Obsluha MaR z hlediska kyberbezpečnosti
Při provozování systému řízení budovy jsme povinni dodržovat celou řadu bezpečnostních pravidel. Od roku 2024 k nim přibyly i nové zásady, týkající se kybernetické bezpečnosti. I když kybernetická bezpečnost systému řízení budovy musí být řešena dávno před začátkem provozu, subjektem, který nese dopady všech problémů, je nakonec provozovatel. Formální stránku řeší směrnice NIS2, resp. Zákon o kybernetické bezpečnosti. Praktické otázky, kterým se věnuje tento text, by ale měly vždy být pojímány v kontextu celkové bezpečnostní politiky organizace, tedy interních směrnic, provozních řádů a podobně.
Práce provozovatele resp. obsluhy řídicího systému začíná už v době přebírání budovy či technologie od dodavatele nebo předchozího vlastníka či provozující firmy. Provozovatel musí nejprve zjistit následující informace a zpracovat je tak, aby je měl k dispozici – tedy uložit v papírové a (nebo) digitální podobě a zajistit jejich zálohy:
Kontakty na dodavatele MaR
Jméno a adresa dodavatelské firmy, jména, telefony, e-maily. Kontakt na servisní oddělení, neboť pozáruční péči může poskytovat jiné oddělení firmy, než které zakázku realizovalo.
Dokumentace skutečného provedení
Pokud možno co nejdříve po předání a přímo od dodavatele. V případě, že dokumentaci dodává generální dodavatel nebo dodavatel nadřazeného celku, skutečné provedení nemusí být úplné nebo aktuální. Doporučuje se vždy ověřit aktuálnost podkladů s firmou, která řídicí systém uváděla do provozu.
Fyzická přístupnost zařízení
Management klíčů a ochrana částí řídicího systému, jako jsou rozvaděče (zejména ty s vnějšími ovládacími prvky), kabelové trasy, ale i některé periferie, především takové, které mají uživatelské rozhraní pro konfiguraci – displej a tlačítka (frekvenční měniče, FV střídače a podobně).
- Servery mají být instalovány ve vyhovujícím prostředí (serverovna, rack)
- Totéž platí pro další aktivní i pasivní síťové prvky - routery, switche, bridge atd. Zejména u bezdrátových pojítek, která jsou instalována na střeše kvůli viditelnosti protistrany, nutno zabezpečit, aby k nim neměla přístup nepovolaná osoba
- Podle možností blokujte periferie počítače (CD mechaniku, čtečky karet, USB porty...)
- Použijte UPS s dostatečnou kapacitou pro překlenutí krátkodobých výpadků napájení.
Práce s grafickou centrálou - počítačem
V podstatě jde o běžná pravidla pro bezpečnou práci s osobním počítačem, stanovená ve spolupráci s místním oddělením IT.
- Administrátorský účet používejte jen pro konfiguraci a instalaci programů, ne pro běžný provoz
- Odinstalujte nepotřebné programy a nepoužívejte počítač k žádnému jinému účelu
- Pravidelně aktualizujte systém, pokud to jde (musí být přístup na Internet)
- V případě použití IIS (Merbon SCADA) používejte zabezpečený protokol (https://), což mj. znamená vytvoření a nasazení SSL certifikátu ve spolupráci s IT
- Pravidelně revidujte uživatelské účty jak operačního systému, tak programu SCADA i dalších (kontrola, zda nejsou definováni uživatelé, kteří již nejsou zaměstnáni atd.)
- Pokud je to v souladu s IT politikou zákazníka, vynucujte změnu hesla po čase
- Vynuťte přiměřenou složitost a délku hesla ve Scadě
- Pravidelně (automaticky) zálohujte projekt včetně historických dat a logů a kontrolujte obnovitelnost záloh
- Hesla a další přihlašovací údaje skladujte pouze v programech k tomu určených (keepass atd.).
Přístupnost zařízení přes Internet
Rozšíření předchozího bodu pro případ, že systém je dostupný pro obsluhu nebo servis přes síť Internet.
- Ideální je provozovat řídicí systém v samostatné síti, oddělené od ostatní IT infrastruktury.
- Pokud má být na vizualizaci přístup z Internetu, PC ideálně umístěte do demilitarizované zóny (ve spolupráci s oddělením IT)
- Vzdálený přístup řešte zásadně přes VPN, nenechávejte jen otevřený port pro vzdálenou plochu (RDP) nebo podobné služby (VNC)
- Pravidelně revidujte možnosti vzdáleného přístupu (otevřené porty, VPN konta)
- Povolte přístup jen z určitých veřejných IP adres (pro vzdálený servis)
- Pokud je využit webový přístup v PLC, nepoužívejte výchozí uživatelská jména a hesla (nutno určit při programování) a použijte přístup https:// (SSL certifikáty ve spolupráci s vlastníkem domény, přes kterou bude přístup realizován)
- Je pro ovládání použita aplikace pro mobilní telefony? Pokud ano, stanovte vnitrofiremní pravidla pro její používání
- Využívá dodavatel MaR pro servis dálkový přístup? Pokud ano, podložte tento vztah písemnou smlouvou, která určuje technické standardy a povinnosti jednotlivých stran
- Je-li použita VPN, zazálohujte konfiguraci, certifikáty a přístupové údaje
- Nepřipojujte do technologické sítě další zařízení s internetovou konektivitou – LTE routery atd. – bez vědomí správce IT!
Nastavení PLC a dalších komponent (převodníky, rozhraní)
Obvykle ve spolupráci s technikem, který uvádí zařízení do provozu, dále pravidelně při periodických servisních prohlídkách.
- U standardních síťových zařízení, jako jsou routery, bezdrátová pojítka atd., změňte heslo z výchozího na jiné, dostatečně silné. Nové heslo bezpečně uložte.
- Při uvádění do provozu nechte změnit výchozí hesla v PLC či terminálu a bezpečně je uložte. Týká se to hesel pro SSCP, webový přístup i uživatelský přístup k terminálům
- Zbytečně nepovolujte terminálové přístupy (SSH), FTP přístupy atd. Zablokujte je po uvedení do provozu, pokud to zařízení umožňuje (SW nastavení, přepínač atd.)
- Neupravujte nastavení firewallu v linuxových PLC
- Při servisních prohlídkách revidujte uživatelská konta pro HMI
- Zajistěte, aby firmware v routerech (dodávkách MaR) byl v aktuálním stavu, nejlépe jako službu - profylaktický servis - dodavatele MaR
- Nezasahujte do aplikačního softwaru ani nastavení firmwaru v PLC. Neautorizovaný zásah vede ke ztrátě záruky.
- Jsou-li použity SSL certifikáty, zajistěte jejich pravidelnou obnovu a instalaci do PLC.
Ostatní a obecné body
Jde hlavně o získání dostatečných zdrojů pro zajištění kybernetické bezpečnosti – vyhradit si potřebný čas, určit vlastníků aktiv a jejich odpovědností, zajistit peníze na HW a SW prostředky, služby jako servis, školení a certifikace atd.
Více poznámek týkajících se projektování, programování a provozování je např. zde https://www.domat-int.com/cs/faq-a-technicka-podpora, sekce Bezpečnost u řídicích systémů.