Публикация была переведена автоматически. Исходный язык: Русский
Внедрение заводских сетей с использованием централизованных инструментов на основе открытых стандартов.
Кибербезопасность — это проблема, которую должны решать операторы промышленного оборудования, будь то из-за растущего числа атак на промышленные установки или государственного регулирования, такого например как EU CRA. Однако развертывание защищенной системы может быть дорогостоящим, и существует необходимость контролировать затраты, управляя конфигурацией безопасности заводских сетей с помощью централизованных инструментов, основанных на открытых стандартах. Этими инструментами являются инфраструктуры открытых ключей (PKI), подходящие для этой цели.
Собственная PKI инфраструктура может централизованно защищать данные получаемые с оборудования от разных производителей, предназначенного для локальной работы в заводской сети. Это обеспечивает актуальность безопасности всех устройств и адаптацию к изменениям в заводской среде. Собственная PKI значительно снижает стоимость развертывания защищенных решений, уменьшая потребность в ручном администрировании и не обязывая оператора завода использовать проприетарное решение от одного поставщика.
Современная безопасность требует управления инфраструктурой открытых ключей (PKI), которая используется для распространения сертификатов на устройства и приложения
Сертификат позволяет им аутентифицироваться при подключении к другим приложениям. Стандартные PKI внедряются на заводах по всему миру для автоматизации управления на этапе первоначальной настройки и во время работы завода.
API-интерфейсы управления сертификатами подходят для любой производственной среды, в которой устройства взаимодействуют по сетям на основе TCP/IP.
По отзывам производственных заводов и фабрик, только стоимость инфраструктуры PKI является серьезным препятствием для внедрения современных методов кибербезопасности.
Только инфраструктура PKI, созданная на основе открытых стандартов, позволит операторам заводов управлять PKI на производстве.
Еще одна проблема заключается в необходимости доступа к облачным системам, которая требуется многим ИТ-ориентированным системам.
Как пример, в Европе Закон ЕС о киберустойчивости (CRA) устанавливает требования к кибербезопасности для всех продуктов, содержащих цифровые элементы. Это включает в себя любое оборудование или программное обеспечение, обрабатывающее цифровые данные и подключающееся к другим цифровым системам. Широкая сфера действия CRA охватывает ИТ, Интернет вещей, системы промышленного управления (OT), встроенные устройства, оборудование и многое другое.
Глобальное влияние благодаря стандартизации продукции и международным спецификациям.
Закон ЕС о киберустойчивости (CRA) устанавливает требования к кибербезопасности для всех продуктов, содержащих цифровые элементы. Это включает в себя любое оборудование или программное обеспечение, обрабатывающее цифровые данные и подключающееся к другим цифровым системам. Широкий охват CRA распространяется на ИТ, Интернет вещей, системы промышленного управления (OT), встроенные устройства, оборудование и многое другое».
Начиная с 11 декабря 2027 года, любой цифровой продукт, продаваемый в ЕС, должен соответствовать стандартам кибербезопасности, установленным CRA. Еще раньше, c 11 сентября 2026 года, производители должны иметь процедуру сообщения об уязвимостях и инцидентах безопасности своей цифровой продукции. Для подтверждения соответствия производители должны наносить знак CE, сертификат, уже признанный как гарантирующий безопасность различных продуктов.
Этот стандартизированный подход согласовывает правила кибербезопасности по всему ЕС, интегрируя цифровые продукты в существующие законы о гармонизации. Хотя это регулирование не охватывает все регионы мира, вероятно, что CRA окажет существенное глобальное влияние благодаря стандартизации продукции и международным спецификациям.
Для большинства цифровых устройств и программного обеспечения компании могут проводить собственные оценки для подтверждения соответствия. Большинство продуктов, включающих технологии Общего промышленного протокола (CIPTM), попадают в эту категорию наименьшего риска, что позволяет производителям самостоятельно наносить маркировку CE.
Однако продукты с более высокими рисками безопасности (определяемые как «Важный класс I» или «Важный класс II» в рамках CRA) должны соответствовать определенным гармонизированным стандартам, а наиболее критическая категория (определяемая как «Критическая» в рамках CRA) потребует независимой оценки третьей стороной, прежде чем будет одобрена для продажи. К 11 декабря 2027 года каждый цифровой продукт, доступный в ЕС, должен соответствовать требованиям CRA, независимо от того, когда он был первоначально разработан или выпущен. Это включает как существующие на рынке продукты, так и продукты, доступные после этой даты. Ожидается, что для поддержки внедрения CRA будут разработаны гармонизированные стандарты.
Начиная с 11 декабря 2027 года производители промышленных устройств Ethernet, включая продукты EtherNet/IP, должны будут соблюдать требования ЕС к документации, методам разработки и мерам кибербезопасности.
Производители и поставщики несут полную ответственность за обеспечение интеграции технической документации, документации для конечного пользователя и методов безопасной разработки в жизненный цикл безопасной разработки продукта. Эти процессы должны быть адаптированы к конкретному продукту, отделу, производителю, предполагаемому использованию продукта и структуре разработки компании.
Что касается требований к управлению уязвимостями, основная ответственность лежит на производителе продукта. Каждый поставщик должен разработать структурированный процесс отчетности об уязвимостях, управления ими, раскрытия информации, а также распространения уведомлений и обновлений по безопасности. Для уязвимостей, связанных с технологиями CIP, начали разработки систем управления уязвимостями, которые соответствуют требованиям CRA, обеспечивая надлежащее устранение и раскрытие информации о любых выявленных недостатках.
Хотя большинство из 13 требований CRA в области кибербезопасности (перечисленных в Приложении I, Части 1 и 2) непосредственно относятся к проектированию продукции и выходят за рамки технологий CIP, четыре конкретных требования находятся под влиянием технологий CIP. Во всех случаях CIP Security, расширение сети EtherNet/IP, использует широко распространенные стандарты безопасности, такие как TLS, а также проверенные алгоритмы шифрования.
Обеспечение безопасности по умолчанию (Приложение I, Часть 1, 2b) Требование: Вклад CIP в безопасность: Модель запроса безопасности CIP разработана для автоматической работы по умолчанию. Устройства, реализующие эту модель, могут самостоятельно находить центр сертификации и запрашивать сертификаты для предоставления доступа. После развертывания все конфигурации безопасности могут быть автоматически получены с сервера и применены к устройству. Кроме того, на устройствах по умолчанию должны быть отключены порты, не поддерживающие TLS/DTLS. Конечные пользователи могут включить эти незащищенные порты EtherNet/IP позже, на основе своей оценки рисков, используя объект интерфейса TCP/IP. Порт 44818/UDP, используемый для ListIdentity, вероятно, может оставаться открытым по умолчанию, поскольку он предназначен исключительно для целей идентификации устройств.
Защита от несанкционированного доступа (Приложение I, Часть 1, 2d) Требование: Вклад CIP Security: CIP Security предлагает многоуровневую защиту от несанкционированного доступа. Профиль конфиденциальности EtherNet/IP поддерживает аутентификацию как с помощью сертификатов, так и с помощью предварительно согласованных ключей, используя взаимный TLS. Кроме того, для повышения безопасности профиль аутентификации пользователей CIP Security обеспечивает управление доступом на основе ролей и позволяет интегрироваться с внешними поставщиками идентификации.
Требование конфиденциальности передаваемых данных (Приложение I, Часть 1, 2-е издание): Вклад CIP Security: CIP Security обеспечивает безопасную передачу данных с использованием протоколов TLS и DTLS, требующих шифрования AES — общепринятого стандарта. Пользователи могут настраивать наборы шифров в соответствии с потребностями в безопасности, хотя все устройства, соответствующие стандарту CIP Security, должны поддерживать меры конфиденциальности. В то время как CIP Security обеспечивает безопасность данных при передаче, шифрование хранимых данных является ответственностью производителя.
Требование к целостности передаваемых данных (Приложение I, Часть 1, 2f): Вклад CIP Security: Целостность данных в рамках CIP Security обеспечивается с помощью TLS и DTLS, при этом все наборы шифров, определенные CIP Security, включают в себя надежную защиту целостности с помощью HMAC на основе SHA. Кроме того, определенные элементы данных, такие как цифровые сертификаты и токены доступа, дополнительно защищаются с помощью цифровых подписей. Хотя CIP Security обеспечивает надежные меры защиты целостности данных при передаче, обеспечение целостности данных в состоянии покоя является ответственностью производителя.
CRA вводит всеобъемлющие правила кибербезопасности для цифровых продуктов в ЕС, требующие соблюдения требований к 11 декабря 2027 года. Охватывая широкий спектр продуктов и рынков, включая операционные технологии (OT), CRA устанавливает строгие стандарты безопасности, процессы управления уязвимостями и надежные методы документирования. Производители несут ответственность за внедрение безопасных процессов разработки, ведение технической и пользовательской документации, а также обеспечение надлежащих механизмов обработки уязвимостей.
Для продуктов CIP, включая EtherNet/IP, соответствие требованиям CRA имеет решающее значение. Безопасность CIP помогает выполнять ключевые нормативные обязательства, используя отраслевые стандарты, такие как TLS и надежные протоколы шифрования. В частности, безопасность CIP повышает защиту от несанкционированного доступа, обеспечивает безопасную передачу данных и поддерживает механизмы целостности, помогая производителям выполнять требования CRA в области кибербезопасности. По мере приближения даты вступления в силу требований, компании должны заблаговременно привести свои системы кибербезопасности в соответствие с требованиями CRA, чтобы сохранить доступ к рынку и повысить цифровую устойчивость в сфере промышленной автоматизации и подключенных систем.
Внедрение заводских сетей с использованием централизованных инструментов на основе открытых стандартов.
Кибербезопасность — это проблема, которую должны решать операторы промышленного оборудования, будь то из-за растущего числа атак на промышленные установки или государственного регулирования, такого например как EU CRA. Однако развертывание защищенной системы может быть дорогостоящим, и существует необходимость контролировать затраты, управляя конфигурацией безопасности заводских сетей с помощью централизованных инструментов, основанных на открытых стандартах. Этими инструментами являются инфраструктуры открытых ключей (PKI), подходящие для этой цели.
Собственная PKI инфраструктура может централизованно защищать данные получаемые с оборудования от разных производителей, предназначенного для локальной работы в заводской сети. Это обеспечивает актуальность безопасности всех устройств и адаптацию к изменениям в заводской среде. Собственная PKI значительно снижает стоимость развертывания защищенных решений, уменьшая потребность в ручном администрировании и не обязывая оператора завода использовать проприетарное решение от одного поставщика.
Современная безопасность требует управления инфраструктурой открытых ключей (PKI), которая используется для распространения сертификатов на устройства и приложения
Сертификат позволяет им аутентифицироваться при подключении к другим приложениям. Стандартные PKI внедряются на заводах по всему миру для автоматизации управления на этапе первоначальной настройки и во время работы завода.
API-интерфейсы управления сертификатами подходят для любой производственной среды, в которой устройства взаимодействуют по сетям на основе TCP/IP.
По отзывам производственных заводов и фабрик, только стоимость инфраструктуры PKI является серьезным препятствием для внедрения современных методов кибербезопасности.
Только инфраструктура PKI, созданная на основе открытых стандартов, позволит операторам заводов управлять PKI на производстве.
Еще одна проблема заключается в необходимости доступа к облачным системам, которая требуется многим ИТ-ориентированным системам.
Как пример, в Европе Закон ЕС о киберустойчивости (CRA) устанавливает требования к кибербезопасности для всех продуктов, содержащих цифровые элементы. Это включает в себя любое оборудование или программное обеспечение, обрабатывающее цифровые данные и подключающееся к другим цифровым системам. Широкая сфера действия CRA охватывает ИТ, Интернет вещей, системы промышленного управления (OT), встроенные устройства, оборудование и многое другое.
Глобальное влияние благодаря стандартизации продукции и международным спецификациям.
Закон ЕС о киберустойчивости (CRA) устанавливает требования к кибербезопасности для всех продуктов, содержащих цифровые элементы. Это включает в себя любое оборудование или программное обеспечение, обрабатывающее цифровые данные и подключающееся к другим цифровым системам. Широкий охват CRA распространяется на ИТ, Интернет вещей, системы промышленного управления (OT), встроенные устройства, оборудование и многое другое».
Начиная с 11 декабря 2027 года, любой цифровой продукт, продаваемый в ЕС, должен соответствовать стандартам кибербезопасности, установленным CRA. Еще раньше, c 11 сентября 2026 года, производители должны иметь процедуру сообщения об уязвимостях и инцидентах безопасности своей цифровой продукции. Для подтверждения соответствия производители должны наносить знак CE, сертификат, уже признанный как гарантирующий безопасность различных продуктов.
Этот стандартизированный подход согласовывает правила кибербезопасности по всему ЕС, интегрируя цифровые продукты в существующие законы о гармонизации. Хотя это регулирование не охватывает все регионы мира, вероятно, что CRA окажет существенное глобальное влияние благодаря стандартизации продукции и международным спецификациям.
Для большинства цифровых устройств и программного обеспечения компании могут проводить собственные оценки для подтверждения соответствия. Большинство продуктов, включающих технологии Общего промышленного протокола (CIPTM), попадают в эту категорию наименьшего риска, что позволяет производителям самостоятельно наносить маркировку CE.
Однако продукты с более высокими рисками безопасности (определяемые как «Важный класс I» или «Важный класс II» в рамках CRA) должны соответствовать определенным гармонизированным стандартам, а наиболее критическая категория (определяемая как «Критическая» в рамках CRA) потребует независимой оценки третьей стороной, прежде чем будет одобрена для продажи. К 11 декабря 2027 года каждый цифровой продукт, доступный в ЕС, должен соответствовать требованиям CRA, независимо от того, когда он был первоначально разработан или выпущен. Это включает как существующие на рынке продукты, так и продукты, доступные после этой даты. Ожидается, что для поддержки внедрения CRA будут разработаны гармонизированные стандарты.
Начиная с 11 декабря 2027 года производители промышленных устройств Ethernet, включая продукты EtherNet/IP, должны будут соблюдать требования ЕС к документации, методам разработки и мерам кибербезопасности.
Производители и поставщики несут полную ответственность за обеспечение интеграции технической документации, документации для конечного пользователя и методов безопасной разработки в жизненный цикл безопасной разработки продукта. Эти процессы должны быть адаптированы к конкретному продукту, отделу, производителю, предполагаемому использованию продукта и структуре разработки компании.
Что касается требований к управлению уязвимостями, основная ответственность лежит на производителе продукта. Каждый поставщик должен разработать структурированный процесс отчетности об уязвимостях, управления ими, раскрытия информации, а также распространения уведомлений и обновлений по безопасности. Для уязвимостей, связанных с технологиями CIP, начали разработки систем управления уязвимостями, которые соответствуют требованиям CRA, обеспечивая надлежащее устранение и раскрытие информации о любых выявленных недостатках.
Хотя большинство из 13 требований CRA в области кибербезопасности (перечисленных в Приложении I, Части 1 и 2) непосредственно относятся к проектированию продукции и выходят за рамки технологий CIP, четыре конкретных требования находятся под влиянием технологий CIP. Во всех случаях CIP Security, расширение сети EtherNet/IP, использует широко распространенные стандарты безопасности, такие как TLS, а также проверенные алгоритмы шифрования.
Обеспечение безопасности по умолчанию (Приложение I, Часть 1, 2b) Требование: Вклад CIP в безопасность: Модель запроса безопасности CIP разработана для автоматической работы по умолчанию. Устройства, реализующие эту модель, могут самостоятельно находить центр сертификации и запрашивать сертификаты для предоставления доступа. После развертывания все конфигурации безопасности могут быть автоматически получены с сервера и применены к устройству. Кроме того, на устройствах по умолчанию должны быть отключены порты, не поддерживающие TLS/DTLS. Конечные пользователи могут включить эти незащищенные порты EtherNet/IP позже, на основе своей оценки рисков, используя объект интерфейса TCP/IP. Порт 44818/UDP, используемый для ListIdentity, вероятно, может оставаться открытым по умолчанию, поскольку он предназначен исключительно для целей идентификации устройств.
Защита от несанкционированного доступа (Приложение I, Часть 1, 2d) Требование: Вклад CIP Security: CIP Security предлагает многоуровневую защиту от несанкционированного доступа. Профиль конфиденциальности EtherNet/IP поддерживает аутентификацию как с помощью сертификатов, так и с помощью предварительно согласованных ключей, используя взаимный TLS. Кроме того, для повышения безопасности профиль аутентификации пользователей CIP Security обеспечивает управление доступом на основе ролей и позволяет интегрироваться с внешними поставщиками идентификации.
Требование конфиденциальности передаваемых данных (Приложение I, Часть 1, 2-е издание): Вклад CIP Security: CIP Security обеспечивает безопасную передачу данных с использованием протоколов TLS и DTLS, требующих шифрования AES — общепринятого стандарта. Пользователи могут настраивать наборы шифров в соответствии с потребностями в безопасности, хотя все устройства, соответствующие стандарту CIP Security, должны поддерживать меры конфиденциальности. В то время как CIP Security обеспечивает безопасность данных при передаче, шифрование хранимых данных является ответственностью производителя.
Требование к целостности передаваемых данных (Приложение I, Часть 1, 2f): Вклад CIP Security: Целостность данных в рамках CIP Security обеспечивается с помощью TLS и DTLS, при этом все наборы шифров, определенные CIP Security, включают в себя надежную защиту целостности с помощью HMAC на основе SHA. Кроме того, определенные элементы данных, такие как цифровые сертификаты и токены доступа, дополнительно защищаются с помощью цифровых подписей. Хотя CIP Security обеспечивает надежные меры защиты целостности данных при передаче, обеспечение целостности данных в состоянии покоя является ответственностью производителя.
CRA вводит всеобъемлющие правила кибербезопасности для цифровых продуктов в ЕС, требующие соблюдения требований к 11 декабря 2027 года. Охватывая широкий спектр продуктов и рынков, включая операционные технологии (OT), CRA устанавливает строгие стандарты безопасности, процессы управления уязвимостями и надежные методы документирования. Производители несут ответственность за внедрение безопасных процессов разработки, ведение технической и пользовательской документации, а также обеспечение надлежащих механизмов обработки уязвимостей.
Для продуктов CIP, включая EtherNet/IP, соответствие требованиям CRA имеет решающее значение. Безопасность CIP помогает выполнять ключевые нормативные обязательства, используя отраслевые стандарты, такие как TLS и надежные протоколы шифрования. В частности, безопасность CIP повышает защиту от несанкционированного доступа, обеспечивает безопасную передачу данных и поддерживает механизмы целостности, помогая производителям выполнять требования CRA в области кибербезопасности. По мере приближения даты вступления в силу требований, компании должны заблаговременно привести свои системы кибербезопасности в соответствие с требованиями CRA, чтобы сохранить доступ к рынку и повысить цифровую устойчивость в сфере промышленной автоматизации и подключенных систем.
Поделиться
