Решения EUROTHERM
для промышленных АСУ.

Усиленные функции киберзащиты.

13.05.2020

Кибербезопасность — процесс использования мер безопасности для обеспечения конфиденциальности, целостности и доступности данных. Системный администратор обеспечивает защиту данных предприятия, включая данные локальной сети компьютеров, серверов. Кроме того, под охрану берутся непосредственно здания и, самое главное, персонал. Целью обеспечения кибер-безопасности является защита данных — как в процессе передачи и/или обмена так и находящихся на хранении.

 

В целях обеспечения безопасности данных могут быть применены и контрмеры. Некоторые из этих мер включают контроль доступа, обучение персонала, аудит и отчётность, оценку вероятных рисков, тестирование на проникновение и требование авторизации.

 

Компания Eurotherm объявила о повышении уровня киберзащиты для следующих устройств: промышленные безбумажные самописцы серии 6000; программируемые контроллеры серии EPC3000; тиристоры серии EPack.

Что такое кибербезопасность?

Цели специалистов, отвечающих за безопасность промышленных систем управления (АСУ), обычно выстроены в следующем приоритетном порядке: доступность, целостность, конфиденциальность. Ситуация значительно усложняется тем, что приоритеты IT-отделов могут существенным образом отличаться от приоритетов отделов АСУ ТП. Несмотря на то, что цели и соображения являются одними и теми же, приоритизация может быть очень разной.

Принципиально, обеспечение Безопасности предприятия / организации состоит их трёх типов действий:

  • предотвращение инцидентов (инцидент — неавторизованный доступ или внесение изменений (в данные или систему);
  • выявление произошедшего инцидента и сбор данных об инциденте;
  • действия, направленные на восстановление системы или данных после инцидента, либо на прекращение инцидента.

Кибербезопасность — это часть общей Безопасности предприятия.

 

Кибербезопасность, в свою очередь, может быть разделена на следующие условные сегменты:

  • Информационная Безопасность: защита информации от неавторизованного доступа, передачи или изменений по неосторожности или намеренно;
  • Обеспечение защиты конечных точек: применение аппаратных, программных средств и внутреннего программного обеспечения (прошивок) к компьютерной системе для защиты от несанкционированного доступа к информации. Защита промышленных устройств, таких как PAC, HMI и SCADA, от несанкционированного доступа и нарушения работы.
  • Сетевая безопасность: защита сетей от несанкционированного доступа и нарушения работы с использованием таких устройств, как брандмауэры, а также с использованием таких методов, как VLAN, для сегментации сети.
    Кибербезопасность — это непрерывный процесс, который включает в себя процедуры, программное обеспечение и аппаратное обеспечение.

Почему Eurotherm уделяет особое внимание вопросам обеспечения кибербезопасности?

Сегодня в области управления технологическими процессами вопросы кибербезопасности больше не являются второстепенными.

 

Автоматизированные системы управления (АСУ), основанные на компьютерных технологиях и промышленных сетях, используются уже на протяжении десятилетий. Более ранние архитектуры систем управления разрабатывались на базе корпоративных технологий и были изолированы от внешнего мира, что снижало вероятность кибератак. Во многих случаях обеспечение безопасности физического периметра предприятия считалось соответствующим всем требованиям, в то время как киберзащите не уделялось должного внимания.

 

Сегодня многие системы управления используют открытые или стандартизированные технологии, такие как Ethernet TCP/IP, для снижения затрат и повышения производительности. Многие системы также используют прямые коммуникации между системами управления и бизнес-системами для повышения операционной эффективности и оптимизации управления производственными процессами. Эта техническая эволюция подвергает системы управления рискам, которые ранее считались актуальными только для бизнес-сети предприятия. Системы управления в настоящее время уязвимы для кибератак как внутри, так и за пределами сети промышленных систем управления.

Что нового в безбумажных самописцах серии 6000?

Новые инструменты. Все устройства, после 3 апреля 2020 года, при первом запуске потребуют ввода пароля для учетной записи Инженера. До тех пор, пока пароль не будет создан, самописец серии 6000 будет заблокирован, а связь Ethernet (Modbus TCP/IP, FTP/SFTP и EtherNET/IP) будет недоступна.

 

После ввода пароля устройство начнет работать в обычном режиме. Однако учетная запись Инженера будет единственной включенной. Все остальные учетные записи будут отключены до момента включения из учётной записи Инженера. Кроме того, разрешение на удалённое подключение будет отключено для всех учетных записей, включая учётную запись Инженера.

 

Обновление существующих самописцев серии 6000. При обновлении самописцев серии 6000 учётные записи без паролей Инженера, будут отклонены до тех пор, пока пароль не будет добавлен.

 

Восстановление конфигурации. Если Инженерный пароль не создан (как описано выше), устройство перезапустится, принудительно создав новый пароль Инженера. Если в файле-клоне задан пароль Инженера, восстановление конфигурации будет происходить в штатном режиме.

 

Служебная учётная запись. На всех устройствах, с прошивкой V5.8.4 или выше, возможность входа в систему через служебную учётную запись с использованием пароля восстановления будет запрещена. В случае утери пароля, пожалуйста, свяжитесь с представителем Eurotherm.

 

Доступность. Все устройства, отгруженные с завода производителя после 3 апреля 2020 года, поставляются с установленным ПО версии V5.8.4.

Что нового в контроллерах серии EPC3000?

Новые инструменты. Все устройства, отгруженные с завода производителя после 13 апреля 2020 года, будут поставляться с установленной версией ПО V5. 01. Функция связи (последовательная или Ethernet) будет заблокирована.

 

После первоначальной настройки и включения коммуникационного порта (последовательного или Ethernet) EPC3000 отобразит сообщение с просьбой к пользователю настроить пароль конфигурации связи через iTools Engineering Studio (V9.82).

Примечание: это действие должно быть выполнено только при первом включении связи. После установки устройство будет работать в обычном режиме.

 

Клонирование. После восстановления файла клонирования пароль конфигурации связи будет восстановлен только в том случае, если верно следующее: пароль не является паролем по умолчанию ‘1234567890’, пароль состоит минимум из 8 знаков.

 

Обновление существующих контроллеров серии EPC3000. Из-за изменений в базе данных программируемый контроллер EPC3000 автоматически начнет процедуру холодного запуска после завершения обновления. Пользователь должен клонировать EPC3000 перед обновлением и восстановить файл клона после завершения обновления. Поведение блока после этого согласно разделу Клонирование.

 

Холодный запуск. При холодном запуске программируемого контроллера EPC3000 устройство будет перезапущено, при этом связь будет заблокирована. После настройки протокола связи программируемый контроллер EPC3000 выведет на экран сообщение с просьбой к пользователю настроить пароль конфигурации связи через iTools Engineer Studio (V9.82).

 

Пароль по умолчанию и пароль восстановления. Во всех EPC3000 с ПО версии V5.01 или выше возможность входа в контроллер с паролем восстановления будет отключена. В случае утери пароля, пожалуйста, свяжитесь с представителем Eurotherm.

 

iTools Engineering Studio. Для обеспечения поддержки программируемых контроллеров EPC3000 с версией V5.01 или старше был выпущен программный пакет iTools Engineering Studio V9.82.

 

Доступность. Все устройства, отгруженные с завода производителя после 13 апреля 2020 года, поставляются с установленным ПО версии V5.01.

Что нового в контроллерах мощности серии EPack?

Новые инструменты. Все устройства, отгруженные с завода производителя после 15 апреля 2020 года, будут поставляться с версией ПО V6.00.

 

Устройства (за исключением версии EtherCAT) будут включаться с заблокированной опцией связи. После первоначальной настройки EPack отобразит сообщение с просьбой к пользователю настроить пароль связи через переднюю панель HMI, если кабель Ethernet подключен к порту RJ45. Коммуникационный пароль может быть установлен также через iTools Engineering Studio (V9. 82).

 

Примечание: это действие должно быть выполнено только при первом включении связи.

Если нет подключенного кабеля Ethernet, устройство сможет запускаться как автономное устройство, но связь Ethernet останется в режиме блокировки.

 

Обновление или возврат к более ранней версии ПО существующих устройств. В связи с обширными изменениями в программном обеспечении и изменениями в загрузочном ПЗУ, обновление версий V5.xx или ниже невозможно с помощью EPack Firmware Management Tool. Обновление ПО может быть произведено только специалистами Eurotherm. В случае необходимости свяжитесь, пожалуйста, с представителем Eurotherm.

Из-за характера изменений ПО возврат к более ранней версии невозможен.

 

Холодный запуск. При холодном запуске контроллера EPack устройство перезапустится с заблокированной связью, установите пароль связи, как для нового прибора.

 

Клонирование. После восстановления файла клонирования сохраняется пароль связи, ранее установленный на физическом устройстве. Все остальные коды доступа будут установлены в соответствии с информацией о файле клонирования.

 

Пароль по умолчанию и пароль восстановления. Способа восстановить потерянный пароль связи не существует. В случае утери сохраните клон конфигурации EPack с iTools в операторском режиме перед холодным запуском устройства, затем установите новый пароль связи и восстановите файл клона.

 

iTools Engineering Studio. ПО iTools V9.82 или выше будет поддерживать контроллеры мощности EPack V6.00.

 

Доступность. Все устройства, отгруженные с завода производителя после 53 апреля 2020 года, поставляются с установленным ПО версии V6.00.