Kybernetická bezpečnosť elektrických ochrán a riadiacich systémov podľa ISO/IEC 27019

• Foto

Kybernetické ohrozenia a aktuálna legislatíva

Kybernetické útoky v oblasti kritickej infraštruktúry výrazne narastajú. Reakciou na európskej úrovni v auguste 2016 bolo vydanie tzv. NIS (Network and Information Security) smernice, ktorá má za ciel dosiahnutie jednotnej bezpečnostnej úrovne kritickej infraštruktúry. Smernica musí byť implementovaná do národných zákonov členských štátov EU. Keďže prevádzkovatelia energetických zariadení a sietí sú zaradení do kategórie kritickej infraštruktúry je potreba na úrovni EU dosiahnuť „jednotný technický štandard“ pre elektrické ochrany a riadiace systémy. V súčasnosti etablovaným štandardom je ISO/IEC 27019, ktorý konkrétne popisuje nevyhnutné technické a bezpečnostné opatrenia pri zavádzaní „kybernetického bezpečnostného management systému“ (ISMS).

Je na prevádzkovateľoch energetických zariadení a sietí ako pristúpia k implementácii opatrení podľa ISO/IEC 27019 v konkrétnych podmienkach prevádzky.

Je na výrobcoch prístrojov elektrických ochrán a riadiacich systémov ako pristúpia k praktickej implementácii bezpečnostných funkcií do svojich produktov.

Spoločnosť Sprecher Automation ponúka technologicky moderný systém SPRECON postavený na modulárnej platforme, ktorý je vyvinutý pre nasadenie v energetických zariadeniach kritickej infraštruktúre všetkých napäťových úrovní. Systém SPRECON obsahuje všetky kybernetické bezpečnostné funkcie potrebné pre zavedenie systému ISMS a tým aj naplnenie legislatívnych požiadaviek. Systém je v súčasnosti už nasadený na mnohých zariadeniach vo viacerých krajinách sveta.

Kybernetická bezpečnosť elektrických ochrán a riadiacich systémov

Konkrétnu implementáciu opatrení podľa ISO/IEC 27019 na úrovní prístrojov elektrických ochrán a riadiacich systémov bližšie popisuje dokument BDEW Security Whitepaper „Požiadavky na kybernetickú bezpečnosť riadiacich a komunikačných systémov“. Dokument BDEW Security Whitepaper bol spracovaný konzorciom nemeckých prevádzkovateľov energetických zariadení a stal sa európskym štandardom v tejto oblasti.

Spoločnosť Sprecher Automation ponúka svojim zákazníkom detailne zdokumentované riešenie bezpečnostných funkcií v súlade s BDEW Security Whitepaper implementovaných v produktoch SPRECON. Prevádzkovateľ tak má možnosť získať jednoduché riešenie ako a efektívne implementovať opatrenia k splneniu požiadaviek ISO/IEC 27019.

Pri návrhu koncepcie systému SPRECON bol kladený veľký dôraz na implementáciu štandardných riešení a funkcionalít, ktoré umožňujú prevádzkovateľom veľkú flexibilitu
pri systémovej integrácii. 

Riadenie prístupov a sprava právomocí RBAC (Role Based Access Control)

Každý prístroj musí obsahovať funkciu povinnej identifikácie užívateľa predtým ako mu umožní prístup do zariadenia. Naviac musí byť vykonaná aj autorizácia oprávnení užívateľa založená na definovaní tzv. role, resp. rozsahu právomoci. Na základe oprávnenia „role“ dostane užívateľ prístup len k definovaným funkciám ako napr. ochranné, riadiace, konfiguračné a pod.

Definovanie a správa identifikačných hesiel a užívateľských oprávnení musí byť dynamická a zabezpečená centralizovaným systémom. Systém SPRECON podporuje štandardizovaný RADIUS protokol, ktorý umožňuje využívanie centrálnych služieb správy užívateľov v súlade s IEC 62351-8 ako napr. Windows Active Directory.

V súčasnosti máme prostredníctvom protokolu RADIUS pripojených a v centrálnej správe užívateľov niekoľko stoviek prístrojov SPRECON.

Správa a monitoring sietí LAN/WAN

Základnou požiadavkou na účinnú kybernetickú bezpečnosť systémov je správa a monitoring každého jednotlivého komponentu zapojeného do siete LAN/WAN. Každá bezpečnostná udalosť musí byť vrátane časovej značky zaevidovaná prostredníctvom tzv. „logg“ a poskytnutá na analýzu. V systéme SPRECON sú záznamy o všetkých bezpečnostných udalostiach „loggy“ archivované a štandardizovaným bezpečnostným protokolom „SYSLOG“ prenášané do centrálneho systému správy kybernetickej bezpečnosti.

Dôležitou funkciou prevádzkovej bezpečnosti prístrojov a zariadení sietí LAN/WAN je správa „Asset-Management“ a aktualizácia „patch-mamagement“. Systém SPRECON má implementovanú štandardizovanú funkciu SNMPv3.

Bezpečnosť sietí LAN/WAN – šifrovanie komunikácií

Hlavnou požiadavkou na prenos dát po sieťach LAN/WAN je ich integrita a zabezpečenie.

Systém SPRECON obsahuje šifrovacie mechanizmy prenášaných dát na úrovni každého jednotlivého prístroja využívajúce štandardizované technológie VPN (Virtual Privat Network) ako napr. IPSec alebo aj OpenVPN. Jednou z najdôležitejších a najúčinnejších bezpečnostných funkcií kybernetického zabezpečenia sietí LAN/WAN, ktoré má systém SPRECON integrovanú na úrovni každého jednotlivého prístroja je funkcia Firewall.

Patching a Patch Management

Dôležitou bezpečnostnou funkciou prístrojov a zariadení nasadzovaných v kritickej infraštruktúre je schopnosť zabezpečenej aktualizácie software, resp. operačného systému (Patching). Prostredníctvom tejto funkcie je možné rýchlo reagovať v prípade potreby riešenia bezpečnostných rizík a ohrození. Výrobca musí pritom zabezpečiť aktívnu správu bezpečnostných ohrození ako aj efektívnu komunikáciu informácií s prevádzkovateľom. Sprecher Automation je držiteľom certifikátu kybernetickej bezpečnosti ISO 27001 a má zavedený management systém bezpečnostných ohrození a zadefinované komunikačné stratégie (Patch Management). V rámci štruktúrovanej servisnej podpory zabezpečujeme pre našich zákazníkov služby profesionálnej technickej podpory pri riešení kybernetickej bezpečnosti.

Uplatnenie v praxi

Prevádzkovatelia kritickej infraštruktúry sú neustále konfrontovaní s náročnými technickými a legislatívnymi požiadavkami na bezpečnosť zariadení. Systém SPRECON predstavuje jedinečnú možnosť vyriešiť všetky funkcie kybernetickej bezpečnosti ako integrálnu súčasť elektrických ochrán a riadiacich systémov bez potreby dodatočných modulov. Takéto systémové riešenie predstavuje úsporu investičných a prevádzkových nákladov.

Sprecher Automation ponúka aj ekonomicky výhodné riešenie kybernetickej bezpečnosti jestvujúcich zariadení použitím SPRECON Security Gateway. Riešenie umožňuje naďalej využívať jestvujúce zariadenia pričom bezpečnostné funkcie (Syslog, Radius, RBAC, šifrovanie, Patching, Firewall) zabezpečuje Security Gateway.

Vďaka ucelenej koncepcie a účinnej Kybernetickej bezpečnosti nasadzujú systém SPRECON mnohí renomovaní zákazníci Sprecher Automation z oblasti Prenosu a Distribúcie energie, Dopravy, ako aj Komunálnych zariadení.

Autor

• (red)