cz
en

Obsluha MaR z hlediska kyberbezpečnosti

Při provozování systému řízení budovy jsme povinni dodržovat celou řadu bezpečnostních pravidel. Od roku 2024 k nim přibyly i nové zásady, týkající se kybernetické bezpečnosti. I když kybernetická bezpečnost systému řízení budovy musí být řešena dávno před začátkem provozu, subjektem, který nese dopady všech problémů, je nakonec provozovatel. Formální stránku řeší směrnice NIS2, resp. Zákon o kybernetické bezpečnosti. Praktické otázky, kterým se věnuje tento text, by ale měly vždy být pojímány v kontextu celkové bezpečnostní politiky organizace, tedy interních směrnic, provozních řádů a podobně.

Práce provozovatele resp. obsluhy řídicího systému začíná už v době přebírání budovy či technologie od dodavatele nebo předchozího vlastníka či provozující firmy. Provozovatel musí nejprve zjistit následující informace a zpracovat je tak, aby je měl k dispozici – tedy uložit v papírové a (nebo) digitální podobě a zajistit jejich zálohy: 

Kontakty na dodavatele MaR

Jméno a adresa dodavatelské firmy, jména, telefony, e-maily. Kontakt na servisní oddělení, neboť pozáruční péči může poskytovat jiné oddělení firmy, než které zakázku realizovalo.  

Dokumentace skutečného provedení 

Pokud možno co nejdříve po předání a přímo od dodavatele. V případě, že dokumentaci dodává generální dodavatel nebo dodavatel nadřazeného celku, skutečné provedení nemusí být úplné nebo aktuální. Doporučuje se vždy ověřit aktuálnost podkladů s firmou, která řídicí systém uváděla do provozu. 

Fyzická přístupnost zařízení 

Management klíčů a ochrana částí řídicího systému, jako jsou rozvaděče (zejména ty s vnějšími ovládacími prvky), kabelové trasy, ale i některé periferie, především takové, které mají uživatelské rozhraní pro konfiguraci – displej a tlačítka (frekvenční měniče, FV střídače a podobně). 

  • Servery mají být instalovány ve vyhovujícím prostředí (serverovna, rack)
  • Totéž platí pro další aktivní i pasivní síťové prvky - routery, switche, bridge atd. Zejména u bezdrátových pojítek, která jsou instalována na střeše kvůli viditelnosti protistrany, nutno zabezpečit, aby k nim neměla přístup nepovolaná osoba  
  • Podle možností blokujte periferie počítače (CD mechaniku, čtečky karet, USB porty...) 
  • Použijte UPS s dostatečnou kapacitou pro překlenutí krátkodobých výpadků napájení. 

Práce s grafickou centrálou - počítačem 

V podstatě jde o běžná pravidla pro bezpečnou práci s osobním počítačem, stanovená ve spolupráci s místním oddělením IT. 

  • Administrátorský účet používejte jen pro konfiguraci a instalaci programů, ne pro běžný provoz 
  • Odinstalujte nepotřebné programy a nepoužívejte počítač k žádnému jinému účelu 
  • Pravidelně aktualizujte systém, pokud to jde (musí být přístup na Internet) 
  • V případě použití IIS (Merbon SCADA) používejte zabezpečený protokol (https://), což mj. znamená vytvoření a nasazení SSL certifikátu ve spolupráci s IT 
  • Pravidelně revidujte uživatelské účty jak operačního systému, tak programu SCADA i dalších (kontrola, zda nejsou definováni uživatelé, kteří již nejsou zaměstnáni atd.) 
  • Pokud je to v souladu s IT politikou zákazníka, vynucujte změnu hesla po čase 
  • Vynuťte přiměřenou složitost a délku hesla ve Scadě 
  • Pravidelně (automaticky) zálohujte projekt včetně historických dat a logů a kontrolujte obnovitelnost záloh 
  • Hesla a další přihlašovací údaje skladujte pouze v programech k tomu určených (keepass atd.).

Přístupnost zařízení přes Internet

Rozšíření předchozího bodu pro případ, že systém je dostupný pro obsluhu nebo servis přes síť Internet. 

  • Ideální je provozovat řídicí systém v samostatné síti, oddělené od ostatní IT infrastruktury.  
  • Pokud má být na vizualizaci přístup z Internetu, PC ideálně umístěte do demilitarizované zóny (ve spolupráci s oddělením IT) 
  • Vzdálený přístup řešte zásadně přes VPN, nenechávejte jen otevřený port pro vzdálenou plochu (RDP) nebo podobné služby (VNC) 
  • Pravidelně revidujte možnosti vzdáleného přístupu (otevřené porty, VPN konta) 
  • Povolte přístup jen z určitých veřejných IP adres (pro vzdálený servis) 
  • Pokud je využit webový přístup v PLC, nepoužívejte výchozí uživatelská jména a hesla (nutno určit při programování) a použijte přístup https:// (SSL certifikáty ve spolupráci s vlastníkem domény, přes kterou bude přístup realizován) 
  • Je pro ovládání použita aplikace pro mobilní telefony? Pokud ano, stanovte vnitrofiremní pravidla pro její používání 
  • Využívá dodavatel MaR pro servis dálkový přístup? Pokud ano, podložte tento vztah písemnou smlouvou, která určuje technické standardy a povinnosti jednotlivých stran 
  • Je-li použita VPN, zazálohujte konfiguraci, certifikáty a přístupové údaje 
  • Nepřipojujte do technologické sítě další zařízení s internetovou konektivitou – LTE routery atd. – bez vědomí správce IT! 

Nastavení PLC a dalších komponent (převodníky, rozhraní) 

Obvykle ve spolupráci s technikem, který uvádí zařízení do provozu, dále pravidelně při periodických servisních prohlídkách. 

  • U standardních síťových zařízení, jako jsou routery, bezdrátová pojítka atd., změňte heslo z výchozího na jiné, dostatečně silné. Nové heslo bezpečně uložte.  
  • Při uvádění do provozu nechte změnit výchozí hesla v PLC či terminálu a bezpečně je uložte. Týká se to hesel pro SSCP, webový přístup i uživatelský přístup k terminálům 
  • Zbytečně nepovolujte terminálové přístupy (SSH), FTP přístupy atd. Zablokujte je po uvedení do provozu, pokud to zařízení umožňuje (SW nastavení, přepínač atd.) 
  • Neupravujte nastavení firewallu v linuxových PLC 
  • Při servisních prohlídkách revidujte uživatelská konta pro HMI 
  • Zajistěte, aby firmware v routerech (dodávkách MaR) byl v aktuálním stavu, nejlépe jako službu - profylaktický servis - dodavatele MaR 
  • Nezasahujte do aplikačního softwaru ani nastavení firmwaru v PLC. Neautorizovaný zásah vede ke ztrátě záruky. 
  • Jsou-li použity SSL certifikáty, zajistěte jejich pravidelnou obnovu a instalaci do PLC. 

Ostatní a obecné body

Jde hlavně o získání dostatečných zdrojů pro zajištění kybernetické bezpečnosti – vyhradit si potřebný čas, určit vlastníků aktiv a jejich odpovědností, zajistit peníze na HW a SW prostředky, služby jako servis, školení a certifikace atd. 

Více poznámek týkajících se projektování, programování a provozování je např. zde https://www.domat-int.com/cs/faq-a-technicka-podpora, sekce Bezpečnost u řídicích systémů.