Materiały konferencyjne SEP 2020

3. ZDALNY DOSTĘP DO SIECI OT (Operational Technology) Bezpieczeństwo teleinformatyczne sieci OT, zwanych popularnie w środowisku górniczym „sieciami wydzielonymi” jest od dawna w sferze zainteresowań autora. [7], [8]. Przedstawione w poniżej rozwiązanie uwzględnia obowiązujące przepisy prawa w zakresie cyberbezpieczeń- stwa oraz prowadzenia ruchu w podziemnych zakładach górniczych [6]. Istotą rozwiązania jest zabezpieczenie sieci OT poprzez ich separację między sobą i między siecią zakładową (ogólnokopalnianą) za pomocą sprzętowego firewall’a, którego interfejsy są podłączone odpowiednio do sieci ogólnokopalnianej i sieci wydzielonych (po jednym interfej- sie do każdej z sieci). W omawianym rozwiązaniu nie dopuszcza się łączenia sieci wydzielo- nych między sobą oraz z siecią ogólnokopalnianą za pomocą innych urządzeń niż przedmioto- wy firewall z zastrzeżeniem sytuacji przewidzianych w dokumentacji techniczno-ruchowej (DTR) zabezpieczanych systemów (dotyczy systemów „starych” nadal eksploatowanych w kopalniach, zaprojektowanych w sposób uniemożliwiający zmiany konstrukcyjne). Dla każde- go systemu OT tworzy się oddzielną strefę, zaś na firewallu definiuje się reguły komunikacji między poszczególnymi strefami. Dla systemów, których architektura udostępniania danych oparta jest o serwery lustrzane (serwery plikowe, na które kopiuje się dane z systemów SCADA, których celem jest udostępnienie tych danych w sieci ogólnodostępnej), serwery takie umieszcza się w odrębnej strefie bezpieczeństwa (sieci serwerów lustrzanych) wydzielonej od pozostałych stref (sieci wydzielonych) oraz sieci ogólnokopalnianej za pomocą sprzętowego firewall’a (rys. 1). Urządzenia sieciowe konfiguruje się w sposób, by dane z systemów chro- nionych, znajdujących się w sieciach wydzielonych były przesyłane do urządzeń w sieci ogól- nokopalnianej lub serwera lustrzanego, znajdującego się w wydzielonej do tego celu sieci ser- werów lustrzanych. Z kolei te dane są udostępniane uprawnionym użytkownikom sieci ogól- nokopalnianej. Rysunek 1. Zabezpieczenie sieci OT za pomocą firewall’a Figure 1. Securing the OT network using a firewall Zdalnego dostępu do sieci przemysłowych (OT) udziela się wyłącznie w celu umożliwienia serwisu systemów pracujących w tych sieciach (dotyczy firm realizujących serwis systemów) lub dostępu do danych z tych systemów dla osób kierownictwa zakładu górniczego lub na pod- stawie zawartych umów przez Zarząd PGG S.A. lub ustanowionych Pełnomocników Zarządu PGG S.A. Zdalny dostęp do sieci wydzielonych udzielany jest za pisemną zgodą Kierownika