعتی مبتنی بر DCS، ESD و F&G طرح امنیتی OT-CSMS مبتنی بر استاندارد IEC-62443 تدوین و ارائه می گردد.
طراحی و بازطراحی معماری شبکه های صنعتی
همانطور که میدانیم مسئله امنیت سایبری در شبکه های صنعتی یک بحث جدید و بروز بوده که در گذشته به دلیل قدیمی بودن تجهیزات و عدم وجود شناخت کافی مد نظر کارفرمایان و شرکتهای پیمانکار قرار نمیگرفت. به همین دلیل بسیاری از طراحیهای برق و ابزاردقیق بدون در نظر گرفتن امنیت سایبری انجام شده و هیچگونه راهکار امنیتی برای آنها لحاظ نشده است. شرکت مهندسی هیرساویژن به منظور ارتقا سطح امنیت صنایع مدارک و نقشه های طراحی بویژه System Architecture را از کارفرما دریافت و پس از بررسی مدارک و ارزیابیهای میدانی بهترین و مناسبترین نسخه As-Built مدرک مذکور را طراحی و در اختیار کارفرما قرار می دهد. شکل زیر نمونه های از طراحی سیستم کنترل Delta-V شرکت EMERSON با دیدگاه امنیت سایبری را نمایش می دهد.
ارزیابی امنیتی سیستمهای صنعتی
ارزیابی امنیتی یکی مهمترین اقداماتی است که لازم است در زیرساختهای صنعتی انجام پذیرد. انجام این فعالیت به منظور شناسایی ضعفها و آسیب پذیریهای سایبری بوده که لازمه ارائه راهکارهای برطرف سازی آسیب پذیریهای شناسایی شده و ارتقا سطح امنیت زیرساخت صنعتی هدف می باشد. به عبارت دیگر تا آسیب پذیریهای موجود در شبکه صنعتی شناسایی نشود امکان ارائه راهکار مناسب امنیتی وجود ندارد. در این بخش شرکت پیمانکار بر اساس استانداردها و الزامات امنیتی اقدام به شناسایی و کشف آسیب پذیریها نموده و در نتیجه گزارش نهایی را به کارفرما ارائه می نماید.
نکته بسیار مهمی که در این بخش بسیار حائز اهمیت بوده این است که کارفرما با در اختیار داشتن گزارش نهایی ارزیابی امنیتی از شرایط و وضعیت موجود شبکه صنعتی خود مطلع خواهد شد.
ارزیابی امنیتی در یک زیرساخت صنعتی محدوده های زیر را پوشش می دهد :
** محدوده برق : در بخش برق هر زیرساخت صنعتی المانها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت می تواند در بستر سایبری باشد. محدوده ای که در بخش برق مورد بررسی و ارزیابی قرار می گیرد عبارتست از:
**محدوده Substation : در محدوده Substation تجهیزات و المان های متعدد برقی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المانها عبارتند از :
- کلیدهای قدرت (دژنکتورها)
- رله های حفاظتی
- CPUهای سیستم PMS
- CPها و ماژول های شبکه سیستم PMS
- UPSها
- ایستگاه های کاری مهندسی (EWS )
- ایستگاه های کاری اپراتوری (OWS )
- درایوهای قدرت
- سافت استارترها
- تجهیزات و نرم افزارهای مانیتورینگ کیفیت توان
- لپ تاپ های صنعتی
**محدوده کنترل و ابزاردقیق : در بخش کنترل و ابزاردقیق هر زیرساخت صنعتی المانها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت میتواند در بستر سایبری باشد. محدوده هایی که در این بخش مورد بررسی و ارزیابی قرار می گیرد عبارتند از :
** محدوده پنلهای کنترلی : در محدوده پنلهای کنترلی تجهیزات و المانهای مختلفی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المانها عبارتند از :
- CPUهای سیستم کنترل DCS یا PLC
- CPهای سیستم کنترل DCS یا PLC
- سوئیچهای شبکه
- مبدلهای شبکه
- فایروالهای صنعتی
- RTU ها
- مدمها و تجهیزات SCADA (جهت ارسال اطلاعات به دیسپاچینگ) در صورت وجود
- PLCهای راه دور موجود در فیلد
**محدوده ایستگاههای کاری و اتاق کنترل : در محدوده ایستگاههای کاری المانهای مختلفی از جمله EWS، OWS و غیره وجود دارد که لازم است مورد بررسی قرار گرفته و امن سازی گردند. این المانها عبارتند از :
- ایستگاههای کاری مهندسی (EWS)
- ایستگاههای کاری اپراتوری (OWS)
- ایستگاههای کاربردی (APS )
- سیستم عاملها
- نرم افزارهای صنعتی
- نرم افزارهای غیرصنعتی
- آنتی ویروس
- نرم افزار لیست سفید
- نرم افزار کنترل دسترسی
- پایگاههای داده
** محدوده فیزیکی: کلیه محدوده های فیزیکی که بر اساس استانداردهای مطرح بین المللی باید مورد بررسی قرار گیرد عبارتند از :
- محدوده فیزیکی اتاقهای کابینت و کنترل
- محدوده فیزیکی اتاق EWS
- محدوده فیزیکی بایگانی اسناد، مدارک و تجهیزات صنعتی
آزمون تست نفوذ و مقاوم سازی سیستمهای صنعتی
هدف اصلی از آزمون نفوذ شناسایی ضعفهای امنیتی است. آزمون نفوذ نیز می تواند مورد استفاده برای تست سیاست امنیتی سازمان، پیروی از الزامات انطباق، آگاهی امنیتی کارکنان و توانایی سازمان برای شناسایی و پاسخ به حوادث امنیتی باشد. معمولا اطلاعاتی که در مورد ضعفهای امنیتی از طریق آزمون نفوذ، شناسایی و مورد سواستفاده قرار گرفتهاند، جمعآوری شده و به مدیران سازمانی و سیستمهای اطلاعاتی میرسد و آنها را قادر میسازد تصمیمهای استراتژیک و اولویتبندی برای بستن راههای نفوذ را تعیین کنند. آزمون نفوذ بعضی اوقات حملات کلاه سفید نامیده میشود زیرا مهاجمینی در یک آزمون نفوذ قصد شکستن امنیت را دارند، افراد خرابکاری نیستند. تلاش برای بهبود وضعیت کنونی امنیت در سازمان، در هر زمان و مکان و هرموقعیتی به یک اصل تبدیل شده است. در واقع یکی از اصول مهم در تمامی سطوح و گرایشهای کلیه استانداردها، در پیش گرفتن فرآیندهایی است که بهبود وضعیت را در پی داشته باشد. بخصوص این امر در تکنولوژی اطلاعات یکی از اصول تخطی ناپذیر و غیر قابل اجتناب است. حال اگر وارد حیطه شبکه های کامپیوتر و نیز نرم افزارهای گوناگون شویم، باید برای این فرآیند،راههای متناسب با آن را در اتخاذ کنیم. یکی از عمومی ترین و مهمترین این راه حلها دراین بخش استفاده از فرآیند تست نفوذ است.
آزمون نفوذ که Penetration Test هم نامیده میشود عمل آزمون بر روی یک سیستم کامپیوتری، شبکه، یا یک اپلیکیشن تحت وب یا تلفن همراه برای پیدا کردن آسیب پذیریهای امنیتی است که یک مهاجم میتوانداز آنها سواستفاده کند. آزمون نفوذ هم میتواند بصورت خودکار توسط ابزار انجام شود و هم میتواند بصورت دستی صورت گیرد. فرایند شامل جمع آوری اطلاعات در مورد هدف پیش از شروع آزمون، شناسایی نقاط شروع، تلاش برای نفوذ و درنهایت گزارش دهی از وضعیت آسیبپذیریها است.
نرم افزار لیست سفید سیستمهای صنعتی
امروزه با توجه افزایش گستردگی و پیچیدگی حملات سایبری به ویژه حملات روز صفر که هیچگونه شناختی از آنها وجود ندارد نیاز به یک ابزار هوشمند جهت جلوگیری از بروز هرگونه رخداد سایبری از این دست به شدت احساس می شود. یه همین منظور برخی از شرکتهای تولید کننده محصولات امنیتی و همچنین سازندگان سیستمهای برق و ابزار دقیق اقدام به طراحی و تولید یک ابزار به نام نرم افزار لیست سفید نموده اند. عملکرد این نرم افزار بدین صورت است که پس از نصب و انجام تنظیمات لازم، کلیه فایلهای ضروری نرم افزار صنعتی ایستگاههای کاری و مهندسی و لپتاپهای صنعتی را در یک حضار قرار داده و اجازه دسترسی به آنها را کاملا مسدود و محدود می نماید. ویژگی بارز این ابزار جلوگیری و محدود نمودن حملات روز صفر بوده و رخدادهای سایبری از این دست را به کمترین میزان خود می رساند.
طراحی و ساخت اتاق پاک سیستمهای صنعتی
اتاق پاک امنیت سایبری صنعتی مکانی است که در آن یک نمونه از تجهیزات و المانهای صنعتی مورد استفاده در واحد صنعتی به منظور آنالیز، بررسی، تست و انجام برخی فعالیتهای سایبری راه اندازی و اجرا می شود. طراحی این اتاق باید به گونهای صورت پذیرد که در یک گستره محدود بتوان حداکثر ساختار سیستم برق و کنترل را پیاده سازی و اجرا نمود. همچنین در این اتاق سه عدد سیستم با آنتی ویروسها و ابزارهای امنیتی متعدد به منظور انجام فعالیتهای امنیت سایبری و به ویژه پاکسازی مدیای خارجی و لپتاپهای صنعتی جانمایی، نصب و پیکربندی می شوند.