Teknoloji

Su Arıtma Tesisinin SCADA Ağına Güvenli Erişimi / Bakım Sürelerinde Büyük Düşüş

Alpay Samen
PHOENIX CONTACT Elektronik Tic. Ltd. Şti.
Elektronik & Haberleşme Mühendisi
Endüstri Yönetimi ve Otomasyon

Morehouse Engineering sistem entegratörü birçok farklı sektörde faaliyet gösteren kullanıcıların SCADA (Denetleyici Kontrol ve Veri Toplama) sistemlerini 20 yılı aşkın süredir kurmasına yardımcı olmuştur. Servis teknisyenlerinin SCADA şebekesine uzaktan erişebilmesi için Phoenix Contact güvenlik cihazları bir su arıtma tesisine monte edilmiştir.
Morehouse Engineering, New York'un yaklaşık 100 kilometre güneybatısındaki Hopewell, New Jersey'de yer alır. Şirket, 1993 yılında kurulduğundan bu yana çeşitli kontrol projelerinde yer almıştır. Bu projelerin bir parçası olarak geliştirdiği çözümler temel pompa kontrolünden labaroskopik cerrahi için eğitim araçlarına kadar farklılık gösteriyor. Şirket araştırma, analiz ve tasarımdan fabrika proses sistemlerinin imalatına, programlamasına, kurulumuna ve sorunlarının giderilmesine kadar geniş bir yelpazede hizmet sunuyor. Morehouse Engineering'in uzmanlık alanlarından biri, prosesleri kontrol eden ve izleyen tescilli SCADA sistemleri tasarlamaktır. Su yönetimi alanında bu işlemler küçük bir pompa istasyonu kadar basit ya da binlerce kilometrekareyi kapsayan bir dağıtım sistemi kadar karmaşık olabilir. SCADA sistemleri su / atıksu arıtma tesisleri gibi birçok endüstriyel alanda, ayrıca petrol ve gaz, elektrik ve taşımacılık sektörlerinde kullanılmaktadır.

Çevrimiçi sorun giderme

SCADA sistemleri tipik olarak bir veya daha fazla programlanabilir lojik kontrolör (PLC) ve bir grafik kullanıcı arabiriminden (GUI) oluşur. Bu, tek bir cihazın sınırlı sayıda giriş ve çıkış sağlayan bir kontrol sistemi görevi görebileceği anlamına gelir. Çözüm, tek bir sistemde bulunan veya geniş bir alana dağıtılmış, ilgili I/O sayısına sahip birkaç yüz PLC'den oluşabilir. Operatör, görsel arabirim görevi gören GUI aracılığıyla süreci kontrol edip izler. Grafik kullanıcı arayüzü sıklıkla merkezi bir işletim istasyonunda çalışan bir yazılım çözümüdür. Kullanıcılar, proses bileşenlerinin yakınına kurulabilecek küçük kullanıcı arabirimlerini giderek daha fazla talep etmektedir. Verilerin değiştirilmesini sağlamak için tüm kontrolörler ve işletim istasyonları birbirine bağlı olmalıdır. Bu, genellikle tüm endüstriyel sektörlerde kullanılan standartlaştırılmış, esnek ve düşük maliyetli bir haberleşme platformu sunan Ethernet ağı kullanılarak yapılır.
Morehouse Engineering'in SCADA sistemleri kontrolör ve GUI performansını en üst düzeye çıkarmak için tasarlanmıştır. Morehouse Engineering'in sistem Mühendisi Matt Maloney, "Çözümlerimiz çevrimiçi sorun giderme ve tam Web tabanlı erişim sağlıyor" diyor ve sözlerine şöyle devam ediyor: "Tarihsel veritabanları genellikle SCADA sistemlerine entegre edilmiştir. Bilgiler kapsamlı bir analiz için temel oluşturan zaman etiketiyle veritabanına kaydedilir".

Bilgisayar korsanları ve kötü amaçlı yazılımlar büyük güvenlik riski oluşturur

Morehouse Engineering'in dayanıklı, güvenilir ve yapılandırılabilir SCADA sistemleri geniş bir uygulama yelpazesinde kullanılmaktadır. Servis teknisyenleri her durum için ABD genelinde seyahat etmek zorunda kalacak olsalardı, ortaya çıkabilecek potansiyel arızaları gidermek ve çözmek için gereken süre ve maliyet oldukça yüksek olurdu. Matt Maloney: "SCADA sistemlerine internet üzerinden veya telefonla uzaktan erişebilmemizin nedeni budur" diyor ve şunları ilave ediyor, "Sonuçta müşterilerimiz, Morehouse Engineering'in hızlı ve kapsamlı bir destek sunmasını bekliyor". Geçmişte birçok müşteride sistem entegratörü bir Ethernet modem aracılığıyla sisteme bağlanarak kontrolörü İnternet'e bağlardı. Bakır telefon hatları eskiyip, girişim ve bağlantı sorunlarına yol açtığından, bu yaklaşım bir süredir zorlaştı. Bu, özellikle veri alışverişi yaparken geçerlidir. Matt Maloney, "İki kişi telefonda konuşurken statik veya az miktarda gürültü sorun oluşturmaz ama veri iletişimi bozulabilir" diyor.
Başka bir konu, düşük aktarım hızlarıdır. Maloney, "Müşterilerimize mümkün olan en iyi hizmeti sunabilmek için daha hızlı aktarım hızlarına ve daha güvenilir haberleşmeye ihtiyacımız var" diyor. Morehouse çözümünü kullanan bir su arıtma tesisi operatörü SCADA sistemine Web tabanlı uzaktan erişim izni vermeyi kabul etti. Söz konusu ağ, internete zaten doğrudan bağlıydı ve operatörün uzaktan bir yazılım ürünü kullanarak evden su arıtma tesisini kolayca izlemesine olanak tanıyordu. Bununla birlikte doğrudan internete bağlı olmak, sistemi hem korsanlara, hem de kötü amaçlı yazılım ve virüsler gibi birçok önemli güvenlik riskine maruz bırakıyordu. Ayrıca programlama yazılımı dağıtılmış kontrol sistemlerine düzgün şekilde bağlanamıyordu, çünkü internet üzerindeki veri trafiğinin karmaşıklığı ile başa çıkmak için tasarlanmamıştı.

Endüstriyel ortam için sağlam çözüm

Matt Maloney: "Tesisin SCADA ağına internet üzerinden bağlanmak için kullanabileceğimiz, aynı zamanda yetkisiz erişime karşı da koruma sağlayan bir çözüme ihtiyacımız vardı" diyor. Mümkün olduğu ölçüde endüstriyel ortamda kullanılmak üzere tasarlanmalıydı. Sistem Mühendisi, "Ancak piyasadaki güvenlik uygulamalarının çoğu ofis ortamına yönelik bir gözle geliştirilmiştir” diyor. Morehouse Engineering Phoenix Contact'ın FL MGuard ürün serisi cihazlarla endüstriyel bir ortamda kullanım için tüm gereksinimleri karşılayan güvenlik cihazları elde etmiştir. FL MGuard endüstriyel ağlar için çok yönlü güvenlik duvarı, yönlendirme ve VPN (sanal özel ağ) yeteneği sağlayan bir güvenlik cihaz ailesidir. Cihazlar, zorlu endüstriyel ortamlarda kullanılmak üzere metal bir muhafazaya monte edilmiş sağlam bir donanımla IT sisteminin gereksinimlerini karşılar.
Matt Maloney, "Kullandığımız FL MGuard RS2000 modeli ray montajlı ve 24 V DC güç kaynağı kullanıyor ve endüstriyel uygulamalarda daha önce kurulu olan bileşenlere göre daha uygun" diyor. SCADA ağı doğrudan internete bağlanabilir; çünkü cihaz, sistemi yetkisiz erişime karşı koruyan güvenli bir ağ geçidi görevi görmektedir. Servis teknisyenleri SCADA ağına bağlanmak için bir VPN yazılım istemcisi kullanır; bu durumda VPN işlevi  iletişimin yetkili kullanıcılara karşılık gelen erişim kimlik bilgileri ile kısıtlanmasını sağlar. VPN bağlantısı kurulduktan sonra doğrudan yerel ağa bağlı gibi olursunuz. Kontrolörün programlama yazılımı güvenlik cihazlarını algılar ve bağlantılarını kolaylıkla sağlar.

İşlemler tümüyle maskelenmiştir

Matt Maloney, "İlk amacımız FL bağlantısında, FL MGuard RS2000 girişinde bir sinyal vasıtasıyla VPN bağlantısını kolayca başlatmak ve kesmekti. Bununla birlikte bu özellik yalnızca güvenlik cihazı planladığımız gibi bir istemci olarak değil bir sunucu olarak yapılandırılmışsa kullanılabilir. FL MGuard ile sunulan gizli modun kullanışlı olduğu yer budur" diyor. Cihaz, gizli modda (fabrika varsayılan ayarı) çalıştırılırsa, güvenliğin (yerel SCADA ağı) dahili arayüzüne bağlı istemciler yeniden yapılandırılmak zorunda değildir. Kullanıcı FL MGuard'ı korunması gereken istemciler ile internet bağlantısı olan bir ağ arasında kurar. Gizli modda çalışırken cihaz tamamen şeffaftır. Müşterinin IP adresleri değişmeden kalır. VPN özelliği tüm verilerin şifrelenmesini sağlar ve sonuç olarak TCP / UDP bağlantı noktaları üzerinden ağın dışından erişim sağlamaya çalışan hacker’ların müdahale edebileceği tüm işlemler maskelenir. Bir port tarayıcı bile işlemleri tespit edemez. İstenmeyen ve yetkisiz veri trafiği SCADA ağına sızamamaktadır.
FL MGuard'ın gizli modunu kullanmak, su arıtma tesisinin internet bağlantılı ana ağının SCADA alt ağıyla etkileşime girmesine izin verir. Matt Maloney: "Gizli modda dahili ve harici bağlantı noktalarını yapılandırdık, böylece çalışanlar uzaktaki bilgisayarlardan SCADA ağına güvenli bir şekilde erişebiliyor, bilgisayarlar farklı ağlarda olsalar bile" diye açıklamada bulunuyor. Firewall, antivirüs koruması ve VPN ayarları bir Web tarayıcısı kullanılarak yapılandırılabilir, böylece kişisel bilgisayarlarda herhangi bir değişiklik yapılmasına gerek yoktur. Bir bilgisayarın gerekli olmadığı durumlarda Morehouse Engineering cihazları farklı SCADA ağları arasındaki tüm internet tabanlı bağlantılar için de yapılandırabilir.

Kapsamlı üretici desteği

Matt Maloney, "İlk kurulumu beklediğimizden daha uzun sürdü" diyor ve FL MGuard'la olan deneyimini şu sözlerle aktarıyor: "Bu, kısmen ağ tasarımındaki yeni gelişmelere olan tecrübe eksikliğimden kaynaklandı. İkinci kurulum sırasında istemci ağını yapılandırırken bazı sorunlarla karşılaştık. Bununla birlikte Phoenix Contact’ın ABD’deki Otomasyon Satış Mühendisi Gus Vargas'ın yardım ve desteği sayesinde bu sorunları aşabildik. Güvenlik cihazlarının devreye girmesinden kısa süre sonra su arıtma tesisinde çalışan bir kişi Matt Maloney ile yaşadığı bir sorunla ilgili temasa geçti. Sistem Mühendisi, "Kontrolöre güvenli bir şekilde erişebilmeme izin verecek şekilde tesis ağına hızlıca bağlanabiliyordum. Yeni yöntem çevirmeli ağ bağlantısından daha kolay ve daha güvenilir olup günlük servis çalışmalarını azaltmaya yardımcı oluyor" diyor.


Geri
share on twitter share on facebook