امنیت سیستمهای صنعتی

امروزه با حضور تجهیزات و سیستم‎های کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیق تری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستم‎های هیدرولیک و نیوماتیک قدیمی، به PLC ها و سیستم‎های DCS و SCADA مجهز شده اند؛ از طرفی هم اکنون با توسعه شبکه های کامپیوتری، تجهیزات و شبکه‎ های فیلدباس در جهان به سرعت در حال تحول می باشند و بسیاری از فرآیندهای صنعتی توسط این سیستم‎ها که دارای مزایای بسیار زیادی نسبت به سایر روش ها بوده کنترل و نظارت می شوند.

هیرساویژن با بهره گیری از مهندسین مجرب و متخصص، به منظور امن سازی سیستمهای صنعتی خدماتی را به شرح زیر ارائه می دهد:

  • مشاوره سیستم مدیریت امنیت اطلاعات سیستمهای صنعتی OT-CSMS
  • طراحی و بازطراحی معماری شبکه های صنعتی
  • ارزیابی امنیتی سیستمهای صنعتی
  • آزمون تست نفوذ و مقاوم سازی سیستمهای صنعتی
  • نرم افزار لیست سفید سیستمهای صنعتی
  • بررسی پاکسازی سیستمهای صنعتی
  • طراحی و ساخت اتاق پاک سیستمهای صنعتی
  • طراحی چک لیست امنیت سیستمهای صنعتی
  • نصب و راه اندازی محصولات امنیت سیستمهای صنعتی

در ادامه به توضیح برخی از این خدمات امنیت سیستمهای صنعتی پرداخته ایم …

مشاوره سیستم مدیریت امنیت اطلاعات سیستمهای صنعتی OT-CSMS

پیشرفت های روزافزون در سیستم‎های کنترل صنعتی و تجهیزات مورد استفاده در آنها نه تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته است. علیرغم پیشرفتهای بسیار زیادی که در ساختار و عملکرد سیستم‎های کنترل صنعتی و SCADA وجود داشته، این سیستم‎ها از دیدگاه سایبری دارای ضعف های بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند. آسیب پذیری های موجود در بخش های مختلف سیستم‎های کنترل صنعتی و SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساخت‌های حیاتی کشورها، آسیب رساندن و یا ایجاد اختلال در فرآیند کاری آنها باشند. از آنجا که بروز هرگونه نارسایی در بخش های مذکور ممکن است اثرات مخرب و جبران ناپذیری برجای گذارد لذا اهمیت شناخت تهدیدات، آسیب‎ پذیریها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستم‎ها بیش از پیش احساس می شود. در همین راستا و به منظور امن ‎سازی سیستم‎های کنترل و شبکه‎ های صنعتی مبتنی بر DCS، ESD و F&G طرح امنیتی OT-CSMS مبتنی بر استاندارد IEC-62443 تدوین و ارائه می‎ گردد.

طراحی و بازطراحی معماری شبکه های صنعتی

همانطور که می‎دانیم مسئله امنیت سایبری در شبکه‎ های صنعتی یک بحث جدید و بروز بوده که در گذشته به دلیل قدیمی بودن تجهیزات و عدم وجود شناخت کافی مد نظر کارفرمایان و شرکت‎های پیمانکار قرار نمی‎گرفت. به همین دلیل بسیاری از طراحی‎های برق و ابزاردقیق بدون در نظر گرفتن امنیت سایبری انجام شده و هیچگونه راهکار امنیتی برای آنها لحاظ نشده است. شرکت مهندسی هیرساویژن به منظور ارتقا سطح امنیت صنایع مدارک و نقشه‎ های طراحی بویژه System Architecture را از کارفرما دریافت و پس از بررسی‎ مدارک و ارزیابی‎های میدانی بهترین و مناسب‎ترین نسخه As-Built مدرک مذکور را طراحی و در اختیار کارفرما قرار می‎ دهد. شکل زیر نمونه ه‎ای از طراحی سیستم کنترل Delta-V شرکت EMERSON با دیدگاه امنیت سایبری را نمایش می ‎دهد.

ارزیابی امنیتی سیستمهای صنعتی

ارزیابی امنیتی یکی مهم‎ترین اقداماتی است که لازم است در زیرساخت‎های صنعتی انجام پذیرد. انجام این فعالیت به منظور شناسایی ضعف‎ها و آسیب‎ پذیری‎های سایبری بوده که لازمه ارائه راهکارهای برطرف‎ سازی آسیب ‎پذیری‎های شناسایی شده و ارتقا سطح امنیت زیرساخت صنعتی هدف می ‎باشد. به عبارت دیگر تا آسیب‎ پذیری‎های موجود در شبکه صنعتی شناسایی نشود امکان ارائه راهکار مناسب امنیتی وجود ندارد. در این بخش شرکت پیمانکار بر اساس استانداردها و الزامات امنیتی اقدام به شناسایی و کشف آسیب ‎پذیری‎ها نموده و در نتیجه گزارش نهایی را به کارفرما ارائه می‎ نماید.

نکته بسیار مهمی که در این بخش بسیار حائز اهمیت بوده این است که کارفرما با در اختیار داشتن گزارش نهایی ارزیابی امنیتی از شرایط و وضعیت موجود شبکه صنعتی خود مطلع خواهد شد.

ارزیابی امنیتی در یک زیرساخت صنعتی محدوده‎ های زیر را پوشش می ‎دهد :

** محدوده برق : در بخش برق هر زیرساخت صنعتی المان‎ها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت می ‎تواند در بستر سایبری باشد. محدوده ای که در بخش برق مورد بررسی و ارزیابی قرار می‎ گیرد عبارتست از:

**محدوده Substation : در محدوده Substation تجهیزات و المان های متعدد برقی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المان‎ها عبارتند از :

  • کلیدهای قدرت (دژنکتورها)
  • رله‎ های حفاظتی
  • CPUهای سیستم PMS
  • CPها و ماژول های شبکه سیستم PMS
  • UPSها
  • ایستگاه های کاری مهندسی (EWS )
  • ایستگاه های کاری اپراتوری (OWS )
  • درایوهای قدرت
  • سافت استارترها
  • تجهیزات و نرم افزارهای مانیتورینگ کیفیت توان
  • لپ تاپ های صنعتی

**محدوده کنترل و ابزاردقیق : در بخش کنترل و ابزاردقیق هر زیرساخت صنعتی المان‎ها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت می‎تواند در بستر سایبری باشد. محدوده‎ هایی که در این بخش مورد بررسی و ارزیابی قرار می ‎گیرد عبارتند از :

**  محدوده پنل‎های کنترلی : در محدوده پنل‎های کنترلی تجهیزات و المان‎های مختلفی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المان‎ها عبارتند از :

  • CPUهای سیستم کنترل DCS یا PLC
  • CPهای سیستم کنترل DCS یا PLC
  • سوئیچ‎های شبکه
  • مبدل‎های شبکه
  • فایروال‎های صنعتی
  • RTU ها
  • مدم‎ها و تجهیزات SCADA (جهت ارسال اطلاعات به دیسپاچینگ) در صورت وجود
  • PLCهای راه دور موجود در فیلد

**محدوده ایستگاه‎های کاری و اتاق کنترل : در محدوده ایستگاه‎های کاری المان‎های مختلفی از جمله EWS، OWS و غیره وجود دارد که لازم است مورد بررسی قرار گرفته و امن‎ سازی گردند. این المان‎ها عبارتند از :

  • ایستگاه‎های کاری مهندسی (EWS)
  • ایستگاه‎های کاری اپراتوری (OWS)
  • ایستگاه‎های کاربردی (APS )
  • سیستم‎ عامل‎ها
  • نرم ‎افزارهای صنعتی
  • نرم ‎افزارهای غیرصنعتی
  • آنتی ویروس
  • نرم ‎افزار لیست سفید
  • نرم‎ افزار کنترل دسترسی
  • پایگاه‎های داده

** محدوده فیزیکی: کلیه محدوده‎ های فیزیکی که بر اساس استانداردهای مطرح بین‎ المللی باید مورد بررسی قرار گیرد عبارتند از :

  • محدوده فیزیکی اتاق‎های کابینت و کنترل
  • محدوده فیزیکی اتاق EWS
  • محدوده فیزیکی بایگانی اسناد، مدارک و تجهیزات صنعتی

آزمون تست نفوذ و مقاوم سازی سیستمهای صنعتی

هدف اصلی از آزمون نفوذ شناسایی ضعف‌های امنیتی است. آزمون نفوذ نیز می تواند مورد استفاده برای تست سیاست امنیتی سازمان، پیروی از الزامات انطباق، آگاهی امنیتی کارکنان و توانایی سازمان برای شناسایی و پاسخ به حوادث امنیتی باشد. معمولا اطلاعاتی که در مورد ضعف‌های امنیتی از طریق آزمون نفوذ، شناسایی و مورد سواستفاده قرار گرفته‌اند، جمع‌آوری شده و به مدیران سازمانی و سیستم‌های اطلاعاتی می‌رسد و آنها را قادر می‌سازد تصمیم‌های استراتژیک و اولویت‌بندی برای بستن راه‌های نفوذ را تعیین کنند. آزمون نفوذ بعضی اوقات حملات کلاه سفید نامیده می‌شود زیرا مهاجمینی در یک آزمون نفوذ قصد شکستن امنیت را  دارند، افراد خرابکاری نیستند. تلاش برای بهبود وضعیت کنونی امنیت در سازمان، در هر زمان و مکان و هرموقعیتی به یک اصل تبدیل شده است. در واقع یکی از اصول مهم در تمامی سطوح و گرایشهای کلیه استانداردها، در پیش گرفتن فرآیندهایی است که بهبود وضعیت را در پی داشته باشد. بخصوص این امر در تکنولوژی اطلاعات یکی از اصول تخطی ناپذیر و غیر قابل اجتناب است. حال اگر وارد حیطه شبکه های کامپیوتر و نیز نرم افزارهای گوناگون شویم، باید برای این فرآیند،راههای متناسب با آن را در اتخاذ کنیم. یکی از عمومی ترین و مهمترین این راه حلها دراین بخش استفاده از فرآیند تست نفوذ است.

آزمون نفوذ که Penetration Test هم نامیده می‌شود عمل آزمون بر روی یک سیستم کامپیوتری، شبکه، یا یک اپلیکیشن تحت وب یا تلفن همراه برای پیدا کردن آسیب پذیری‌های امنیتی است که یک مهاجم می‌توانداز آنها سواستفاده کند. آزمون نفوذ هم می‌تواند بصورت خودکار توسط ابزار انجام شود و هم می‌تواند بصورت دستی صورت گیرد. فرایند شامل جمع آوری اطلاعات در مورد هدف پیش از شروع آزمون، شناسایی نقاط شروع، تلاش برای نفوذ و درنهایت گزارش دهی از وضعیت آسیب‌پذیری‌ها است.

نرم افزار لیست سفید سیستمهای صنعتی

امروزه با توجه افزایش گستردگی و پیچیدگی حملات سایبری به ویژه حملات روز صفر که هیچگونه شناختی از آنها وجود ندارد نیاز به یک ابزار هوشمند جهت جلوگیری از بروز هرگونه رخداد سایبری از این دست به شدت احساس می ‎شود. یه همین منظور برخی از شرکت‎های تولید کننده محصولات امنیتی و همچنین سازندگان سیستم‎های برق و ابزار دقیق اقدام به طراحی و تولید یک ابزار به نام نرم‎ افزار لیست سفید نموده ‎اند. عملکرد این نرم ‎افزار بدین صورت است که پس از نصب و انجام تنظیمات لازم، کلیه فایل‎های ضروری نرم ‎افزار صنعتی ایستگاه‎های کاری و مهندسی و لپ‎تاپ‎های صنعتی را در یک حضار قرار داده و اجازه دسترسی به آنها را کاملا مسدود و محدود می‎ نماید. ویژگی بارز این ابزار جلوگیری و محدود نمودن حملات روز صفر بوده و رخدادهای سایبری از این دست را به کمترین میزان خود می ‎رساند.

طراحی و ساخت اتاق پاک سیستمهای صنعتی

اتاق پاک امنیت سایبری صنعتی مکانی است که در آن یک نمونه از تجهیزات و المان‎های صنعتی مورد استفاده در واحد صنعتی به منظور آنالیز، بررسی، تست و انجام برخی فعالیت‎های سایبری راه ‎اندازی و اجرا می ‎شود. طراحی این اتاق باید به گونه‎ای صورت پذیرد که در یک گستره محدود بتوان حداکثر ساختار سیستم برق و کنترل را پیاده‎ سازی و اجرا نمود. همچنین در این اتاق سه عدد سیستم با آنتی‎ ویروس‎ها و ابزارهای امنیتی متعدد به منظور انجام فعالیت‎های امنیت سایبری و به ویژه پاک‎سازی مدیای خارجی و لپ‎تاپ‎های صنعتی جانمایی، نصب و پیکربندی می‎ شوند.

فهرست