ISA 140 امنیت شبکه های و Operational Technology

ISA 140 امنیت شبکه های Operational Technology را بدون هیچگونه اغمازی برقرار می کند:

• امنیت شبکه OT در عصر انقلاب صنعتی چهارم بسیار حیاتی است

از آنجایی که انقلاب صنعتی چهارم (Industry 4.0) و تحول دیجیتال به بخشی اساسی در تولید هوشمند تبدیل شده است، ایجاد یک شبکه قابل اعتماد بین دستگاه ­ها به اولین قدم به سمت آینده ایمن OT تبدیل شده است. برای جمع­ آوری و تجزیه و تحلیل تمام داده­های ایجاد شده در طی مراحل تولید، به معنای واقعی کلمه، هر دستگاه، واحد یا تجهیزاتی باید به سنسور (های) مجهز و به شبکه داخلی متصل شوند. با این حال ، متاسفانه آنلاین ماندن، نه تنها به معنای راحتی است، بلکه ممکن است انواع مختلفی از خطرات و ناامنی­ های سایبری را نیز به همراه داشته باشد. حتی اگر فقط یک دستگاه در شبکه OT آلوده باشد، تأثیرات نهانی یا وقفه های هزینه بر در  تولید اجتناب­ ناپذیر خواهند بود. نیازی به یادآوری خسارات و تلفاتی که در پی آن متوجه کسب و کارشما می­شود، نیست.

توجه عمده مدیران کارخانه­ ها  به بهره ­وری است و توجه کمی به امنیت OT می­کنند. معمولاً هیچ کارشناس IT مختص حفاظت از امنیت اطلاعات در تاسیسات تولیدی دیده نمی­شود. در محیط های صنعتی که انواع مختلفی از دستگاه­های جدید و قدیمی به هم متصل شده­ اند، امنیت OT بسیار آسیب پذیر است. حتی اگر معیارهای امنیت سایبری بخوبی بکار گرفته شده باشند، حفظ و نگهداری از شبکه کار طاقت فرسایی است.

موارد زیر برخی از اقدامات معمول برای امنیت OT است:

• جداسازی شبکه سبب دسته بندی تمامی دستگاه ­های متصل در کارخانه می شود بطوریکه ارتباطات بین بخش ها تحت مدیریت مناسب قرار می گیرد تا در صورت لزوم به سادگی این ارتباطات قطع شود. برای تحقق این منظور، توصیه می­شود شبکه OT را بخش­بندی کنید، واحدهای امنیتی را در نقاط حساس شبکه مستقر کنید و همچنین سیاست­های ارتباطی در هر گره از این بخش­ها را تعیین کنید.
• دیدبانی مستمر شبکه به معنی ایجاد تصویری واضح از آن است. علاوه بر حملات خارجی، نقاط ضعف داخلی تهدیدهای بیشتری برای شبکه­های OT ایجاد می­کنند. تهدیدهای مخرب، مانند بدافزار یا نرم­افزارهای جاسوسی، در هر بخش محافظت نشده ممکن است وجود داشته باشد یا بدون جلب توجه گسترش یابد. یک رویکرد موثر برای ارتقای میدان دید در شبکه­ها، بکارگیری تعدادی «کاوشگر» یا ردیاب­های کوچک در داخل اینترانت است. با تجزیه و تحلیل مستمر شبکه، تشخیص تهدیدات بالقوه و واکنش به موقع برای جلوگیری از رخنه های امنیتی آسان­تر است.

• محافظت از دارایی­ های کلیدی نیز مرحله مهم دیگری است که به راحتی نادیده گرفته می­شود. دستگاه­ های متصل به شبکه در هر سایت تولیدی اندازه­ ها، انواع و کاربردهای مختلفی دارند و بنابراین از نظر اهمیت متفاوت هستند. هر یک از آن­ها می­توانند در معرض حملات سایبری آسیب پذیر باشند و تبعات آسیب وارده به تولید متفاوت باشد. اکیدا توصیه می­شود چندین سطح حفاظت، متناسب با اهمیت نسبی دستگاه ­ها برای کل سیستم فراهم شود. به عنوان مثال، یک خط کامل تولید SMT و یک حسگر نظارت محیطی کارخانه از نظر درجه اهمیت کاملاً غیر قابل مقایسه هستند.

موارد فوق نشان می­دهد که چگونه امنیت OT از بسیاری جنبه ­ها با امنیت IT متعارف متفاوت است. برخلاف واحدهای امنیتی IT با کارایی بالا ، که معمولاً اندازه بزرگی دارند اما کم ­تعداد هستند، آنچه که برای زمینه­ های امنیتی OT مناسب تر است تعداد نسبتاً زیادی از واحدهای سبک است. مابین و در داخل بخش­های شبکه، در مقابل دارایی­ های کلیدی، یا حتی در داخل کابینت ها یا جعبه ها در محل تولید واحدهای امنیتی مستقر باید از پوشش همگانی اینترانت اطمینان حاصل کنند. با این وجود، مدیریت صحیح و موثر روی سیستم امنیتی OT ممکن است برای متخصصین امنیت به چالش تبدیل شود.

برای گرفتن یک تصمیم مقرون به صرفه در انتخاب راه حل­های امنیت سایبری، ایجاد تعادل بین استقرار ، بهره برداری و مدیریت بسیار مهم است. عملکردهای مدیریت از راه دور خارج از باند (OOB) و مکانیسم میانبر ISA 140 را گزینه ای ایده آل هم برای بهره ­برداری و هم مدیریت می­کند. OOB از روشن کردن، خاموش کردن (Shut Down) و راه­اندازی مجدد دستگاه­ ها از راه دور پشتیبانی می­کند در حالی که مکانیسم Bypass، قابلیت دسترسی اتصالات شبکه را حفظ کرده و روزهای متخصصین OT را بسیار راحت­تر می­کند. اندازه کوچک دستگاه به همراه شش پورت 1GBE RJ45 وجه دیگری را برای سرپرست OT ترسیم می کند تا از اتکا به قابلیت های آن برای ایجاد تعداد زیادی از اتصالات به دستگاه­ ها  بدون هیچ گونه ریسک در امنیت اطمینان حاصل ­کند.

EPS (رویداد در هر ثانیه) استانداردی باسابقه در زمینه امنیت سایبری است. EPS که به طور گسترده توسط تأمین کنندگان به عنوان شاخص کارایی پذیرفته شده است همچنین مرجعی محکم برای هر کسی است که به دنبال یک خرید هوشمند است.

در یک آزمایش کاربردی میدانی EPS (شکل 1) در کارخانه تولید تجهیزات امنیت شبکه نکسکام(Nexcom NCS)  بنام Huaya Plant قابلیت دسترسی و کارایی ISA 140 همراه با نصب eSAF (بسته امنیت سایبری TMRTEK) بعنوان نمونه بررسی شد. Huaya Plant صرفا یک سایت تولیدی نیست بلکه همچنین یک مرکز آزمایشی برای تولید هوشمند است که تجسم دیدگاه NEXCOM برای انقلاب صنعتی نسل چهار است. جعبه­ های تقسیم به عنوان وسیله­ای برای ادغام یا تقویت سیگنال­ های ارتباطی در این برنامه ISA 140 ، به ویژه برای سیم کشی شبکه در یک سایت عظیمی مانند Huaya  به کار گرفته شدند. از آنجا که جعبه­ های تقسیم معمولاً باید در فضاهای محدود یا با دسترسی سخت قرار بگیرند، اندازه جمع و جور ISA 140 آنرا متمایزکرده است، زیرا می­توان آن را به راحتی در یک جعبه تقسیم قرار داد و بدون مشکل در هر گوشه­ ای جای داد.

شکل (1)

شکل 2 یک نسخه­ ی نمایشی تجمیع شده است که بر اساس چارچوب پیشنهادی ما ارائه شده است. از طریق ISA 140 و eSAF ، همه دستگاه­ های متصل، از جمله سنسورها، فیکسچرها، گیت­ها و سرورها به شبکه­ های فرعی تقسیم می­شوند. ارتباطات بین دستگاه ­ها با رویدادهای گزارش شده به مرکز کنترل، مدیریت و نظارت می­شوند. براساس نتایج آزمایشگاه آزمون NEXCOM در سایتHuaya  دستگاه ISA  140 همراه با eSAF بصورت متوسط بیش از 500 EPS گزارش کرد. ISA 140 از تولید در برابر تهدیدات سایبری خارجی و داخلی محافظت می­کند و تفکیک شبکه آن به طور موثری از انتشار آسیب جلوگیری می­کند.

شکل (2)

نتیجه ­گیری:

ISA 140 یک راهکار برای فایروال صنعتی کم حجم با طراحی بادوام است. یک پردازنده دو هسته ای Intel Atom® با شش پورت 1GbE RJ45 قابلیت اتصال ایمن برای پردازش چندین دستگاه را تضمین می­کند. این دستگاه مجهز به LTE  یا Wi-Fi پوشش گسترده شبکه با قابلیت اطمینان بالا را ارائه می­دهد. OOB مدیریت از راه دور را بسیار آسان می­کند همچنین توانایی ادامه فعالیت دستگاه در بازه دمایی گسترده (Operating temperature: -40°C~75°C) کارکرد پایدار آنرا را حتی در محیط­ های خشن تضمین می­کند.

ISA 140 بهترین انتخاب برای محافظت IoT صنعتی شما است. نتیجه آزمون ثابت می­کند که ISA 140 در حالیکه بالاترین حد گزارش دهی رخداد را حفظ می کند از کارایی آن به هیچ وجه کم نمی شود. این امر به حداقل رساندن تعداد دستگاه های نصب شده و در نتیجه کاهش کلی هزینه های بهره برداری و نگهداری کمک می­کند. طراحی جمع و جور و ریل ماونت آن جای دادن ISA 140 در ساختار شبکه موجود به راحتی امکان پذیر می­کند. با پیروی از یک اصل اساسی در ایجاد شبکه تفکیک شده، تلاش­ها برای ارتقای امنیت OT را به حداقل می رساند. سرپرستان شبکه فقط باید تعداد مناسبی از گره­ ها را به عنوان نقاط بازرسی امنیتی پیاده ­سازی کرده و یک دستگاه ISA 140 به همراه نرم­ افزار امنیتی لازم را در هر گره مستقر کنند.

یک نرم افزار امنیتی سفارشی شده (مثلا eSAF) همه بسته­ هایی که از طریق ISA  140 عبور می­کنند را نظارت و مدیریت می کند و همه بسته­ های مضر احتمالی را مسدود کرده، رفتارهای مشکوک را گزارش می­دهد و از دسترس ی­های غیرمجاز جلوگیری می­کند. هم افزایی سخت افزار و نرم افزار تضمین می­کند که در صورت بروز هرگونه رخداد مرتبط با امنیت سایبری همه شبکه ها تحت کنترل هستند.