Správa aktív je proces, ktorý zahŕňa neustálu kontrolu dostupných komponentov, aby sa zabezpečilo, že sú aktuálne. To umožňuje identifikovať a okamžite eliminovať ich potenciálne bezpečnostné riziká a zraniteľnosti. Aktíva môžu mať rôzne formy. Tradične k nim patria riadiaci systém alebo priemyselné PC. Ako aktíva sú však uvedené aj špeciálne zariadenia internetu vecí (IoT) alebo automatizačné zariadenia a softvérovo definované zdroje, ako sú ovládacie aplikácie alebo opätovne načítateľné aplikácie. V oblasti OT môže každé zariadenie, zdroj alebo služba predstavovať riziko alebo môže mať zraniteľné miesta, ktoré by mohli viesť k narušeniu konkrétneho zdroja a následne aj siete ako celku, ak hackeri použijú takýto zdroj ako bránu na útok v plnom rozsahu.

Výhody na prvý pohľad

Vďaka správe priemyselných aktív získava podnik prehľad, ktorý potrebuje na rozvoj dlhodobej bezpečnostnej stratégie. Tá môže byť použitá ako základ na udržiavanie aktív v aktuálnom stave a umožňuje rýchlo a proaktívne sa brániť proti hrozbám. Tento typ prístupu ponúka niekoľko kľúčových výhod:

  • Inventarizácia: Keď je zavedený spoľahlivý proces správy aktív, možno nové služby a zdroje OT identifikovať a použiť bez ohrozenia bezpečnosti spoločnosti.
  • Schopnosť vzájomnej prepojiteľnosti (z angl. interoperability): Spoločnosti využívajú OT služby a komponenty od rôznych výrobcov. Musí byť v záujme kybernetickej bezpečnosti spravovať aj tieto aktíva, najlepšie prostredníctvom centrálnej služby. Správa zariadení a aktualizácií postavená na technológii OPC UA zaisťuje, že možno spravovať priemyselné aktíva bez ohľadu na výrobcu.
  • Konzistentné aktualizácie: Správa zariadení a aktualizácií je schopná implementovať dôležité bezpečnostné aj funkčné aktualizácie pre všetky priamo dostupné aktíva. To platí aj pre aktíva na nižších úrovniach prepojených s hlavnými aktívami.
  • Jednoduché a bezpečné prijímanie aktualizácií: Osoby zodpovedné za aktíva alebo bezpečnostné tímy musia byť včas informované o aktualizáciách od výrobcov aktív. Na tento účel sa správa zariadení a aktualizácií môže pripojiť k úložisku aktualizácií, ktoré poskytuje výrobca, a v pravidelných intervaloch v ňom vyhľadávať nové verzie nasadených prostriedkov. Ak je k dispozícii aktualizácia, možno ju získať priamo a bez straty integrity.
  • Flexibilné použitie: Správa zariadení a aktualizácií môže byť nasadená v rôznych prostrediach. Možno ju použiť vo forme aplikácie na priemyselnom PC, softvéru na PC alebo ako IT kontajner. V závislosti od aplikácie môže byť správa zariadení použitá vo všetkých týchto prípadoch s identickou funkcionalitou (obr. 1).

Opísaná správa zariadení a aktualizácií dáva spoločnostiam lepšiu pozíciu na odhaľovanie bezpečnostných rizík a reakciu na ne. Hoci je správa priemyselných aktív len jednou zložkou efektívnej stratégie kybernetickej bezpečnosti, vo väčšine prípadov nie je možné implementovať proaktívne bezpečnostné opatrenia bez centrálnej správy aktív.

Dôsledky nedostatočného alebo žiadneho riadenia

Zle implementovaná správa zariadení a aktualizácií alebo úplná absencia správy priemyselných aktív komplikuje viac ako len bezpečnostné postupy. Vytvára tiež kritické riziká pre celý podnik vrátane vyššieho rizika prerušenia podnikania. Ak kľúčové údaje alebo systémy už nie sú dostupné z dôvodu narušenia bezpečnosti, spoločnosť nemusí byť schopná ďalej fungovať. Takéto prerušenia poškodzujú povesť podniku a vedú aj k vážnym finančným následkom. Neadekvátna správa zariadení a aktualizácií tiež narúša nepretržitú a presnú inventúru zdrojov OT. Ak operátori nevedia, kde sa jednotlivé aktíva v ich podniku nachádzajú, nikdy nemôžu skutočne poznať oblasti, ktoré predstavujú najväčšie riziká. Tento nedostatok istoty sťažuje efektívne použitie bezpečnostných prostriedkov, keď sa vyskytnú riziká.

Neefektívna správa priemyselných aktív zároveň narúša schopnosť bezpečnostných tímov efektívne fungovať. Činnosti spojené s bezpečnosťou je ťažké automatizovať, ak operátori nemajú presný zoznam existujúcich zdrojov a rizík. Namiesto toho sa ich bezpečnostné tímy musia spoliehať na manuálnu lokalizáciu a zabezpečenie zariadení, čo predstavuje neefektívne využitie času a peňazí (obr. 2).

Proces trvalého monitorovania

Keďže existuje mnoho foriem zdrojov umiestnených v rámci OT a s nimi súvisiace bezpečnostné riziká, správa zariadení a aktualizácií je proces, ktorý zahŕňa množstvo činností. Prístup k správe priemyselných aktív sa líši od spoločnosti k spoločnosti v závislosti od ohrozených zdrojov. Piliere procesu pre typickú spoločnosť sú (obr. 3):

  • Identifikácia zariadení: Identifikáciou a posúdením každého kritického bodu v sieti z hľadiska bezpečnostnej zraniteľnosti môžu tímy okamžite podniknúť kroky na odstránenie problémov.
  • Identifikácia úloh: Správa priemyselných aktív poskytuje podporu pri identifikácii úloh s cieľom vyplniť bezpečnostné medzery alebo zaviesť nové funkcie.
  • Plánovanie implementácie: Keďže aktualizácie môžu mať rôznu úroveň naliehavosti, správa zariadení a aktualizácií ponúka možnosť spustiť aktualizáciu okamžite alebo v konkrétnom čase.
  • Inštalácia aktualizácií: Po naplánovaní úloh a ich priorizácii v systéme správy priemyselných aktív sa aktualizácia nainštaluje do aktív. V tejto súvislosti si bezpečnostný tím môže vybrať, či sa má aktualizácia prejaviť ihneď po prenose alebo neskôr.

Je dôležité si uvedomiť, že mnohé z opísaných zdrojov sa neustále menia. Sieťové zariadenia môžu prichádzať a odchádzať. To je dôvod, prečo musia byť procesy správy priemyselných aktív vykonávané nepretržite, aby držali krok s rýchlo sa vyvíjajúcim prostredím.

Aktualizácia softvéru pomocou OPC UA

Na správu softvéru patriaceho k aktívam sa používa model aktualizácie softvéru definovaný v špecifikácii OPC UA 10000-100. Môže ísť o inštaláciu nového softvéru, aktualizáciu existujúceho softvéru, aktualizáciu firmvéru a vykonanie obmedzeného zálohovania a obnovy parametrov a firmvéru podľa potreby aktualizácie (obr. 4).

Štandard OPC UA možno použiť okrem iného v nasledujúcich aplikáciách bez ohľadu na to, o ktorého výrobcu ide:

  • Aktualizácia zariadení pomocou klientskeho softvéru na aktualizáciu softvéru. Ak treba riešiť obmedzenia špecifické pre doménu, môže to vyžadovať klientsky softvér špecifický pre doménu. Tento softvér napríklad zastaví aktualizáciu zariadenia nachádzajúceho sa vo výrobnej prevádzke, zatiaľ čo v procesnej časti treba aktivovať redundantné zariadenie.
  • Aktualizáciu softvéru možno použiť na akékoľvek zariadenie alebo softvérový komponent, ktorý sa nachádza v adresnom priestore servera.
  • Ak sa má v stroji alebo zariadení aktualizovať viacero pripojených zariadení, musia sa najskôr prepnúť do špecifického režimu, v ktorom čakajú na spustenie aktualizácie a keď neobnovujú svoju prevádzku.
  • Zálohovanie a obnovenie na rýchle (opätovné) uvedenie do prevádzky po možnom zlyhaní systému alebo výmene zariadenia: údaje, ktoré boli predtým zálohované, sa prenesú do (nového) zariadenia a obnoví sa pôvodný stav.

Záver

Správa priemyselných aktív nebola v minulosti pre podniky vysokou prioritou. Neexistovali totiž vhodné nástroje na automatizáciu procesov správy priemyselných aktív. Manuálne priebežné riadenie zásob nebolo praktické. V súčasnosti, vďaka vývoju automatizovaných nástrojov na identifikáciu zdrojov a hrozieb, zohráva správa priemyselných aktív zásadnú úlohu v mnohých odvetviach, kde je potrebné realizovať činnosti spojené s bezpečnosťou. Správa aktív nie je kľúčová len pre softvérové a IT spoločnosti. Je zásadná pre každú spoločnosť, ktorá sa spolieha na softvér a hardvér a na udržanie svojej prevádzky. To platí v súčasnosti takmer pre každú spoločnosť.

Tomáš Kura
obchod.sk@phoenixcontact.com