Tento článek představuje model Purdue Enterprise Reference Architecture model, známý pod názvy PERA nebo Purdue. Jedná se o standardizovaný funkční model síťové architektury průmyslového prostředí a tvoří současně s konceptem zón a spojení (tzv. Zones & Conduits) základ bezpečné segmentace OT a IT systémů.
Kybernetická bezpečnost Provozní technologie Koncept zóny a spojení PERA model průmyslový řídicí systém OT/IT segmentace
Úvod
Průmyslové řídicí a automatizační systémy (Industrial Control Systems – ICS) se používají v různých průmyslových odvětvích. Systémy ICS, které jsou součástí širší množiny provozních technologií (tzv. Operational Technologies – OT), se dělí primárně na systémy pro dohledové řízení a sběr dat (tzv. Supervisory Control and Data Aquisition – SCADA), distribuované řídicí systémy (tzv. Distributed Control System – DCS) a systémy bezpečnostní integrity (Safety Integrity Systems – SIS) [1].
Konkrétní průmyslová odvětví již také čelila nějaké formě kybernetického útoku. Z hlediska řízení bezpečnosti je tak k dispozici dostatek studijních materiálů. Je důležité zmínit, že kybernetický útok na průmyslové systémy může mít v nejhorším scénáři katastrofální důsledky pro životy lidí či pro životní prostředí. Pochopení povahy kybernetických útoků může pomoci odvodit, která konkrétní bezpečnostní opatření by měla být v organizaci zavedena pro jejich zmírnění. [1]
Přímo na základě povahy některých proběhlých útoků lze odvodit konkrétní důležitost správné segmentace mezi IT a OT sítěmi. OT systémy se tak dnes obecně potýkají s novými hrozbami způsobenými jejich propojením s IT částí podniku. Tato vzájemná konvergence tak přináší nové bezpečnostní výzvy. Porozumět, jakým způsobem se tyto technologie v průmyslovém prostředí vzájemně architektonicky protínají, je tak pro jejich zabezpečení klíčové. [2]
Purdue Enterprise Reference Architecture
Purdue Enterprise Reference Architecture (PERA) je model standardizované síťové architektury vyvinutý Theodorem J. Williamsem a členy konsorcia Industry-Purdue University Consortium for Computer Integrated Manufacturing v roce 1990. [3]
Klíčové faktory pro tvorbu funkčního modelu byly panem Williamsem definovány jako následující:
- vrstvy redukují rozsah a komplexitu problému,
- vrstvy limitují rozsah odpovědností a nutné autority,
- vrstvy rozlišují mezi délku potřebného plánování a očekávanou dobou odpovědi systémů,
- pohyb směrem dolů v rámci hierarchie vrstev snižuje nutnost potřeby plánování, přičemž se současně zvyšuje nutnost rychlosti pro požadovanou odpověď systémů.
Tento model původně doporučoval pětivrstvou síťovou architekturu pro průmyslové automatizační a řídicí systémy (viz Obr. 1). PERA model ve svém základu zobrazuje logické funkční prostředí, nikoli reálný fyzický stav systémů. [4] V průběhu let se stal klíčovým a zřejmě nejrozšířenějším modelem pro rozdělení sítí v průmyslových lokacích organizací. [6]
Tento model byl v průběhu času adoptován pracovní skupinou ISA-95 do standardu IEC 62264: Integrace podnikového řízení a kontrolních systémů (Enterprise-Control System Integration) [7]. Později byl přijat také různými národními a mezinárodními standardy kybernetické bezpečnosti. Konkrétně pracovní skupinou ISA-99 byl současně s konceptem zón a spojení (Zones and Conduits – Z&C) začleněn v roce 2010 do série neznámější série standardů průmyslové kybernetické bezpečnosti IEC 62443 [8]1.
Podobný přístup k architektuře průmyslových sítí lze nalézt také v NIST 800-82 Guide to Industrial Control Systems (ICS) Security, který přijal pro zabezpečení ICS strategii hloubkové obrany (Defence-in-Depth) [9]. Tato strategie byla vyvinuta v rámci programu Ministerstva vnitřní bezpečnosti Spojených států (The United States Department of Homeland Security – DHS). Tento program pro bezpečnost řídicích systémů (Control Systems Security Program – CSSP) výslovně odkazuje na PERA model ve své doporučené praxi. [10]
Související metodický dokument CSSP „Zlepšení kybernetické bezpečnosti průmyslového řídicího systému pomocí strategií hloubkové obrany“ poskytuje architektonické nákresy v souladu s PERA (viz Obr. 2). [11]
Důležitá je informace, že PERA model je základní síťovou architekturou všech standardizovaných automatizačních systémů. [4]2 Z hlediska kybernetické bezpečnosti je PERA model významně užitečný pro pochopení rozdílu mezi IT a OT sítěmi, protože představuje a navrhuje rozhraní mezi těmito sítěmi, tj. místo, kde se setkávají podnikové (IT) a průmyslové provozní systémy (OT). PERA model tak představuje užitečný nástroj, který lze použít k architektonickému modelování a návrhu tohoto rozhraní, a to přesto, že k tomu původně nebyl určen. [12] Na základě průběžného vývoje je na Obr. 2 znázorněno již šest vrstev modelu PERA. Tyto vrstvy jsou nazvány následovně3:
- Vrstva 0: Fyzický proces
- Vrstva 1: Základní řízení
- Vrstva 2: Dohledová vrstva
- Vrstva 3: Řízení výroby a provozu
- Vrstva 4: Lokální řízení obchodního plánování a logistiky
- Vrstva 5: Podniková síť
Vrstva 0: Fyzický proces
Vrstva 0 je místem, kde se nacházejí fyzická zařízení a kde se provádí vlastní fyzický proces. Tato zařízení jsou řízena a monitorována z vyšších vrstev. Typicky se může jednat o elektrické pohony, motory, ventily, senzory měřící různé veličiny, jako jsou rychlost, teplota, tlak a další fyzické komponenty důležité pro vykonání a podporu průmyslového procesu. Senzory a jiné inteligentní komponenty mohou odesílat data z měření a hlášení do programovatelných logických automatů (Programmable Logic Controller – PLC) a dalších zařízení na druhé vrstvě, případně současně také do řídicích částí systému, které jsou na třetí ve vrstvě 2. [13]
Pokud bude fyzická procesní vrstva kompromitována, mohl by operátor získat falešné údaje o stavu systému. Případně absence důležitého systémového bezpečnostního opatření (např. blokace uzavření ventilů) by mohla způsobit havárii. Rizika na této úrovni týkající se integrity a dostupnosti části fyzického procesu by proto mohla vést k okamžitému dopadu na bezpečnost zdraví zaměstnanců a lidí, případně na životní prostředí.
Vrstva 1: Základní řízení
Vrstva 1 představuje základní systémy pro řízení procesů a související zařízení. Tyto systémy zajišťují řízení procesu s konfigurovatelnými limity – žádanými hodnotami. Systémy v této vrstvě poskytují operátorům údaje v reálném čase prostřednictvím rozhraní člověk-stroj (Human Machine Interface – HMI) na druhé vrstvě a pomocí operátorských řídících obrazovek na třetí vrstvě. Operátoři poté interagují s fyzickou vrstvou s cílem sledovat a případně optimalizovat provoz OT systémů.
OT zařízení na této vrstvě zahrnují frekvenční měniče (Variable Frequency Drives – VFD), PLC, specializované, proporcionálně integrované derivační regulátory (Proportional Integral Derivative – PID) a další. Hlavním účelem těchto systémů je řízení otevírání ventilů, pohyb pohonů, spouštění motorů a další běžné činnosti pro vykonávání fyzického průmyslového procesu. Tato vrstva také umožňuje správu a reakci na procesní alarmy.
Řídicí obrazovky na třetí vrstvě jsou mnohdy mylně zaměňovány právě za HMI, které však mají odlišné technické specifikace a správně se nacházejí jen na druhé vrstvě PERA modelu. HMI na druhé vrstvě jsou obvykle zabudovány do systémů, jsou méně složité, poskytují menší komplexitu řízení a náhled nad menší procesu než řídicí obrazovky.
Vrstva 2: Dohledová vrstva
Hlavní systémy na vrstvě 2 jsou HMI, které umožňují interakci s různými složkami řídicího procesu. Operátoři mají přehled o procesu v reálném čase a mohou provádět různé řídicí a servisní úlohy. Spojení na této a předchozí vrstvě jsou časově kritická (zejména sítě I/O) v řádu pouhých desítek milisekund a nesnesou přerušení. [14] Podle charakteru OT systému by každé narušení mohlo vést k poškození koncového zařízení s vážnými důsledky pro konečný fyzický proces (viz výše). Z tohoto důvodu je důležité zachovat a udržet latenci přenosu dat mezi síťovými zařízeními.
Sítě na prvních třech vrstvách jsou rozmanité a obsahují různé typy průmyslových protokolů, jako jsou Modbus, Profibus, CAN Bus, DNP3, CIP a další. Některé z těchto protokolů umožňují rozšíření o hlavičky TCP/IP, což umožňuje jejich přenos po běžných sítích IP. [1] Ve srovnání s podnikovými sítěmi mají průmyslové sítě přesně definované datové toky, které se mění jen zřídka. [14]
Vrstva 3: Řízení výroby a provozu
Vrstva 3 zahrnuje mnoho funkcí druhé vrstvy, které jsou zde však integrovány společně do jednoho nebo více součástí celého systému. [14] Tyto funkce jsou obvykle zobrazeny ve velínech nebo jiném řídicím prostředí, např. můstek, řídicí místnost motoru (Engine Control Room – ECR) apod. Tato vrstva zahrnuje procesní ICS servery, které umožňují monitorovací funkci nad řídicím procesem (např. dohledové servery SCADA, servery pro archivaci historických datových nastavení – Data Historian, virtuální servery pro aplikace tenkých klientů, Systém pro řízení výroby (Manufacturing Execution System – MES) a další. Systémy a zařízení na této vrstvě nelze snadno průběžně aktualizovat, protože dostupnost těchto sítí může podléhat přísným časovým omezením. [8]
Vrstva 4: Lokální řízení obchodního plánování a logistiky
Vrstva 4 představuje IT systémy potřebné k řízení a podpoře nezbytných lokálních operací. Tato vrstva přijímá příkazy z horní páté vrstvy, monitoruje výkonnost systémů na nižších vrstvách a zajišťuje také celkové řízení lokální lokality. Typickými IT systémy jsou aplikační, databázové a souborové servery, počítače zaměstnanců pracujících v kancelářích přidružených k průmyslovému prostředí, např. k továrně, přehradě, elektrárně apod. Tyto systémy a aplikace fungují na běžné rodině síťových protokolů TCP/IP. [8] V této vrstvě a vyšší páté vrstvě již dochází ke změně náhledu na důležitost základních bezpečnostních atributů. Důvěrnost informací se stává důležitější než jejich dostupnost (která dominuje na nižších vrstvách). [12] Rozdílný náhled poté vyžaduje rozdílný přístup k řešení jejich kybernetické bezpečnosti. [2]
Vrstva 5: Podniková síť
Vrstva 5 je poslední vrstvou základní verze PERA modelu a je oblastí podnikové sítě. Zahrnuje sítě související s podnikáním, obvykle opět založené na protokolech TCP/IP. Tato vrstva představuje ve vyspělých průmyslových podnicích cíl pro dodání dat z lokálních fyzických průmyslových procesů. Vrstva se skládá ze systémů pro plánování podnikových zdrojů (Enterprise Resource Planning – ERP), které přebírají data z vrstvy 4, kde systémy jako MES mají své aplikační servery. [14] ERP poté distribuuje tato data prostřednictvím různých datových kanálů a aplikací dovnitř a vně organizace.
Z této vrstvy jsou obvykle spravovány nižší vrstvy síťové architektury, které mohou být reprezentovány více lokacemi (např. továrny, závody, pracoviště, zařízení, lodě, vrty atd.). Různá koncová zařízení na této úrovni se obvykle vyvíjejí velmi rychle a vyžadují neustálé aktualizace. Tato zóna je velmi podobná tradičním IT prostředím, z tohoto důvodu jsou zde primárně používána řešení kybernetické bezpečnosti zaměřující se na IT. [15]
Aspekty kybernetické bezpečnosti při užití PERA modelu
Důležité je upozornit, že PERA model není sám o sobě bezpečnostním modelem, jak je často zaměňováno, ale jedná se o model funkční. [4] Jako takový je používán k více účelům, např. k návrhům modernizace produkčního prostředí, integrace a optimalizace nových funkčních prostředí (např. výrobních linek) atd.
PERA model tak není používán jen k účelům bezpečnostním, ale také k dalším důležitým účelům týkajícím se průmyslového prostředí. Ačkoli lze samotným modelem PERA sítě segmentovat dle jednotlivých funkčních segmentačních vrstev za současného zvýšení určité úrovně bezpečnosti, z hlediska komplexity postrádá ve své základní podobě zobrazení kritického bezpečnostního aspektu, a tím je rozdělení sítí do jednotlivých vnitřních segmentů.
Komplexního zajištění kybernetické bezpečnosti se tedy nedosáhne přímým užitím PERA modelu, ale až se současným použitím konceptu bezpečnostních zón a spojení (Zones & Conduits – Z&C). To znamená, že výrobní prostředí může být velmi kvalitně zabezpečeno pomocí konceptu Z&C a PERA model nemusí být zároveň vůbec použit. Současně však platí zkušenost, že jednotlivé zóny a spojení mezi nimi se při dodržení funkčních zásad modelu PERA navrhují o poznání jednodušeji a přirozeněji vzhledem k tomu, jak průmyslové prostředí funguje. Tím snadněji, pokud principy PERA byly ve výrobním prostředí již použity v minulosti, např. se zavedením nových výrobních linek.
Sítě ICS jsou hierarchické, víceúrovňové a fungující s různými kyberfyzikálními komponenty v reálném čase, u nichž je milisekundová odezva nutností. Hlavním architektonickým cílem je tedy pokud možno nenarušit dostupnost těchto komponent, oddělit jednotlivé vrstvy funkčně od sebe, a nezasahovat tak do systémů a zařízení v těchto vrstvách. To platí jak na řešení kybernetické bezpečnosti mezi jednotlivými vrstvami, tak při řešení zón v rámci jednotlivých vrstev.
Dle praxe však komponenty ICS systému mohou být integrovány napříč různými vrstvami architektury, proto v závislosti na interpretaci modelu PERA mohou mít síťové architektury některé vrstvy sloučeny [8]; např. vrstva 0 může být sloučena s vrstvou 1 nebo vrstva 4 s vrstvou 5, protože tyto vrstvy sdílejí některé podobné specifikace 8 (viz Obr. 4). Zároveň by mělo být zdůrazněno, že kybernetický útok na různé vrstvy PERA modelu má v závislosti na jejich odlišných charakteristikách odlišné následky. [8]
Samostatnou kapitolou v rámci PERA modelu jsou demilitarizované zóny mezi průmyslovými sítěmi a podnikovými sítěmi (Industrial Demilitarized Zone – IDMZ) a demilitarizovaná zóna (DMZ) mezi lokalitou (např. továrnou), která odděluje lokální IT systémy od dalších částí podniku (např. od administrativní budovy), dalších subjektů (např. dodavatelů) a internetu samotného.
Konkrétní síťové architektury mohou mít DMZ a IDMZ zóny a související systémy na samostatných vrstvách, což není metodickou chybou, protože v původní i v novějších verzích modelu jsou tyto zóny uváděny samostatně a nečíslované (viz Obr. 1 a 2). DMZ tak mohou být součástí PERA modelu společně s příslušnými vrstvami nebo samostatně. V reálné praxi bývá IDMZ především některými dodavateli uváděna také jako vrstva 3,5. Toto číslování nemá ve standardech metodickou podporu, přesto může být vhodné ho pro zvýšení přehlednosti nad architekturou přijmout.
Z pohledu bezpečnosti by měla být povolena pouze nezbytná a dobře zdokumentovaná komunikační spojení mezi vrstvami (totéž platí o spojení mezi jednotlivými zónami). Tato spojení je vhodné chránit vhodným síťovým zařízením. Původně se doporučovalo chránit každou vrstvu firewallem, který zajišťuje, je-li správně nastavený a udržovaný, že se mezi vrstvami mohou přenášet pouze data povolená pro zamýšlený účel. [15] Veškerá další komunikace mezi vrstvami by měla být omezena na minimum. Vzhledem k tomu, jak se síťová zařízení vyvíjela od doby, kdy byl model PERA představen, může být tato ochrana rozšířena na další zařízení, jako jsou systémy pro detekci a prevenci průniků (IDS/IPS) a moderní jednosměrné brány (tzv. Unidirectional Gateways nebo Data Diods – datové diody).
Na základě praxe je nutné uvést, že není vždy bezpodmínečně nutné osadit všechny vrstvy či zóny těmito ochrannými zařízeními. Pro toto rozhodnutí by měl být znám rizikový profil chráněných systémů – stávající a požadovaná bezpečnostní úroveň (tzv. Security Level). [16] Jinými slovy by měl existovat skutečný důvod pro jejich implementaci na základě poměrového vztahu investice do pořízení a údržby takového zařízení vůči důležitosti chráněného systému pro organizaci současně s možností ohrožení zdraví zaměstnanců, lidí a životního prostředí např. v případě kybernetického útoku. Souvisejícím cílem je samozřejmě dodržení hlavních zásad kybernetické bezpečnosti, mezi které patří segmentace kritických systémů od nekritických, zachování důvěry prostřednictvím autentizačních mechanismů při přechodu mezi systémy z vrstvy do vrstvy a další. [8]
Samozřejmostí by mělo být také zavedení systému řízení kybernetické bezpečnosti pro průmyslové prostředí (CSMS – Cyber Security Management System) a užití vybraných kompenzačních opatření v případě absence opatření primárních. [17]
Závěrem
Tento článek se zaměřil na architektonický model Purdue Enterprise Reference Architecture (PERA) a jeho aplikaci z hlediska kybernetické bezpečnosti na průmyslové sítě. Jednotlivé vrstvy byly podrobně popsány a byl vysvětlen vztah jednotlivých OT a IT systémů a technologií, které hrají při použití tohoto modelu hlavní roli. Cílem bylo poskytnout metodickou podporu pro tvorbu vlastního podnikového architektonického návrhu s důrazem na průmyslové prostředí. Současně byl zdůrazněn aspekt, že bezpečnost průmyslových sítí je primárně řešena konceptem zón – ať již za užití PERA modelu jako funkčního podkladu, či nikoli. Užití PERA modelu však může významně zvýšit orientaci v mnohdy složitém průmyslovém prostředí. Organizace, jež správně zavedla CSMS dle IEC62443, navíc vlastní na základě tohoto standardu ke svým OT systémům také pravidelně aktualizované architektonické návrhy dle tohoto PERA modelu a aktivně používá Z&C koncept. Na tomto základě poté řídí kvalitně svoji průmyslovou kybernetickou bezpečnost.
Poznámky pod čarou:
- Hlavní standardy této série popisující bezpečnostní zóny: IEC 62443-1-1, který definuje reprezentativní architektury sítí ICS), a IEC 62443-3-2, který definuje požadavky na hodnocení rizik pro zóny a spojení.
- Podobně, jako je např. model OSI pro řešení síťové komunikace. [4]
- Je vhodné upozornit, že názvy jednotlivých vrstev se mohou v různých zdrojích mírně lišit.
Použité zdroje:
[ 1 ] DAVID, Ilja a Roman JAŠEK. Směrem k řešení OT kybernetické bezpečnosti (Towards Solution of OT Cyber Security). Data Security Management (DSM). 2023, 30. 9. 2023, 10. ISSN 2336-6745
[ 2 ] DAVID, Ilja a Roman JAŠEK. Konvergence a divergence OT a ICT technologií ve vztahu ke kybernetické bezpečnosti (Convergence and Divergence of OT and ICT Technologies in Relation to Cyber Security). Data Security Management (DSM). 2023, 30. 6. 2023, 10. ISSN 2336-6745
[ 3 ] WILLIAMS, Theodore J. The Purdue Enterprise Reference Architecture and Methodology (PERA). Institute for Interdisciplinary Engineering Studies: Purdue University, 48.
[ 4 ] MUSTARD, Steve, Industrial Cybersecurity: Case Studies and Best Practices. United States of America: International Society of Automation (ISA), 2022.
[ 5 ] WILLIAMS, T. J., RATHWELL, G. A. and LI. H, A Handbook on Master Planning and Implementation for Enterprise Integration Programs: Based On The Purdue Enterprise Reference Architecture and the Purdue Methodology. West Lafayette, Indiana: Institute for Interdisciplinary Engineering Studies, Purdue University, February 2001.
[ 6 ] BODUNGEN, Clint, Bryan SINGER, Aaron SHBEEB, Kyle WILHOIT a Stephen HILT. Hacking Exposed Industrial Control Systems: ICS and SCADA Security Secrets & Solutions. Mc Graw-Hill Education, 2016. ISBN 978-1259589713.
[ 7 ] IEC 62264. Industrial Communication Networks – Network and System Security – Part 1-1: Terminology, concepts and models. International Electrotechnical Comission, 2009.
[ 8 ] KNAPP, Eric D. a Joel Thomas LANGILL. Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems. Syngress, 2015. ISBN 978-1597496452.
[ 9 ] NIST SP 800-82: Guide to Industrial Control Systems (ICS) Security. Rev. 2. NIST, 2015.
[ 10 ] ACKERMAN, Pascal. Industrial Cybersecurity. Packt, 2012. ISBN 978-1788395984.
[ 11 ] Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies: Industrial Control Systems Cyber Emergency Response Team. The Department of Homeland Security (DHS), September 2016 [ 12 ] MACAULAY, Tyson a Bryan SINGER. Cybersecurity for Industrial Control Systems. CRC Press, 2012. ISBN 978-1439801963
[ 13 ] KNAPP, Eric D. a Joel Thomas LANGILL. Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems. Syngress, 2015. ISBN 978-1597496452.
[ 14 ] RADVANOVSKY, Robert a Jakob BRODSKY, ed. Handbook of SCADA/Control Systems Security. 2nd. Edition. CRC Press, 2016. ISBN 9780367596668.
[ 15 ] COLBERT, Edward J. M. a Alexander KOTT, ed. Cyber-security of SCADA and Other Industrial Control Systems. Springer, 2016. ISBN 978-3319321233.
[ 16 ] DAVID, Ilja a Luděk LUKÁŠ. Aplikace kompenzačních opatření pro systém vnitřních vodotěsných dveří do bezpečnostní politiky lodi dle IEC 62443 (Application of Compensating Countermeasures for System of Internal Water Tight Doors into Ship Security Policy). Elektrorevue [online]. 2021, 30. 4. 2021, 2021(23), 10. ISSN 1213–1539.
[ 17 ] DAVID, Ilja a Luděk LUKÁŠ. Řešení kompenzačních opatření kybernetické bezpečnosti dle norem IEC 62443. Data Security Management (Cyber Security Compensating Measures according to IEC 62443). Data Security Management (DSM). 2021, 1. 1. 2021, XXV(1), 7. ISSN 1211-8737.