Zastúpenie firiem Vipa, Deltalogic, Profichip, Ewon, Procentec a Weintek. Predaj HW, tvorba SW, inžinierska činnosť.

VIPA PROFINET CPU - 4 komunikačné porty: PROFINET I/O, Ethernet PG/OP, PROFIBUS, MPI

Adaptéry NetLink aj pre Windows7 a TIA Portal

eWON COSY - pripája PLC cez internet ešte jednoduchšie

COMbricks - PROFIBUS trvale pod dohľadom

eMT3000 - nový rad dotykových panelov

Brány ADFWeb - pre všetky sériové a ethernetové protokoly

ControlSystem

Je cloudový prístup k strojom dostatočne bezpečný?

Je cloudový prístup k strojom dostatočne bezpečný?

Pre výrobcov strojov, ktorí ponúkajú pre svoje zariadenia vzdialený internetový servis je veľkým problémom prispôsobiť sa požiadavkám na informatickú bezpečnosť, ktorú zabezpečujú pracovníci IT oddelení  koncového užívateľa strojov a výrobných liniek.

Tradičné obavy o bezpečnosť z pohľadu koncového užívateľa

Mnohí z IT technikov, ktorí spravujú siete koncových užívateľov má  skúsenosti s poskytovaním vzdialeného prístupu pomocou „tradičnej“ VPN metódy. Pri jej použití je potrebné, aby sa  pre každého dodávateľa stroja nakonfiguroval a udržiaval vyhradený VPN tunel. Tento sa vytvorí prichádzajúcim spojením z internetu cez firemný firewall  a pracovník dodávateľa  sa tak môže dostať k pripojenému stroju.  Z popisu je zrejmé, že pri tejto metóde vznikajú určité prirodzené komplikácie.

Po prvé, riadiaci systém, panel, pohony a iné stanice stroja musia byť pripojené do podnikovej siete koncového užívateľa. To vyžaduje prispôsobenie sieťových parametrov a IP adries týchto zariadení, t.j. každý stroj výrobcu musí byť nastavený podľa konkrétneho umiestnenia u zákazníka.
Po druhé, IT oddelenie musí poskytnúť dodávateľovi stroja svoj preferovaný VPN softvér a pomáhať pri nastavení  každého PC alebo notebooku, ktorý má byť použitý pre vzdialený prístup. Administrátorom týchto počítačov je samozrejme dodávateľ a preto nemusia vždy spĺňať prísne bezpečnostné normy, ktoré sú požadované pre „interné“ PC.

 

Vzhľadom k tomu, že IT oddelenie umožní  „cudzej osobe“ prístup do svojej výrobnej siete, musia byť realizované komplexné opatrenia na ochranu pred jeho neoprávnenými aktivitami. To môže zahŕňať celý rozsah opatrení od obmedzenia IP adries, na ktoré môže užívateľ pristupovať, až po sofistikované anti-intrusion, packet-sniffing a rôzne antivírusové systémy.
Pri vyhodnotení všetkých horeuvedených skutočností potom mnohé vedenia firiem dospejú k záveru, že potenciálne bezpečnostné riziko je vyššie ako sú benefity, ktoré prináša poskytnutie vzdialeného prístupu pre dodávateľa. Existujú však moderné cloudové riešenia vzdialeného prístupu, ktoré pracujú na inom princípe a nevyžadujú realizáciu všetkých spomínaných opatrení. Pre ilustráciu budeme uvažovať o dobre známom a široko používanom riešení eWON Talk2M, ktoré zahŕňa VPN smerovač eWON (COSY alebo Flexy) a cloudový servis Talk2M.

Moderný vzdialený prístup = izolovaný stroj v podnikovej sieti

Prvým hľadiskom je otázka izolácie stroja v podnikovej sieti. VPN router eWON dokáže  izolovať internú sieť stroja od výrobnej siete a súčasne poskytuje možnosť bezpečného prepojenia medzi týmito dvoma sieťami. Vďaka tomu IP adresy môžu byť nakonfigurované tak, ako vyhovujú dodávateľovi stroja. Prakticky každý dodaný stroj môže byť inštalovaný s rovnakými IP adresami, čo výrazne zjednodušuje štruktúru siete a tiež znižuje náklady pri návrhu, konštrukcii a uvádzaní stroja do prevádzky.

 

Moderný vzdialený prístup = iný spôsob, ako dosiahnuť bezpečnú VPN

Cieľom riešenia je, aby pracovník dodávateľa komunikoval iba so zariadeniami, za ktoré je zodpovedný a nemal možnosť prístupu ku zvyšku siete. To je presne funkcia, ktorú cloudové riešenie eWON Talk2M poskytuje. Smerovač eWON vytvorí odchádzajúce spojenie k jednému z 14 serverov vo svete, ktoré vytvárajú cloudový servis Talk2M. Prostredníctvom Talk2M sa môže spojiť  so smerovačom eWON a komunikovať iba so zariadeniami, ktoré sú k nemu pripojené. Jednotliví pracovníci dodávateľa môžu mať  navyše rôzne prístupové oprávnenia napr. programátor PLC, technológ a pod.

Moderný vzdialený prístup = zvýšená bezpečnosť a menej úloh pre IT oddelenia

Vzhľadom k tomu, že VPN tunel je vytvorený zvnútra podnikovej siete ku cloudovej službe Talk2M, jedinou požiadavkou na IT infraštruktúru prevádzkovateľa je schopnosť vytvoriť odchádzajúce pripojenie k internetu. IT oddelenie teda nemusí poskytovať možnosť pripojenia zvonku formou prichádzajúceho spojenia, čo prináša pozitívny vplyv na bezpečnosť.  Porty firewallu nemusia byť prístupné z internetu,  nie sú potrebné žiadne statické internetové IP adresy.

Moderný vzdialený prístup = spojenie  ovláda koncový užívateľ stroja

Ako pri každom diaľkového prístupe, užívateľ stroja je pochopiteľne znepokojený, že výrobca môže komunikovať so strojom, ktorý síce dodal, ale ktorý je umiestnený vo vnútri jeho prevádzky. S cieľom zabezpečiť ešte väčšiu bezpečnosť, je možné VPN spojenie zapnúť a vypnúť pomocou digitálneho vstupu, ktorý môže byť zapojený na prepínač alebo na výstup PLC. Znamená to, že výrobca stroja bude mať prístup k zariadeniu iba vtedy, keď mu koncový užívateľ umožní prístup.

Moderný vzdialený prístup = každé spojenie overené autentifikáciou a validáciu

Väčšina čitateľov sa stretáva s autentifikáciou hlavne pri zabezpečených webových stránkach ako sú on-line bankové systémy. Pre takéto systémy je typické, že vyžadujú unikátny jednorazový kód zaslaný cez SMS, ktorého účelom je preukázanie, že ide o platného užívateľa a nie o osobu, ktorá sa snaží získať prístup pomocou ukradnutého mena užívateľa. Tieto bezpečnostné systémy sú označované ako  dvojfaktorové autentifikačné systémy. Použitie takéhoto dvojfaktorového systému by malo byť neoddeliteľnou súčasťou každého vzdialeného prístupu k strojom a zariadeniam.

ControlSystem s.r.o.

Napíšte nám