Jak skonfigurować zdalny dostęp do sterownika PLC, nie narażając sieci na cyberataki

0
32
Rate this post

Cel jest z reguły prosty: mieć możliwość zdalnego wejścia na sterownik PLC, wgrać poprawkę, sprawdzić status alarmów czy podejrzeć trace, bez konieczności wsiadania w samochód i tracenia pół dnia na dojazdy. Równocześnie trzeba uniknąć sytuacji, w której jedno źle otwarte przekierowanie portu albo domyślne hasło na routerze przemysłowym otwiera napastnikowi drogę do całej sieci OT i blokady produkcji.

zdalny dostęp do PLC, bezpieczeństwo sieci przemysłowej, VPN dla sterowników, segmentacja sieci OT, firewall dla automatyki, zdalny serwis maszyny, szyfrowanie komunikacji PLC, DMZ przemysłowa, dostęp zdalny przez router przemysłowy, polityka haseł w PLC, audyt konfiguracji zdalnej, najlepsze praktyki cyberbezpieczeństwa OT

Z tego artykuły dowiesz się:

Dlaczego zdalny dostęp do PLC jest jednocześnie konieczny i ryzykowny

Typowe powody wdrażania zdalnego serwisu sterowników PLC

Zdalny dostęp do sterownika PLC pojawia się zwykle z bardzo pragmatycznych powodów. Maszyna stoi kilkaset kilometrów dalej, integrator jest w innym kraju, a przestój linii kosztuje realne pieniądze z każdą minutą. Możliwość wejścia zdalnie, odczytania statusu wejść/wyjść, podglądu diagnostyki napędów, buforów błędów czy logów SCADA znacząco skraca czas reakcji.

W praktyce zdalny dostęp jest wykorzystywany głównie do:

  • diagnostyki problemów – podgląd online programu PLC, stany bitów, wartości analogowe, timery, liczniki;
  • drobnych poprawek oprogramowania – korekta progu alarmu, zmiana parametrów receptury, poprawa błędnej logiki;
  • aktualizacji firmware’u sterowników, modułów komunikacyjnych, routerów przemysłowych;
  • wsparcia operatorów i utrzymania ruchu – interpretacja alarmów, podpowiedź kolejnych kroków diagnostycznych;
  • monitorowania wydajności – krótkotrwałe logowanie danych, podgląd trendów, sprawdzenie parametrów napędów czy PID.

Bez zdalnego dostępu integrator albo serwisant musi fizycznie pojawić się przy maszynie. To oznacza rezerwację terminu, zgodę na wejście do zakładu, często szkolenia BHP, a dopiero potem realną pracę. Zdalne połączenie skraca ten proces z godzin lub dni do minut. I właśnie dlatego presja na „podłączmy to jakoś do Internetu” jest tak duża.

Różnica między wygodą a ekspozycją na cyberataki

Każdy dodatkowy sposób wejścia do sieci OT zwiększa powierzchnię ataku (ang. attack surface). W praktyce oznacza to, że:

  • jeśli da się zdalnie wejść na PLC, to potencjalnie da się też próbować łamać hasło, skanować porty, wykorzystywać podatności w protokole;
  • jeśli laptop serwisanta ma dostęp do sieci OT, to złośliwe oprogramowanie (malware) z tego laptopa również ma taką możliwość;
  • jeśli wykorzystasz prosty port forwarding (przekierowanie portów na routerze), to roboty skanujące Internet zobaczą otwarty Modbus/TCP, Profinet (port 102), EtherNet/IP (port 44818) i zaczną próby automatycznego ataku.

Różnica między komfortem a ryzykiem polega na tym, jak kontrolujesz i ograniczasz ten dostęp. Chodzi o to, by serwisant mógł połączyć się zdalnie, ale:

  • tylko wtedy, gdy jest to potrzebne (sesja inicjowana, autoryzowana, logowana);
  • tylko do wybranych urządzeń (np. konkretna podsieć, konkretna maszyna);
  • tylko wybranymi protokołami (np. tylko port oprogramowania inżynierskiego, bez dostępu do zasobów biurowych);
  • w sposób szyfrowany i trudny do podsłuchania lub przechwycenia.

Jeśli tego nie zrobisz, „wygoda” natychmiast zamieni się w zaproszenie do ataku – czy to z Internetu, czy z zainfekowanego laptopa serwisanta.

Sterowniki PLC: długie cykle życia i brak domyślnego bezpieczeństwa

Większość sterowników PLC została zaprojektowana w czasach, kiedy mało kto mówił o cyberbezpieczeństwie w OT. Podstawowe cechy, które z punktu widzenia zdalnego dostępu są krytyczne:

  • długie cykle życia – sterownik PLC często pracuje 10–20 lat. W tym czasie zmieniają się systemy Windows, przeglądarki, standardy kryptografii, a PLC nadal pracuje na tym samym firmware;
  • stare, nieszyfrowane protokoły – Modbus/TCP, klasyczny S7comm, EtherNet/IP, Profinet, OPC DA – większość z nich nie ma wbudowanego szyfrowania ani uwierzytelniania;
  • ograniczone mechanizmy bezpieczeństwa – starsze PLC mają tylko proste hasło „write protection” lub „know-how protection”, często bez polityk haseł czy logowania prób;
  • priorytet dostępności – konstrukcja protokołów skupiała się na niezawodności i czasie reakcji, a nie na bezpieczeństwie w warstwie aplikacyjnej.

Dlatego ochrona sterownika PLC musi być realizowana głównie w warstwach sieci i dostępu: segmentacją, firewallami, VPN, kontrolą użytkowników. Sam PLC zwykle nie zapewni wystarczającej obrony przed atakiem sieciowym.

Krótki przykład z praktyki: zdalna naprawa kontra niechciana „otwarta brama”

Przykład pozytywny: integrator wdrożył maszynę pakującą w zakładzie w innym kraju. W trakcie rozruchu pojawia się losowy błąd napędu. Serwisant łączy się przez router przemysłowy z wbudowanym VPN, połączenie inicjowane jest od strony maszyny do serwera w centrali integratora. Dostęp ma tylko do podsieci maszynowej, tylko przez tunel VPN, z użyciem konta imiennego z 2FA. W ciągu 20 minut znajduje błędną konfigurację jednego parametru w napędzie, wgrywa korektę i produkcja rusza. Sieć zakładu nie jest wystawiona na świat, wszystkie pakiety zdalnego dostępu przechodzą przez kontrolowany tunel.

Przykład negatywny: w innym zakładzie klient poprosił o „szybkie zrobienie zdalnego dostępu, by integrator mógł dokończyć program”. Lokalny administrator IT otworzył na routerze port 102 (S7), przekierowując go bezpośrednio na sterownik. Zostawił też otwarty port do panelu HMI. Po kilku tygodniach roboty skanujące Internet znalazły otwarte porty, zaczęły próby logowania i wykorzystania podatności. Na szczęście skończyło się tylko na zawieszeniu panelu HMI, ale możliwe byłoby również zatrzymanie linii, zmianę receptur, a nawet trwałe uszkodzenie sprzętu. Wszystko przez jedno, pozornie niewinne przekierowanie portu.

Podstawy – jak wygląda typowa architektura sieci z PLC

Strefy IT i OT – dwa światy w jednej firmie

W większości zakładów produkcyjnych współistnieją co najmniej dwie główne strefy sieciowe:

  • IT (Information Technology) – biuro, ERP, poczta, systemy finansowe, laptopy pracowników, drukarki, dostęp do Internetu;
  • OT (Operational Technology) – sterowniki PLC, HMI, panele operatorskie, falowniki, serwonapędy, systemy SCADA, rejestratory danych, wagi, czujniki.

Świat IT jest projektowany głównie pod kątem zapewnienia poufności i integralności danych, produktywności pracowników biurowych i łatwego zarządzania dużą liczbą użytkowników. Świat OT skupia się na ciągłości procesu technologicznego, bezpieczeństwie ludzi i maszyn, deterministycznych czasach reakcji.

Standard ISA/IEC 62443 opisuje koncepcję stref i kanałów. W uproszczeniu chodzi o to, by:

  • podzielić środowisko OT na logiczne strefy (np. linia produkcyjna, strefa bezpieczeństwa, strefa nadrzędnej wizualizacji);
  • ściśle kontrolować kanały komunikacyjne pomiędzy strefami (np. tylko wybrane porty przez firewall, tylko zaufane kierunki komunikacji).

Do tego dochodzi punkt styku IT–OT. Tam zwykle stoi firewall, router brzegowy, a czasem dedykowana DMZ przemysłowa (o niej dalej). Z perspektywy zdalnego dostępu do sterownika PLC jest to kluczowe miejsce, w którym decyduje się, czy dostęp będzie bezpieczny, czy „na skróty”.

Topologia sieci linii czy maszyny a punkty, w które wpinany jest zdalny serwis

Na poziomie pojedynczej maszyny sieć OT wygląda zazwyczaj prosto:

  • sterownik PLC jako centralny mózg;
  • jeden lub kilka paneli HMI;
  • napędy, IO-Link, moduły wejść/wyjść rozproszonych, czujniki na sieci przemysłowej (Profinet, EtherNet/IP itp.);
  • przemysłowy switch w szafie (czasem z funkcjami routingu/VLAN, czasem prosty, niezarządzalny);
  • jeden uplink do nadrzędnej sieci zakładowej lub routera.

Zdalny serwis jest najczęściej „wpinany” w takich miejscach:

  • port serwisowy panelu HMI (często z wbudowaną kartą 3G/4G lub drugim interfejsem Ethernet);
  • router przemysłowy w szafie (z kartą SIM lub łączem przewodowym);
  • switch szafowy – „ktoś” podpina do niego dodatkowy router LTE albo komputer brzegowy (gateway IoT);
  • serwer SCADA lub serwer danych w serwerowni – gdy zdalny dostęp do PLC jest realizowany pośrednio przez SCADA.

Każdy z tych punktów ma inne ryzyka. Router przemysłowy z dobrze skonfigurowanym VPN może być bezpiecznym bramownikiem. Panel HMI z domyślnym hasłem admina i otwartym dostępem z Internetu – gotowy punkt wejścia dla atakującego.

Prosty model stref i kanałów dla małej instalacji

Nawet w niedużej instalacji warto mentalnie ułożyć ją w proste strefy:

  • Strefa maszynowa – sterownik PLC, napędy, moduły I/O. Zakłada się, że ten obszar musi działać możliwie nieprzerwanie, a zmiany konfiguracji są silnie kontrolowane.
  • Strefa wizualizacji – panele HMI, stacje SCADA, historyki danych bliżej operatorów i inżynierów procesu.
  • Strefa brzegowa/DMZ – router przemysłowy, serwer zdalnego serwisu, ewentualnie bufor dla wymiany danych z systemami IT.
  • Strefa IT – biuro, ERP, zdalni użytkownicy z Internetu.

Zdalny dostęp powinien być kierowany tak, aby serwisant:

  • najpierw trafił do strefy brzegowej/DMZ (np. przez VPN do routera lub jump hosta);
  • stamtąd – tylko ściśle kontrolowanymi regułami firewall – do strefy maszynowej;
  • nie miał bezpośredniego dostępu z Internetu do PLC bez warstwy pośredniej.

Taki prosty podział pomaga projektować reguły firewall, trasy VPN i zakres dostępów. Pozwala też przygotować się na audyt konfiguracji zdalnej, który coraz częściej zlecają świadomi klienci końcowi.

Modele zdalnego dostępu do PLC – przegląd opcji

Dostęp bezpośredni przez adres publiczny i przekierowanie portów

Najprostszy technicznie wariant wygląda tak: router brzegowy ma publiczny adres IP, administrator robi port forwarding z portu WAN (np. 102, 502, 44818) na adres IP sterownika PLC lub panelu HMI w sieci wewnętrznej. Serwisant z domu wpisuje ten publiczny adres i łączy się bez żadnego tunelu VPN, często bez dodatkowego uwierzytelniania.

Z punktu widzenia bezpieczeństwa sieci przemysłowej to rozwiązanie niemal zawsze jest nieakceptowalne, bo:

  • otwarte porty są w krótkim czasie wykrywane przez skanery Internetu (Shodan, botnety, skrypty skanujące);
  • protokół PLC często nie wymaga żadnego hasła lub ma proste, podatne na brute force uwierzytelnianie;
  • transmisja nie jest szyfrowana – możliwe jest podsłuchanie i analiza ramek, a w niektórych przypadkach modyfikacja ruchu (MITM);
  • często otwiera się też porty HTTP/HTTPS paneli HMI z ubogimi mechanizmami bezpieczeństwa.

Jedyny sensowny scenariusz dla port forwarding to przekierowanie portu VPN (np. IPsec, OpenVPN) na dedykowane urządzenie, nigdy bezpośrednio na PLC czy HMI.

Dostęp pośredni: VPN, jump host, usługa chmurowa

Bezpieczniej jest zastosować model, w którym zdalny użytkownik nie łączy się bezpośrednio z PLC, ale przez dodatkową warstwę pośrednią. W praktyce dostępne są trzy główne grupy rozwiązań:

  • VPN site-to-site – stały tunel między siecią zakładową a siecią integratora/centrali. Serwisanci łączą się najpierw z siecią integratora (np. przez własny VPN), a stamtąd ruch przechodzi do sieci OT zakładu. Wymaga to dobrej współpracy między IT klienta i IT integratora oraz bardzo starannego ograniczenia tras (routing tylko do konkretnych podsieci maszynowych).
  • VPN client-to-site (zdalny klient do bramy w zakładzie) – laptop serwisanta zestawia tunel VPN bezpośrednio z routerem/bramą VPN w zakładzie. To najczęstszy i najprostszy do opanowania model: jedna brama po stronie klienta, klienci VPN po stronie serwisantów. Kluczem jest właściwe ograniczenie uprawnień (ACL, listy sieci, do których klient ma dostęp) oraz silne uwierzytelnianie (certyfikaty, MFA).
  • Jump host / bastion – serwer pośredniczący w DMZ, do którego zdalny użytkownik loguje się np. przez RDP lub SSH. Dopiero z tego serwera otwiera oprogramowanie inżynierskie i łączy się z PLC. Firewalle przepuszczają wtedy ruch tylko z jump hosta do wybranych adresów PLC, a nie z dowolnego laptopa z Internetu.
  • Usługi chmurowe do zdalnego serwisu – dedykowane platformy producentów routerów przemysłowych lub sterowników (np. „cloud VPN”, „remote access portal”). Sprzęt w szafie zestawia wychodzące, szyfrowane połączenie do chmury, a serwisant łączy się do tej samej chmury. Sieć zakładowa nie musi wystawiać żadnego portu na zewnątrz, a ruch jest inicjowany wyłącznie od środka.

W modelach chmurowych istotne jest, gdzie fizycznie znajdują się serwery, jak wygląda model odpowiedzialności (SLA, RTO) oraz jakie mechanizmy audytu dostępu oferuje dostawca. W zakładach o podwyższonych wymaganiach (farmacja, chemia, infrastruktura krytyczna) trzeba to przeanalizować razem z działem bezpieczeństwa IT, a czasem nawet z prawnikiem.

Niezależnie od wariantu pośredniego trzeba jasno zdefiniować, co wolno zdalnemu użytkownikowi. W praktyce robi się to przez kombinację kilku elementów: ograniczony routing (tylko konkretne podsieci PLC), listy kontroli dostępu na firewallu (ACL), profil uprawnień na bramie VPN/jump hoście oraz czasowe „okna serwisowe” (tunel aktywny tylko w zdefiniowanych godzinach, po akceptacji odpowiedzialnej osoby po stronie zakładu). Zamiast jednego, „magicznego” konta serwisowego wszyscy pracują na imiennych kontach, co pozwala później prześledzić, kto i kiedy modyfikował program PLC.

Dobrym testem dojrzałości konfiguracji jest proste ćwiczenie: odłącz laptopa serwisanta, który właśnie zakończył pracę, i spróbuj z innej, nieautoryzowanej maszyny odtworzyć to połączenie. Jeśli wystarczy znać adres serwera i hasło, konfiguracja jest zbyt słaba. Jeśli potrzebny jest certyfikat, drugi składnik (MFA) i dostęp z konkretnej podsieci, a dodatkowo administrator w zakładzie musi „otworzyć okno serwisowe” – jesteś bliżej realnie bezpiecznego modelu.

Dobrze zaprojektowany zdalny dostęp do PLC nie polega na jednym „sprytnym” urządzeniu, ale na zgraniu kilku warstw: przemyślanej topologii stref IT/OT, segmentacji sieci, właściwie dobranego typu VPN, kontroli tożsamości użytkownika oraz czytelnych procedur po stronie utrzymania ruchu i IT. Jeśli te elementy zadziałają razem, można serwisować linie z drugiego końca świata bez otwierania furtki dla przypadkowych skanerów Internetu i mniej przypadkowych atakujących.

Dobór modelu zdalnego dostępu do etapu życia maszyny

Nie każda linia produkcyjna potrzebuje tego samego poziomu „otwartości”. Inaczej wygląda potrzeba w okresie rozruchu, a inaczej po stabilizacji procesu. Z praktyki dobrze sprawdza się proste rozróżnienie:

  • Faza uruchomienia / FAT/SAT – częste zmiany programu PLC, intensywne wsparcie producenta maszyny. Tu przydaje się elastyczny dostęp (np. chmurowy remote service lub VPN client-to-site z szerzej otwartymi ACL), ale z czasowym charakterem: po zakończeniu rozruchu profil dostępu jest automatycznie „ciasno przykręcany”.
  • Faza stabilnej eksploatacji – zdalne połączenia są sporadyczne, głównie diagnostyczne. Tu zwykle wystarcza jump host lub ściśle ograniczony VPN z dostępem tylko do wybranych PLC i tylko w oknach serwisowych. W wielu zakładach w tej fazie dostęp zdalny domyślnie jest wyłączony i aktywowany na żądanie.
  • Faza modernizacji – powrót do trybu „uruchomieniowego”, ale już przy istniejącej sieci OT. Tu pojawia się pokusa tymczasowych obejść (dodatkowy router LTE w szafie, „na chwilę” podpięty laptop z Internetem). Te „chwilowe” rozwiązania często stają się stałe, więc warto mieć dla nich z góry opracowane, bezpieczne wzorce.

W dokumentacji projektu dobrze opisać, jaki model zdalnego dostępu jest przewidziany na każdy z tych etapów, włącznie z planem „zwijania” uprawnień po rozruchu. Bez tego tymczasowe dostępy zostają w konfiguracji na lata.

Inżynierka przy laptopie monitoruje serwery w centrum danych
Źródło: Pexels | Autor: Christina Morillo

Projektowanie segmentacji sieci dla zdalnego dostępu

Od „płaskiego” LAN do logicznych stref i VLAN

Typowa maszyna przyjeżdża z jedną podsiecią IP, w której jest wszystko: PLC, HMI, napędy, kamery, czasem nawet laptop serwisowy. Z perspektywy uruchomienia to wygodne. Z perspektywy zdalnego dostępu – problematyczne, bo każde wpuszczenie kogoś do tej podsieci daje mu widoczność całej maszyny.

Rozsądny krok to rozdzielenie logiczne za pomocą VLAN lub osobnych podsieci IP. Przykładowy układ dla pojedynczej linii:

  • VLAN / podsieć PLC-control – tylko sterowniki PLC, bez adresów zewnętrznych laptopów i HMI; ruch do innych VLAN wyłącznie przez firewall lub L3 switch z ACL.
  • VLAN HMI/SCADA – panele, serwery wizualizacji dla danej linii; mogą być jedyną „bramą” użytkownika do podglądu stanu maszyny.
  • VLAN remote-service – router zdalnego dostępu, jump host, ewentualnie serwer buforujący dane (OPC UA, MQTT broker). To tutaj ląduje ruch z VPN.

Takie rozcięcie sieci pozwala zbudować reguły w stylu: „VPN → remote-service → tylko wybrane adresy PLC-control na konkretnych portach”. Nie ma już sytuacji, w której zdalny serwisant przypadkiem skanuje całe OT, bo jego klient VPN został dopuszczony do „/16” zamiast do dwóch konkretnych IP.

Segmentacja a routowanie – gdzie kończy się OT, a zaczyna IT

Druga oś podziału to granica między siecią biurową a przemysłową. Nie wystarczy napisać w procedurze „IT nie łączy się bezpośrednio do PLC”. Trzeba to wymusić technicznie:

  • Dedykowany firewall IT/OT – fizyczne urządzenie (lub para w HA), które ma zdefiniowane strefy: IT, OT, DMZ. To ono decyduje, jakie porty i kierunki są dozwolone. Routery maszynowe „wystawiają” się właśnie na ten firewall, a nie wprost do sieci IT.
  • Brak routingu „any-any” – nie ma uniwersalnych tras typu „cały ruch z IT do OT dozwolony”. Trasy są punktowe: dany serwer SCADA do danej podsieci PLC, dany jump host do określonych maszyn, monitoring sieci do SPAN/port-mirroring na konkretnym switchu.
  • Asymetria dostępu – ruch inicjowany z OT do IT często jest bardziej kontrolowany niż odwrotnie. Przykład: PLC wysyłają dane do serwera OPC UA w DMZ, ale nie mogą przyjmować połączeń inicjowanych z sieci biurowej.

W schematach sieciowych dobrym nawykiem jest jasne zaznaczanie, które urządzenie jest ostatnim routerem w OT, a które pierwszym w IT. Ułatwia to późniejsze dyskusje z działem IT i projektowanie reguł pod zdalny dostęp.

Typowe błędy segmentacji przy wdrażaniu zdalnego dostępu

Podczas inspekcji istniejących instalacji bardzo często powtarzają się te same potknięcia:

  • router z funkcją VPN wpięty bezpośrednio w płaski VLAN maszynowy, z pełnym dostępem do wszystkiego;
  • VLAN remote-service w teorii wydzielony, ale L3 switch ma regułę „permit any” między VLAN, bo „inaczej coś nie działało”;
  • podwójna rola urządzeń: ten sam router jest bramą na Internet dla biura i dla OT, co utrudnia sensowne rozdzielenie ruchu;
  • brak dokumentacji: nikt już nie pamięta, po co kiedyś otwarto dane porty między VLAN, więc nikt nie odważa się ich zamknąć.

Bez choćby uproszczonego rysunku sieci i listy VLAN/tras bardzo trudno później zapanować nad zdalnym dostępem. Tip: dobrze działa prosty nawyk – każda nowa trasa pod zdalny dostęp ma swój numer zgłoszenia / zmiany w systemie ITSM albo chociaż w arkuszu. Po roku od razu wiesz, co można wyłączyć.

VPN w praktyce – fundament bezpiecznego zdalnego dostępu

Rodzaje VPN: IPsec, SSL, OpenVPN, „cloud VPN”

W warstwie technicznej najczęściej stosuje się kilka klas tuneli:

  • IPsec site-to-site – klasyka dla stałych połączeń między zakładami lub zakład–integrator. Działa na poziomie IP (warstwa 3), więc po zestawieniu tunelu podsieci są widziane tak, jakby były w jednej sieci rozległej. Wymaga dobrze przemyślanego routingu i selektorów (które podsieci są objęte tunelem).
  • SSL VPN / OpenVPN – rozwiązania działające zwykle w oparciu o TLS. Dobre dla użytkowników mobilnych; klient VPN zestawia szyfrowany tunel do koncentratora w zakładzie. Z punktu widzenia OT ważne jest, by taki klient dostawał tylko ściśle określony zakres IP.
  • L2 VPN (np. tap w OpenVPN) – rozszerzenie sieci warstwy 2 przez tunel. Kuszące dla integratorów, bo pozwala „udawać”, że laptop serwisowy jest w tej samej sieci co PLC. Bez ścisłej kontroli to niebezpieczne, bo daje bardzo szeroką widoczność.
  • Cloud VPN vendorów – rozwiązania dostarczane razem z routerami przemysłowymi, gdzie tunel jest zestawiany jako połączenie wychodzące do chmury. Dla OT wygodne, bo nie trzeba otwierać portów na firewallu, ale wymagają zaufania do dostawcy.

Przy wyborze technologii ważniejsze od nazwy protokołu jest to, jak można kontrolować zakres adresów, czas życia sesji i powiązać tunel z tożsamością użytkownika (certyfikaty, konta imienne, MFA).

Projekt polityki adresacji pod kątem VPN

VPN jest znacznie łatwiej okiełznać, gdy adresacja sieci OT jest sensownie uporządkowana. Kilka praktycznych zasad:

  • każda linia / maszyna ma własną podsieć, a nie „jakieś wolne IP” z losowego zakresu;
  • adresy routerów / bram domyślnych są spójne (np. zawsze .1 lub .254 w danej podsieci);
  • adresacja urządzeń krytycznych (PLC, SCADA, router VPN) jest statyczna, a nie z DHCP „z domyślnych ustawień”;
  • zakresy przewidziane na klientów VPN są inne niż adresy w sieci OT – unikamy konfliktów, które później wymuszają otwieranie większych zakresów w firewallu.

Przykład z praktyki: integrator ma własną przestrzeń 10.200.x.x dla klientów VPN, a każda maszyna w zakładach klientów pracuje na podsieciach 10.10.x.x / 10.20.x.x. Wtedy na bramie VPN łatwo zdefiniować, że klient o adresie 10.200.5.10 ma prawo dojść tylko do 10.10.5.0/24 (konkretna linia), a inny – do 10.20.3.0/24.

Ustawienia kryptograficzne – kompromis między bezpieczeństwem a kompatybilnością

W starszych routerach przemysłowych nadal można spotkać domyślne profile IPsec oparte na słabszych algorytmach (np. 3DES, MD5). W środowisku OT często są tolerowane „bo działa”, ale z punktu widzenia cyberbezpieczeństwa są nieaktualne.

Sensowny dziś standard to:

  • szyfrowanie AES-128 lub AES-256 w trybie GCM lub CBC;
  • funkcje skrótu z rodziny SHA-2 (SHA-256, ewentualnie SHA-384);
  • wymiana kluczy oparta na IKEv2 z silnymi grupami DH (np. grupa 14 lub wyższa).

Jeśli starsze urządzenia nie obsługują tych parametrów, warto rozważyć umieszczenie przed nimi nowszej bramy VPN (np. małego firewalla przemysłowego) i nie wystawiać tych „legacy” urządzeń bezpośrednio na tunel internetowy.

Zarządzanie szerszą flotą tuneli VPN

W większych organizacjach pojawia się problem nie pojedynczego tunelu, lecz dziesiątek, a czasem setek zestawień: linie w różnych zakładach, różni dostawcy, różne routery. Bez centralnej ewidencji szybko robi się z tego „spaghetti VPN”.

Praktyczne elementy, które pomagają:

  • Rejestr tuneli – dla każdego: kto jest stroną A, stroną B, jakie podsieci są objęte, kto odpowiada za utrzymanie, kiedy ostatnio testowano odtwarzanie połączenia.
  • Szablony konfiguracji – gotowe, przetestowane „profile” dla urządzeń danego producenta (np. router X u klienta Y ma zawsze identyczny schemat adresacji i parametry IPsec). Ogranicza to kreatywność w miejscach, w których jest ona zbędna.
  • Regularne przeglądy – raz lub dwa razy w roku lista tuneli jest przeglądana: które są nadal potrzebne, które można wyłączyć, gdzie trzeba wprowadzić nowsze algorytmy szyfrowania.

To nie jest „rocket science”, ale bez takiej dyscypliny po paru latach nikt już nie wie, którędy dokładnie ruch wchodzi i wychodzi z OT.

Kontrola dostępu i uwierzytelnianie użytkowników

Rola tożsamości użytkownika w środowisku OT

Wiele starszych systemów sterowania było projektowanych z założeniem, że każdy, kto „jest w sieci”, jest z definicji zaufany. Zdalny dostęp burzy ten model. Samo posiadanie połączenia VPN nie może automatycznie oznaczać, że użytkownik może zrobić wszystko.

Logika powinna wyglądać tak:

  1. użytkownik uwierzytelnia się do systemu VPN / jump hosta (tożsamość osoby);
  2. na podstawie tej tożsamości przydzielany jest mu konkretny profil uprawnień (które linie, które PLC, tylko odczyt czy również zapis);
  3. każde połączenie z PLC / HMI jest logowane z tą tożsamością.

To przeciwieństwo modelu „jeden login serwisowy na wszystkie maszyny”, w którym później nikt nie jest w stanie powiedzieć, kto faktycznie zmienił blok funkcyjny w sterowniku.

Imienne konta, grupy ról i minimalny zakres uprawnień

Przy konfiguracji dostępu zdalnego dobrze zacząć od zdefiniowania ról, a dopiero potem przypisywać do nich osoby. Przykładowe role:

  • Serwisant producenta maszyny – dostęp tylko do maszyn jego produkcji, zwykle na poziomie programu PLC i HMI, ale bez dostępu do SCADA całego zakładu.
  • Utrzymanie ruchu zakładu – szerszy dostęp, ale ograniczony geograficznie (tylko „własny” zakład) i z rozróżnieniem na tryb lokalny (na miejscu) oraz zdalny.
  • Integrator systemów – często łączony na czas projektu lub modernizacji; po zakończeniu prac jego rola powinna być dezaktywowana lub mocno zawężona.

Imienne konta użytkowników są przypisywane do tych ról w systemie VPN, w jump hoście i – jeśli to możliwe – w samej warstwie aplikacyjnej (SCADA, narzędzia inżynierskie z obsługą logowania użytkowników). Dzięki temu log z połączenia mówi: „użytkownik Jan.Nowak (rola: Serwisant producenta) połączył się do PLC-03 i załadował nową wersję programu”.

Silne uwierzytelnianie: hasła, certyfikaty, MFA

Hasło do VPN zapisane na kartce w szafie rozdzielczej to nie jest rzadkość. Aby zredukować ryzyko przejęcia dostępu zdalnego, warto połączyć kilka mechanizmów:

  • Hasła z polityką złożoności i rotacji – minimalne wymagania (długość, znaki specjalne) oraz cykliczna zmiana, ale bez przesady (zbyt częsta rotacja prowadzi do „post-itów” na monitorze).
  • Certyfikaty klienckie – każdy użytkownik lub urządzenie ma własny certyfikat X.509 wydany przez twoje CA (urząd certyfikacji). Kradzież samego hasła nie wystarczy do połączenia, bo potrzebny jest jeszcze klucz prywatny zapisany w systemie lub na tokenie.
  • MFA (Multi-Factor Authentication) – drugi składnik w postaci aplikacji typu TOTP (np. na telefonie serwisanta), klucza sprzętowego U2F/FIDO2 albo SMS (gorsze, ale lepsze niż nic). Nawet jeśli ktoś pozyska hasło i profil klienta VPN, bez drugiego czynnika nie dostanie się do sieci.

W praktyce dobrze działa kombinacja: certyfikat + hasło + MFA dla dostępu administracyjnego oraz certyfikat + hasło dla mniej krytycznych ról. Przy awariach produkcji presja na „obejścia” jest duża, dlatego procedury awaryjne (np. reset MFA) trzeba z góry rozpisać i delegować tylko do wąskiej grupy administratorów.

Session management, logowanie i nadzór nad sesjami zdalnymi

Sama kontrola wejścia do VPN to za mało. Trzeba jeszcze panować nad tym, co dzieje się w trakcie sesji. Podstawowe mechanizmy to:

  • limity czasu trwania sesji (session timeout) – po określonym czasie bez aktywności użytkownik jest automatycznie wylogowywany;
  • restrykcje godzinowe – niektóre role (np. integratorzy) mogą łączyć się wyłącznie w oknach serwisowych lub po zatwierdzeniu przez dyspozytora;
  • monitoring i nagrywanie sesji – na jump hoście można rejestrować ruch RDP/SSH i logować komendy lub wykonywane akcje.

Dobrym nawykiem jest też wprowadzenie mechanizmu „dual control” przy krytycznych operacjach. Przykład: aby serwisant zewnętrzny mógł zmienić program w PLC obsługującym kluczową linię, dyspozytor UR z zakładu musi zdalnie „autoryzować” tę sesję lub fizycznie przełączyć kluczyk trybu pracy na lokalnym panelu. To ogranicza pole manewru zarówno atakującemu, jak i… zbyt kreatywnemu serwisantowi.

Procedury nadawania, przeglądu i odbierania dostępu

Nawet najlepiej ustawiony VPN i MFA nie pomogą, jeśli konta użytkowników żyją wiecznie. W OT wciąż nierzadkie są sytuacje, w których były integrator ma czynne konto do linii, której nie dotyka od kilku lat. Dlatego model zarządzania uprawnieniami (IAM) musi być częścią procesu technicznego, nie tylko „sprawą IT”.

W praktyce sprawdza się prosty cykl:

  • nowy dostęp jest nadawany wyłącznie na wniosek (ticket, formularz) zatwierdzony przez właściciela procesu lub kierownika UR;
  • każda rola ma określony czas ważności (np. integrator na czas projektu + 30 dni buforu);
  • co pewien okres (np. co kwartał) właściciele linii dostają listę kont z przypisanymi uprawnieniami i potwierdzają, które nadal są potrzebne;
  • dezaktywacja konta jest częścią checklisty przy zakończeniu projektu, rozwiązaniu umowy czy odejściu pracownika.

Tip: dobrze, jeśli OT ma własnego „właściciela systemu” (np. inżynier automatyki z mandatem decyzyjnym), który rozumie zarówno technologie sterowników, jak i politykę bezpieczeństwa. Wtedy decyzje o nadawaniu i odbieraniu dostępów nie są czystą biurokracją, tylko elementem realnej kontroli nad zmianami w instalacji.

Spójność z procesem zmian technicznych

Zdalny dostęp do PLC to w praktyce mechanizm umożliwiający zmianę konfiguracji maszyn z dowolnego miejsca na świecie. Jeśli proces change management kończy się na „wyślij maila do integratora i niech coś poprawi”, to nawet najbardziej wyrafinowane mechanizmy uwierzytelniania będą jedynie cienką warstwą ochrony.

Uporządkowany proces zmian technicznych powinien obejmować także zdalne modyfikacje. Każda większa ingerencja w konfigurację PLC zdalnie powinna być poparta:

  • formalnym zgłoszeniem (ticket, zlecenie pracy) opisującym problem, zakres i plan testów;
  • przypisaniem odpowiedzialnego inżyniera po stronie zakładu, który „sponsoruje” zmianę i rozumie jej konsekwencje;
  • krótką notatką powykonawczą (log z działań) podpiętą do dokumentacji linii lub systemu.

Dobrą praktyką jest spięcie systemu ticketowego z logami VPN / jump hosta. W idealnym scenariuszu w logu sesji widać numer zgłoszenia, na podstawie którego otwarto dostęp. Dzięki temu po roku da się odpowiedzieć na pytanie: „kto i dlaczego zmienił parametry napędu na linii X”, zamiast zgadywać na podstawie pamięci ludzi.

Drugi element to planowanie okien serwisowych. Zdalne zmiany w PLC robione „na gorąco”, w środku zmiany produkcyjnej, tylko dlatego, że ktoś akurat ma czas, kończą się zwykle chaosem. Ustalone, cykliczne okna (nawet krótkie) z osobą odpowiedzialną po stronie UR i jasnymi kryteriami „go/no-go” znacząco obniżają ryzyko niekontrolowanego postoju. Przy krytycznych liniach sensowne jest też wdrożenie prostego workflow: analiza wpływu, akceptacja ryzyka przez właściciela procesu, dopiero potem otwarcie dostępu.

Trzeci element to dokumentacja konfiguracji sieciowej i bezpieczeństwa jako integralna część dokumentacji technicznej instalacji. W praktyce do „schematu elektrycznego” i „programu PLC” dochodzi dziś: schemat segmentacji, opis reguł firewalli, lista tuneli VPN oraz macierz ról i dostępów. Aktualność tych dokumentów powinna być weryfikowana przy każdym większym change request, razem z backupami programów sterowników.

Zdalny dostęp do PLC nie musi być kompromisem między wygodą a bezpieczeństwem. Jeśli architektura sieci, VPN, kontrola tożsamości i proces zmian są ze sobą zsynchronizowane, da się serwisować instalacje z drugiego końca świata, jednocześnie utrzymując rozsądny poziom ryzyka cybernetycznego i technicznego. W gruncie rzeczy chodzi o to, żeby każdy tunel, każde konto i każda zmiana miały swojego właściciela, swój powód i ślad w logach.

Bezpieczna konfiguracja narzędzi inżynierskich i stacji serwisowych

Technicznie to na laptopie inżyniera automatyka lub serwisanta zapada ostateczna decyzja, jaki kod trafi do PLC. Nawet najlepiej zaprojektowany VPN nie pomoże, jeśli stacje robocze, z których korzystają użytkownicy, są najsłabszym ogniwem.

Dedykowane stacje do pracy z PLC

Dobrym standardem jest rozdzielenie stacji „biurowych” od stacji „inżynierskich”. Ten sam laptop z pocztą, przeglądarką i pakietem biurowym nie powinien jednocześnie służyć jako główne narzędzie do programowania sterowników w krytycznej instalacji.

Praktyczny model:

  • stacje inżynierskie fizyczne – komputery stojące w sieci OT (lub w DMZ OT), bez dostępu do Internetu, z ograniczonym zestawem aplikacji (narzędzia PLC/HMI, klient VPN, narzędzia diagnostyczne);
  • stacje wirtualne (VDI) – serwer w DMZ OT lub w sieci OT z pulą maszyn wirtualnych, do których łączą się inżynierowie przez RDP/HTML5 z laptopów „biurowych”. Kod PLC nigdy nie opuszcza tej strefy; laptop użytkownika jest tylko „terminalem”.

W wielu zakładach przejście na model VDI rozwiązuje kilka problemów jednocześnie: łatwiejsze aktualizacje narzędzi inżynierskich, scentralizowane backupy projektów, jednolita polityka antywirusowa i szyfrowanie dysków na poziomie serwera.

Twarde utwardzenie (hardening) stacji inżynierskich

Stacja z TIA Portalem, Studio 5000 czy GX Works, na której równolegle działają komunikatory, prywatny Dropbox i przeglądarka z kilkudziesięcioma wtyczkami – to proszenie się o kłopoty. Minimalny zestaw zabezpieczeń dla stacji łączących się zdalnie do PLC obejmuje:

  • system z aktualnym wsparciem – brak Windows XP/7 w roli podstawowego narzędzia; stare systemy ewentualnie w formie maszyn wirtualnych, ściśle odizolowanych;
  • pełne szyfrowanie dysku (BitLocker, LUKS) z ochroną klucza – utrata laptopa nie może oznaczać wycieku konfiguracji sieci i danych dostępowych;
  • EDR/antywirus dostosowany do OT – rozwiązania, które nie rozwalają sterowników USB do programatorów czy sterowników kart komunikacyjnych, ale nadal wykrywają typowe malware;
  • blokadę nośników wymiennych – montowanie pendrive’ów tylko po skanowaniu w wydzielonej stacji „kwarantanny” (media check station);
  • zasady lokalnych uprawnień – praca na koncie użytkownika, nie admina; podniesienie uprawnień tylko gdy rzeczywiście jest to potrzebne (instalacja sterowników, aktualizacja oprogramowania inżynierskiego).

Tip: sprzęt do pracy w OT traktuj jak urządzenia pomiarowe – ma przechodzić przeglądy i kalibrację, tyle że w tym przypadku „kalibracją” są aktualizacje, przegląd logów i testy backupów.

Standaryzacja środowisk projektowych

Różne wersje narzędzi inżynierskich, pluginów, sterowników USB i bibliotek producenta potrafią generować trudne do debugowania problemy – zarówno techniczne, jak i bezpieczeństwa. Dlatego opłaca się przygotować standardowe obrazy systemów (golden images) dla typowych ról:

  • „Stacja Siemens” – konkretna wersja TIA Portal/Step7, ustalony pakiet sterowników, konfiguracja firewalli aplikacyjnych;
  • „Stacja Rockwell” – Studio 5000, FactoryTalk w określonych wersjach;
  • „Stacja narzędzi diagnostycznych” – Wireshark, narzędzia SNMP, narzędzia do testów OPC UA/MQTT, ale bez oprogramowania inżynierskiego.

Taki obraz jest testowany i akceptowany wspólnie przez IT i OT. Przy wdrożeniu nowej wersji systemu sterowania aktualizuje się obraz, a następnie odtwarza z niego stacje fizyczne lub wirtualne. Znika problem „dzikich instalacji” oprogramowania pobranego z niepewnych źródeł.

Podświetlone szafy serwerowe ilustrujące nowoczesną infrastrukturę IT
Źródło: Pexels | Autor: panumas nikhomkhai

Bezpieczeństwo komunikacji protokołów przemysłowych w tunelu zdalnym

VPN szyfruje ruch między końcami tunelu, ale nie „naprawia” słabości protokołów przemysłowych. Wiele z nich (Modbus/TCP, S7, Profinet, niektóre implementacje EtherNet/IP) w ogóle nie myśli o autoryzacji czy integralności danych.

Ograniczanie ekspozycji protokołów

Podstawowa zasada: przez VPN przepuszczasz wyłącznie to, co jest niezbędne do wykonania konkretnego zadania, a nie „całą sieć OT na świat”. Konkretnie:

  • lista dozwolonych portów – na firewallu między VPN a OT dopuszczasz jedynie porty używane przez narzędzia inżynierskie (np. 102/TCP dla S7, 44818/TCP dla EtherNet/IP), a nie „any/any”;
  • ograniczenie kierunku ruchu – jeśli serwisant ma czytać dane, nie musi mieć praw do zapisu czy ładowania programu. Część sterowników i narzędzi dostarcza rozdzielenie uprawnień „online monitoring” vs „programowanie”;
  • filtry na poziomie aplikacji (industrial firewall, DPI – Deep Packet Inspection) – urządzenia rozumiejące protokoły PLC potrafią blokować np. funkcje „write” i „stop CPU”, pozostawiając jedynie odczyt.

W praktyce filtracja na poziomie aplikacji jest jednym z najbardziej efektywnych sposobów ograniczenia skutków przejęcia konta serwisanta. Atakujący może dostać się do tunelu, ale industrial firewall nie przepuści komend zatrzymania czy przeładowania programu.

Bezpieczniejsze protokoły i ich konfiguracja

Część nowszych rozwiązań (np. OPC UA, TLS w sterownikach, mechanizmy secure-by-design w najnowszych rodzinach PLC) oferuje natywne szyfrowanie i uwierzytelnianie. W takich przypadkach VPN jest kolejną warstwą ochrony, a nie jedyną.

Przy wdrażaniu tych technologii zwróć uwagę na:

  • model zaufania – kto jest CA (urzędem certyfikacji) dla certyfikatów OPC UA / TLS na sterownikach i serwerach? Dobrze, jeśli to ta sama hierarchia, która obsługuje certyfikaty klienckie VPN;
  • rotację i odwoływanie certyfikatów – proces CRL/OCSP (listy unieważnionych certyfikatów) musi obejmować także urządzenia OT, inaczej certyfikat skompromitowanego serwisanta będzie honorowany w nieskończoność;
  • twardą konfigurację algorytmów kryptograficznych – odrzucenie słabych szyfrów i protokołów (np. TLS 1.0/1.1), nawet jeśli narzędzie inżynierskie „teoretycznie” je obsługuje.

Uwaga: pełne wykorzystanie OPC UA z certyfikatami i podpisanymi endpointami często wymaga zmiany przyzwyczajeń integratorów. Zysk w postaci możliwości ścisłego zarządzania tym, kto może się gdzie podłączyć i po co, zwykle rekompensuje początkowy wysiłek.

Monitorowanie bezpieczeństwa zdalnego dostępu w środowisku OT

Sam fakt, że VPN działa, nie oznacza, że jest używany zgodnie z intencją. OT potrzebuje minimalnej, ale konkretnej warstwy monitoringu bezpieczeństwa – ukierunkowanej na kilka kluczowych sygnałów ostrzegawczych, a nie na setki dashboardów.

Jakie logi naprawdę mają znaczenie

Logi są tylko wtedy użyteczne, gdy ktoś faktycznie je analizuje, a system utrzymuje je w formie pozwalającej na korelację zdarzeń. W kontekście zdalnego dostępu do PLC kluczowe są:

  • logi uwierzytelniania VPN – próby logowania, nieudane próby, logowania z nietypowych lokalizacji, logowania poza standardowymi godzinami dla danej roli;
  • logi jump hosta – informacje, kto nawiązał sesję RDP/SSH do którego hosta, z jakiej roli i na jak długo; przy nagrywaniu sesji – wskaźniki, ile czasu spędzono w trybie „online” na PLC;
  • logi firewalli OT / industrial firewalli – odrzucane próby ruchu do PLC spoza standardowego zakresu, próby użycia zabronionych funkcji (np. modyfikacja pamięci, zatrzymanie CPU);
  • logi sterowników i SCADA – zapisy w stylu „download programu”, „zmiana parametru” powiązane, o ile się da, z tożsamością użytkownika.

Narzędzia SIEM (Security Information and Event Management) używane przez IT można wykorzystać także dla OT, pod warunkiem że filtruje się szum i projektuje kilka sensownych reguł korelacji zamiast „łapać wszystko”.

Proste reguły detekcji anomalii

Nie trzeba od razu wdrażać zaawansowanej analizy behawioralnej, aby mieć podstawowy nadzór. Kilka ręcznie ustawionych reguł potrafi wyłapać większość istotnych incydentów związanych ze zdalnym dostępem:

  • powtarzające się nieudane logowania VPN z różnych adresów IP dla tego samego konta – sygnał ataku słownikowego;
  • logowanie z lokalizacji geograficznych, które nie mają sensu biznesowo (serwisant z Polski „loguje się” nagle z innego kontynentu);
  • dostęp serwisanta do linii, dla której nie ma otwartego zgłoszenia w systemie ticketowym (integracja SIEM z systemem zgłoszeń);
  • zmiany programu w PLC poza ustalonymi oknami serwisowymi lub w godzinach, w których dana rola nie powinna mieć aktywnego dostępu;
  • nietypowe natężenie ruchu do PLC z pojedynczego konta lub adresu VPN (np. skanowanie portów, masowe odczyty rejestrów).

Tip: na początku wystarczy prosty raport dzienny lub tygodniowy wysyłany do „właściciela systemu OT” – np. lista wszystkich zdalnych sesji z krótką klasyfikacją: kto, kiedy, do czego, z jakiego powodu.

Rozdzielenie incydentów bezpieczeństwa od awarii technicznych

W OT często każda nieprawidłowość trafia do jednego worka: „coś nie działa”. Rozsądnie jest zdefiniować minimalny proces obsługi incydentów bezpieczeństwa (security incident handling), inny niż typowe zgłoszenia utrzymania ruchu:

  • jasne kryteria, co jest incydentem bezpieczeństwa (np. nieautoryzowana zmiana w PLC, próby logowania z dziwnych lokalizacji, złamane procedury dostępu);
  • dedykowana ścieżka eskalacji – osoby, które wiedzą, jak zebrać artefakty (logi, konfiguracje), żeby dało się odtworzyć przebieg zdarzenia;
  • wspólny zespół IT/OT – minimalnie: ktoś od sieci, ktoś od systemów Windows/serwerów, ktoś od automatyki.

Przykład z praktyki: po awarii linii inżynier znajduje na PLC świeży timestamp programu, ale nikt z zespołu nie przyznaje się do zmiany. Jeśli procedura incydentowa działa, w kilka minut można sięgnąć do logów VPN, jump hosta i SCADA. Bez niej kończy się na spekulacjach i ręcznym porównywaniu backupów.

Zarządzanie cyklem życia rozwiązań zdalnego dostępu

VPN, jump hosty, industrial firewalle i narzędzia inżynierskie zmieniają się w czasie. Łanie wygląda architektura, w której technologia, procedury i dokumentacja aktualizują się wspólnie – zamiast tworzyć muzeum niekompatybilnych komponentów.

Planowanie zmian wersji oprogramowania VPN i jump hosta

Aktualizacje serwerów VPN czy bram jump host są często odkładane „na później”, bo działają i nikt nie chce ryzykować przestojów. Skutek: po kilku latach działa tam oprogramowanie, którego nikt już nie wspiera. Rozsądny model:

  • kalendarz aktualizacji – np. dwa razy w roku okno na zmiany w infrastrukturze zdalnego dostępu, zsynchronizowane z oknami serwisowymi OT;
  • środowisko testowe – minimalne, ale istniejące: mały lab z jednym PLC, klientem VPN i kopią konfiguracji produkcyjnej, na którym można przetestować nową wersję serwera VPN;
  • procedura rollback – jasny opis, jak wrócić do poprzedniej wersji, jeśli aktualizacja spowoduje nieplanowane problemy (backup konfiguracji, snapshoty VM, etc.).

Uwaga: zmiana wersji klienta VPN na laptopach serwisowych bez wcześniejszego testu z narzędziami inżynierskimi to częsta przyczyna problemów z połączeniem do starszych sterowników, szczególnie przy niestandardowych sterownikach kart sieciowych czy driverach USB.

Kontrola zmian konfiguracji sieciowej związanej ze zdalnym dostępem

Firewall, router, serwer VPN i industrial firewall mają jedną wspólną cechę – konfiguracje potrafią „puchnąć” w ciszy. Kolejne wyjątki dodawane są „na chwilę”, a po roku nikt nie wie, czy nadal są potrzebne. Kilka praktycznych zasad:

  • każda nowa reguła VPN/firewalla ma opis i właściciela – kto poprosił o zmianę, do czego służy, kiedy wygasa;
  • cykliczny przegląd reguł – np. raz na pół roku: administrator OT przechodzi po liście wyjątków i pyta właścicieli linii, czy nadal są potrzebne;
  • oznaczanie reguł tymczasowych – np. „serwis integratora do 2026-03-31”, po tej dacie reguła jest automatycznie dezaktywowana, jeśli nikt nie zgłosi potrzeby przedłużenia.
  • wersjonowanie konfiguracji – backupy tekstowe/eksporty konfiguracji trzymane w repozytorium (np. Git), z opisem zmian w commitach. Przy większej liczbie lokalizacji to czasem jedyny sposób, aby po roku zrozumieć, dlaczego reguły w zakładzie A i B różnią się w szczegółach;
  • separacja odpowiedzialności – jedna osoba (lub zespół) projektuje politykę, inna wdraża konkretne reguły i robi review. Taki prosty „dual control” mocno ogranicza ryzyko przypadkowych „dziur” w firewallu;
  • testy po zmianie – krótka checklista: czy zdalny dostęp z autoryzowanych laptopów działa, czy ktoś z nieautoryzowanej podsieci nadal nie może dosięgnąć PLC, czy monitoring nadal zbiera logi z właściwej strefy.

Przy kilku zakładach dochodzi jeszcze problem „dryfu konfiguracji” (configuration drift): każdy obiekt ma niby tę samą architekturę, ale inny zestaw wyjątków. Dobrą praktyką jest trzymanie jednego „wzorca” (baseline) konfiguracji zdalnego dostępu i porównywanie do niego poszczególnych lokalizacji – różnice muszą być świadome i opisane biznesowo, a nie „bo tak wyszło przy uruchomieniu”.

Wyłączanie starych rozwiązań i sprzątanie po projektach

Po każdym większym projekcie modernizacji lub uruchomieniu nowej linii zostają „artefakty”: konta integratora, tymczasowe tunele VPN, dodatkowe reguły na firewallu, stare wersje narzędzi inżynierskich na jump hoście. Jeśli nie ma na to procesu, po kilku latach utrzymuje się zbiór zupełnie niepotrzebnych punktów wejścia do sieci OT.

Najprościej zdefiniować krótki „check-out” po zakończeniu projektu: przegląd kont użytkowników, przeterminowanych certyfikatów, tymczasowych VLAN-ów i reguł NAT. Dobrze działa zasada, że projekt formalnie nie jest zamknięty, dopóki nie zostanie podpisany protokół „sprzątania” dostępu zdalnego. To nie musi być 10-stronicowy dokument – czasem wystarczy pół strony checklisty podpisanej przez właściciela linii i administratora OT.

Drugą stroną medalu jest wyłączanie starych technologii. Gdy pojawia się nowa, centralna brama VPN, lokalne, ad-hoc-owe rozwiązania (stare routery z wbudowanym VPN, modemy LTE integratora) powinny mieć zdefiniowaną datę śmierci. Bez tego latami wiszą „na wszelki wypadek”, a w praktyce są idealnym celem dla atakującego, bo nikt ich już nie monitoruje i nie aktualizuje.

Bezpieczny zdalny dostęp do PLC to nie pojedynczy produkt ani konfiguracja zrobiona raz „na zawsze”, tylko powiązany zestaw decyzji: architektura sieci, sposób logowania, procedury na wejście i wyjście z linii, monitoring oraz cykliczne porządkowanie konfiguracji. Im wcześniej te elementy zostaną ułożone we współpracy IT i OT, tym mniejsze będzie ryzyko, że konieczność wsparcia serwisowego zdalnie stanie się równocześnie najłatwiejszym wektorem ataku na produkcję.

Rola dostawców zewnętrznych i integratorów w modelu zdalnego dostępu

W większości zakładów prawie każda istotna zmiana w PLC wiąże się z udziałem zewnętrznego integratora, producenta maszyny albo dostawcy utrzymania ruchu. Z perspektywy bezpieczeństwa to najtrudniejsza grupa – ma największe uprawnienia techniczne, często pracuje w pośpiechu i nierzadko ma swoje przyzwyczajenia wyniesione z innych obiektów.

Oddzielenie dostawcy od „gołego” PLC

Najgorszy scenariusz to taki, w którym dostawca ma bezpośredni VPN do tej samej podsieci, w której działają PLC i stacje HMI. Lepszym wzorcem jest kilkustopniowy dostęp:

  • dostawca loguje się przez centralny VPN klienta (kontrola tożsamości po stronie zakładu);
  • po VPN ma dostęp wyłącznie do jump hosta w strefie DMZ-OT lub strefie serwisowej;
  • z jump hosta, przy użyciu narzędzi inżynierskich, łączy się do konkretnego PLC, ale tylko w ramach przypisanej strefy.

Taki układ izoluje urządzenia OT od bezpośrednich połączeń „z internetu” integratora. Nawet jeśli jego laptop zostanie zainfekowany, złośliwe oprogramowanie musi pokonać kolejne warstwy, a ruch jest logowany w jednym, kontrolowanym miejscu.

Model kont – użytkownik imienny zamiast „Integrator1”

Typowy błąd: jedno wspólne konto VPN lub RDP, nazwane „Integrator” albo „Serwis_Maszyny_X”, współdzielone przez kilka osób. W efekcie nie da się ustalić, kto faktycznie wykonał dany dostęp.

Bezpieczniejszy wariant:

  • każda osoba po stronie dostawcy ma imienne konto (VPN, jump host, narzędzia inżynierskie, jeśli wspierają logowanie);
  • role są odwzorowane w grupach – np. „Integrator_Linia1_ReadWrite”, „Integrator_Global_ReadOnly”;
  • wspólne konta techniczne (do automatyzacji, skryptów) istnieją wyjątkowo, z logowaną eskalacją i rotacją haseł.

Imienne konto nie rozwiązuje wszystkiego, ale mocno zmniejsza komfort „kreatywnego” obchodzenia procedur. Do tego dochodzi sprzężenie z systemem ticketowym – dostęp nadaje się na czas konkretnego zgłoszenia, a nie „na zawsze”.

Czasowe udzielanie dostępu (just-in-time access)

Model działający w wielu zakładach: domyślnie integrator nie ma żadnego aktywnego dostępu. Gdy pojawia się potrzeba wsparcia, właściciel linii inicjuje sesję serwisową:

  • w systemie ticketowym albo portalu self-service powstaje zgłoszenie;
  • administrator lub automatycznie działający workflow aktywuje regułę VPN/jump hosta dla konkretnego użytkownika i strefy;
  • dostęp ma ściśle określony czas ważności (np. 4 godziny), po którym wygasa bez ręcznej interwencji.

Tip: dość dobrze sprawdzają się rozwiązania, w których integrator nie ma stałego konta VPN, tylko dostaje jednorazowy token lub tymczasowe konto, wygasające po zamknięciu zgłoszenia. Wymaga to integracji z IAM (Identity and Access Management), ale znacząco zmniejsza „pasywną ekspozycję” sieci OT.

Rejestr umów i wymogów bezpieczeństwa

Nawet najlepsze technicznie rozwiązanie polegnie, jeśli umowa z dostawcą nie reguluje kwestii bezpieczeństwa. W kontraktach warto ująć minimum:

  • wymóg stosowania aktualnych systemów na laptopach serwisowych (łatki, antywirus/EDR, szyfrowanie dysku);
  • zakaz używania nieautoryzowanych kanałów zdalnych (np. własne routery LTE, TeamViewer poza korporacyjnym brokerem);
  • obowiązek zgłaszania incydentów bezpieczeństwa po stronie dostawcy, jeśli mogą dotyczyć środowiska klienta;
  • zasady przekazywania kopii programów, backupów i haseł administracyjnych po zakończeniu projektu.

Bez formalnego zapisania wymagań dostawca zwykle będzie optymalizował pod własną wygodę, a nie pod bezpieczeństwo twojej sieci.

Osoba trzyma maskę anonimowego hakera na tle serwerowni
Źródło: Pexels | Autor: panumas nikhomkhai

Bezpieczne narzędzia inżynierskie i stacje serwisowe

Druga połowa układanki to środowisko, z którego łączy się inżynier: laptop, wirtualna maszyna, specjalny terminal HMI albo jump host. To właśnie tu najczęściej pojawia się malware – nie na samym PLC.

Jump host jako standardowy punkt wejścia

Jump host (bastion host) to serwer, przez który przechodzi każda sesja zdalna do PLC i innych urządzeń OT. W praktyce sprowadza się to do zasady: nikt nie łączy się bezpośrednio z PLC z własnego laptopa – najpierw loguje się na jump hosta, a dopiero stamtąd do sterowników.

Kluczowe cechy dobrze zaprojektowanego jump hosta:

  • twarda platforma – aktualny system operacyjny, zredukowany zestaw usług, brak zwykłej poczty i przeglądania internetu;
  • kontrola aplikacji – tylko zatwierdzone narzędzia inżynierskie, brak możliwości instalacji dowolnego oprogramowania przez serwisanta;
  • centralne logowanie – sesje RDP/SSH/VNC są rejestrowane, a logi trafiają do SIEM lub przynajmniej na serwer logów IT;
  • dostęp przez MFA – logowanie na jump hosta wymaga drugiego składnika, nawet jeśli VPN już stosuje MFA (podwójne zabezpieczenie kluczowego punktu).

Uwaga: jump host to element infrastruktury krytycznej. Uprawnienia admina na nim nie powinny być rozdawane szerzej niż uprawnienia do samej sieci OT.

Wirtualne środowiska dla starych narzędzi

Stare wersje Step7, GX Developer czy panelowe konfiguratory HMI często wymagają systemów operacyjnych, których nie chcesz widzieć w produkcyjnej domenie (np. stare odmiany Windows). Rozwiązaniem jest wirtualizacja:

  • na jump hoście lub serwerze w strefie OT utrzymuje się szablony maszyn wirtualnych z preinstalowanymi narzędziami inżynierskimi;
  • inżynier, po zalogowaniu, uruchamia tymczasową VM tylko dla swojej sesji – po zakończeniu jest ona wyłączana lub niszczona;
  • komunikacja z PLC odbywa się z sieci OT, nie z laptopa serwisowego, który widzi tylko pulpit VM.

Taki model ogranicza przenoszenie malware z laptopów integratora do sieci OT i jednocześnie pozwala utrzymać stare narzędzia w kontrolowanym środowisku.

Standard bezpieczeństwa dla laptopów serwisowych

W wielu zakładach „laptop automatyka” ma większy dostęp niż administrator systemów IT. Jeśli ma jednocześnie lokalne uprawnienia admina, brak aktualizacji i dowolne oprogramowanie, staje się najsłabszym ogniwem całego projektu zdalnego dostępu.

Przydaje się krótki, techniczny standard:

  • pełne szyfrowanie dysku (BitLocker / LUKS) – zgubiony laptop to nie jest od razu wyciek konfiguracji całej linii;
  • aktualny system oraz EDR/antywirus zarządzany centralnie;
  • podział na konto użytkownika bez uprawnień admina oraz osobne konto do czynności administracyjnych;
  • zakaz bezpośredniego routowania internetu do sieci OT – dostęp do OT wyłącznie przez VPN/jump host;
  • procedura okresowego przeglądu oprogramowania – eliminacja zbędnych narzędzi i „prywatnych” aplikacji.

W mniejszych organizacjach część z tych wymogów można zaimplementować prościej – np. zamiast EDR, regularny skan antywirusowy i ręczny przegląd stanu systemu podczas przeglądów okresowych.

Środowiska testowe i „suche” uruchomienia zdalnych zmian

Zdalny dostęp kusi tym, że zmiany w PLC można wprowadzić szybko. To również najkrótsza droga do zdalnego wyłączenia produkcji. Minimalizacja ryzyka zaczyna się od tego, gdzie i jak testowane są modyfikacje.

Mini-lab OT jako poligon dla zmian

Nawet niewielkie środowisko testowe realnie ogranicza liczbę kryzysów. W praktyce wystarczy:

  • jeden lub dwa sterowniki tej samej rodziny (lub emulator, jeśli producent go dostarcza);
  • prosty układ wejść/wyjść (symulatory, mały panel HMI, kilka czujników);
  • kopie projektów komunikacji (SCADA, OPC UA, driver PLC), tak aby zachować logikę połączeń z produkcji.

Scenariusz pracy: integrator najpierw wdraża zmianę w labie, przechodzi test funkcjonalny, zapisuje pakiet zmian (co, w jakiej wersji, jakie parametry). Dopiero potem wykonuje analogiczną operację na produkcji – idealnie w zdefiniowanym oknie serwisowym.

Symulacja z punktu widzenia sieci

Oprócz samego programu PLC warto przetestować zachowanie sieci: jak firewall, VPN i system monitoringu zareagują na nowy ruch. Przydaje się tu prosty zestaw kroków:

  • z symulowanego adresu klienta VPN inicjuje się połączenie zgodne z planowaną zmianą (np. nowy port dla protokołu programowania);
  • sprawdza się, czy firewall przepuszcza tylko zakładany ruch, a nic „dookoła” nie zostało przypadkowo otwarte;
  • przegląda się logi w SIEM/SOC – czy nowy typ sesji jest sensownie opisywany i kategoryzowany.

Test sieci w labie pozwala uniknąć dogrywania nowych wyjątków na szybko podczas przestoju, gdy presja czasu jest największa.

Procedura „dry-run” na produkcji

Nawet przy prostych sterownikach dobrze działa krótka procedura „na sucho”:

  • najpierw wykonuje się backup bieżącej konfiguracji PLC i zapisuje w centralnym repozytorium;
  • następnie otwiera się zdalną sesję, ale jedynie odczytuje konfigurację i sprawdza łączność z narzędzia inżynierskiego;
  • dopiero po pozytywnym teście łączności i zapisaniu logów z sesji uruchamia się właściwą modyfikację programu.

To prosta kontrola, czy VPN, routing i uprawnienia faktycznie zgadzają się z założeniami dokumentacji. Jeśli coś jest nie tak, lepiej wykryć to przed zatrzymaniem linii i wejściem w tryb „gorącej” zmiany.

Obsługa danych procesowych w kontekście zdalnego dostępu

Zdalne połączenia do PLC służą nie tylko serwisowi. Bardzo często chodzi też o dostęp do danych – zbieranie trendów, raportowanie OEE, zasilanie systemów analitycznych. Źle zaprojektowane pobieranie danych potrafi przeciążyć sieć OT albo otworzyć boczne drzwi do sterowników.

Brama danych OT/IT zamiast bezpośredniego odczytu z PLC

Lepsza praktyka zakłada istnienie pośrednika – serwera OPC UA, historianu lub dedykowanej bramy danych w strefie DMZ-OT. PLC komunikuje się tylko z tą bramą, a wszystkie narzędzia zdalne i systemy IT odczytują dane właśnie stamtąd.

Zaletą takiego modelu jest:

  • jedno miejsce kontroli – łatwiej monitorować, kto pobiera dane i w jaki sposób;
  • rozładowanie obciążenia – PLC nie musi odpowiadać na dziesiątki równoległych zapytań z różnych aplikacji;
  • łatwiejsza segmentacja ruchu – PLC komunikują się z jednym adresem IP/bramą, a nie z całą chmurą systemów BI.

Uwaga: to dotyczy także zdalnych narzędzi diagnostycznych – jeśli da się dane pobrać z historianu zamiast z Level 1, sensownie jest to rozdzielić.

Limitowanie zakresu i częstotliwości odczytów

Narzędzie analityczne podłączone przez zdalny tunel, które bez ograniczeń odpytuje wszystkie rejestry co sekundę, jest w stanie skutecznie „zagłodzić” sterownik. Ograniczenia powinny być wprowadzone zarówno w konfiguracji bramy danych, jak i w regułach firewalla:

  • predefiniowane listy zmiennych do odczytu dla danego typu analizy (receptury, kluczowe parametry, statusy);
  • limity częstotliwości zapytań (rate limiting) po stronie serwera OPC UA/bramy;
  • oddzielne konta i role dla odczytu on-line oraz pobierania historycznych danych.

Tip: w konfiguracji bramy danych warto włączyć logowanie zapytań z rozbiciem na użytkownika, klienta (aplikację) i zakres danych. Pomaga to szybko zidentyfikować „żarłoczny” system, który generuje niepotrzebny ruch.

Praktyczne scenariusze incydentów związanych ze zdalnym dostępem

Dopóki zdalny dostęp „po prostu działa”, mało kto analizuje, jak może wyglądać awaria lub atak. Przegląd kilku typowych scenariuszy pomaga sprawdzić, czy architektura i procedury są realnie gotowe.

Przejęte konto serwisanta

Ktoś wykrada hasło lub token MFA serwisanta (phishing, złośliwe oprogramowanie na jego laptopie). Efekt: napastnik ma technicznie taki sam dostęp jak legalny użytkownik.

Mechanizmy ograniczające skutki:

  • krótkożyjące uprawnienia – dostęp tylko w czasie trwania zgłoszenia, zamiast stałego konta z pełnymi prawami;
  • logowanie wszystkich sesji z dokładnym powiązaniem: kto, skąd, do jakiego PLC i co zrobił (odczyt, zapis, zmiana konfiguracji);
  • kontrola komend na poziomie narzędzia pośredniczącego (jump host, bastion) – np. blokada uploadu firmware poza zatwierdzonym oknem;
  • silne MFA z oddzielnym kanałem (aplikacja push, klucz sprzętowy), a nie tylko SMS na ten sam telefon używany do logowania VPN;
  • mechanizm szybkiego odcięcia sesji – operator SOC lub dyspozytor utrzymania ruchu musi mieć możliwość natychmiastowego zablokowania konkretnego konta lub tunelu VPN.

Przy przejęciu konta liczy się czas reakcji. Krótkie logowanie zmian (np. wyskakujące powiadomienia o nowej sesji na kanałach OT/IT) często pozwala złapać coś podejrzanego, zanim napastnik przejdzie z rozpoznania do modyfikacji logiki sterowania.

Błędna konfiguracja zdalnego narzędzia

Drugi, bardzo częsty scenariusz: legalny użytkownik, poprawne konto, ale źle ustawione narzędzie inżynierskie lub aplikacja zbierająca dane. Zbyt agresywny polling, pomyłka w adresacji, nieaktualna wersja oprogramowania – to wszystko potrafi wywrócić linię, mimo że „nikt niczego złego nie chciał”.

Dobrze działają trzy proste bezpieczniki. Po pierwsze, profile połączeń w narzędziach (template’y do konkretnych stref i sterowników), zamiast każdorazowego ręcznego wpisywania IP i portów. Po drugie, ograniczanie uprawnień po stronie PLC – osobne konto/tryb „tylko odczyt” tam, gdzie nie są potrzebne zmiany programu. Po trzecie, sanity check w firewallu lub bramie danych: limit sesji, limit zapytań na sekundę, alarm przy nietypowym wolumenie ruchu.

W wielu zakładach dobrym ruchem jest przejrzenie „ulubionych” ustawień integratorów w ich narzędziach – często kopiują konfiguracje sprzed lat, kompletnie niepasujące do obecnej architektury. Jednorazowe przeprowadzenie takiego przeglądu i zapisanie wzorców (np. w wiki zespołu) realnie zmniejsza liczbę niespodzianek.

Nieautoryzowane „na szybko” zdalne obejście procedur

Presja produkcji bywa większa niż jakiekolwiek polityki bezpieczeństwa. Typowy przykład: awaria, brak lokalnego serwisu, ktoś decyduje się na „tymczasowe” otwarcie portu na routerze lub zestawienie bezpośredniego VPN do PLC, z pominięciem jump hosta i SOC.

Ograniczanie tego ryzyka to nie tylko technologia, lecz także architektura procesu. Przydaje się jasno opisana ścieżka awaryjna: kto może uruchomić tryb „break glass” (obejście standardowej procedury), jak długo może on trwać i jakie logi są wtedy zbierane. Technicznie da się to zamknąć w jednym, kontrolowanym mechanizmie – np. specjalny profil w systemie zdalnego dostępu, wymagający zatwierdzenia przez dyżurnego OT/IT i automatycznie wygasający po określonym czasie.

Jeśli takiego mechanizmu nie ma, ludzie zbudują go sami – z prywatnych modemów LTE, domowych laptopów i haseł wysyłanych mailem. Dużo rozsądniej jest dać im oficjalne, choć ściśle kontrolowane, „wyjście ewakuacyjne”.

Dobrze zaprojektowany zdalny dostęp do PLC łączy trzy elementy: sensowną segmentację sieci, twarde mechanizmy techniczne (VPN, bastiony, kontrolę dostępu) oraz proste do stosowania procedury. Dopiero zestawienie tych warstw sprawia, że zdalne serwisy, aktualizacje i zbieranie danych są równie przewidywalne, jak klasyczna wizyta automatyka na hali – tylko szybsze i mniej podatne na improwizowane, niebezpieczne skróty.

Najczęściej zadawane pytania (FAQ)

Jak bezpiecznie zrealizować zdalny dostęp do sterownika PLC przez Internet?

Najbezpieczniejszym podejściem jest tunel VPN między siecią maszynową a zaufanym punktem dostępowym (np. serwerem VPN integratora lub firmowym koncentratorem VPN). Tunel VPN szyfruje ruch i ogranicza go do wybranych adresów IP/podsieci, zamiast „wystawiać” porty PLC bezpośrednio do Internetu.

Dodatkowo stosuje się segmentację (osobna podsieć dla linii/machiny), firewall na styku IT–OT oraz konta imienne z 2FA (uwierzytelnianie dwuskładnikowe) dla serwisantów. Zdalny dostęp powinien być inicjowany od strony zakładu (outbound), a nie przez otwarte porty z internetu do sterownika.

Czy proste przekierowanie portów na routerze do PLC jest bezpieczne?

Bezpośrednie przekierowanie portów (port forwarding) na sterownik PLC jest jednym z najgorszych możliwych rozwiązań z punktu widzenia bezpieczeństwa. Roboty skanujące Internet w krótkim czasie wykryją otwarte porty (np. 102 dla Profinet/S7, 502 dla Modbus/TCP, 44818 dla EtherNet/IP) i zaczną próby ataku – od brute force haseł po skan znanych podatności.

Bez dodatkowych warstw ochrony (VPN, firewall z regułami, whitelist adresów, logowanie dostępu) takie przekierowanie tworzy „otwartą bramę” do sieci OT. W praktyce jeden błędnie przekierowany port potrafi doprowadzić do zatrzymania linii lub awarii paneli HMI.

Jaki router przemysłowy wybrać do zdalnego dostępu do PLC?

Kluczowe są funkcje bezpieczeństwa, a nie tylko „ilość portów LAN”. Router powinien obsługiwać: VPN (IPsec lub SSL), firewall z konfigurowalnymi regułami, możliwość tworzenia VLAN-ów (wirtualnych sieci) oraz rozdzielenia strefy maszynowej od sieci zakładowej. Dobre rozwiązania mają też logowanie zdarzeń, listy kontroli dostępu (ACL) oraz wsparcie dla aktualizacji firmware’u.

Praktyczny tip: sprawdź, czy router pozwala na konfigurację zdalnego dostępu w trybie „client VPN” (router inicjuje połączenie do serwera w centrali lub u integratora). Dzięki temu nie trzeba otwierać przychodzących portów z Internetu do zakładu.

Jak powinna wyglądać segmentacja sieci OT przy zdalnym dostępie do sterowników?

Minimalny poziom to oddzielenie sieci biurowej (IT) od sieci produkcyjnej (OT) przez firewall i osobne podsieci. Dobrą praktyką jest dalszy podział OT na strefy: osobne VLAN-y lub podsieci dla linii, maszyn, warstwy SCADA i urządzeń infrastrukturalnych (serwery, backupy, serwery licencji).

Zdalny dostęp kieruje się wtedy do konkretnej strefy (np. tylko podsieć danej maszyny), a nie do całej sieci OT. Firewall filtruje porty i kierunki komunikacji – np. serwisant widzi tylko PLC i napędy danej linii, ale nie ma wglądu w systemy innych wydziałów czy systemy biurowe.

Co to jest DMZ przemysłowa i jak jej użyć przy zdalnym serwisie PLC?

DMZ (Demilitarized Zone) przemysłowa to wydzielona strefa sieciowa pomiędzy IT a OT. Umieszcza się tam systemy, które muszą rozmawiać z obiema stronami, np. serwer zbierania danych, serwer SCADA z replikacją, serwer aktualizacji czy koncentrator VPN.

Przy zdalnym serwisie PLC często stosuje się scenariusz, w którym serwer VPN stoi w DMZ. Serwisant łączy się najpierw do DMZ, a stamtąd, przez ściśle filtrowane reguły firewall, może uzyskać dostęp tylko do wybranych zasobów OT. Dzięki temu urządzenia produkcyjne nie są bezpośrednio wystawione na sieć publiczną ani sieć biurową.

Jak zabezpieczyć laptopy serwisantów podłączane do sieci OT?

Laptop serwisowy jest częstym wektorem ataku – jeśli jest zainfekowany, złośliwe oprogramowanie „wchodzi” razem z serwisantem do sieci OT. Dlatego wymagane są aktualne łatki systemu, regularne skanowanie antywirusem/EDR, silne hasła lub logowanie domenowe, a często także pełne szyfrowanie dysku.

Dobrym podejściem jest rozdzielenie ról: osobny, „czysty” laptop tylko do OT (z ograniczonym oprogramowaniem i brakiem codziennej poczty/WWW) oraz laptop biurowy do pracy typowo IT. Wiele firm dodaje też wymóg używania VPN nawet z laptopa serwisanta, tak aby ruchem w OT zawsze zarządzał centralny firewall.

Jakie ustawienia haseł i uprawnień stosować w sterownikach PLC przy zdalnym dostępie?

Jeśli PLC i środowisko inżynierskie oferują politykę haseł, trzeba ją włączyć: minimalna długość, złożoność, wygasanie haseł, blokada konta po kilku nieudanych próbach. Dostęp do programu serwisowego powinien być imienny (konto użytkownika), a nie wspólny login „serwis”.

W praktyce najlepiej ograniczyć uprawnienia: inny poziom dla operatorów (np. tylko podgląd, zmiana receptur) i inny dla inżynierów (zmiana programu, firmware, konfiguracji sieci). Przy zdalnym dostępie każda sesja powinna być logowana – przynajmniej: kto, kiedy, do jakiego urządzenia się łączył i z jakiego adresu IP.

Najważniejsze wnioski

  • Zdalny dostęp do PLC jest biznesowo konieczny (szybsza diagnostyka, krótsze przestoje, łatwiejsze wsparcie), ale każda dodatkowa „furtka” do sieci OT automatycznie zwiększa powierzchnię ataku.
  • Największe ryzyko wynika z prostych rozwiązań typu port forwarding bez zabezpieczeń: publicznie wystawione porty (np. 102, 44818) są natychmiast skanowane przez boty i mogą stać się otwartą bramą do całej sieci przemysłowej.
  • Typowe protokoły PLC (Modbus/TCP, klasyczny S7, Profinet, EtherNet/IP) nie mają wbudowanego szyfrowania ani silnego uwierzytelniania, więc bezpieczeństwo trzeba „dostawić” w sieci: VPN, firewall, segmentacja, DMZ.
  • Dostęp zdalny powinien być ściśle kontrolowany: inicjowany tylko na czas serwisu, ograniczony do konkretnej podsieci/maszyny, filtrowany po protokołach i zawsze szyfrowany (tunel VPN, konta imienne, najlepiej z 2FA).
  • Długie cykle życia PLC (10–20 lat) i stary firmware powodują, że nie nadążają one za zmianami w kryptografii i systemach operacyjnych, dlatego nie można polegać na „domyślnym” bezpieczeństwie sterownika.
  • Kluczowe zabezpieczenia dla zdalnego serwisu to: segmentacja sieci OT, dedykowany firewall dla automatyki, przemysłowa DMZ, kontrola urządzeń serwisowych (laptopy bez malware) oraz sensowna polityka haseł w PLC/routerach.
  • Dobrze zaprojektowany zdalny dostęp (router z VPN, połączenie wychodzące z maszyny do centralnego serwera, logowanie dostępu) pozwala szybko usuwać awarie bez wystawiania całej infrastruktury OT na Internet.