Zabezpečenie regulátora Elektronikon® Nano™: Šifrovanie, overovanie a certifikácia
Pokroky v technológii pripojenia prinášajú regulátorom kompresorov úžasné nové možnosti. Regulátor Nano od spoločnosti Atlas Copco je jedným z najsofistikovanejších. Umožňuje vzdialené monitorovanie a ovládanie kompresora , ba dokonca aj bezdrôtové aktualizácie. To znamená, že rovnako ako pri telefónoch, špičkových reproduktoroch a autách, je možné zlepšiť výkon kompresora a pridať nové funkcie prostredníctvom bezdrôtovej inštalácie pravidelných aktualizácií.
To umožňuje, aby sa kompresory radu G od spoločnosti Atlas Copco časom zlepšovali... a regulátor Nano™ bude čoskoro dostupný aj pre iné rady.
Aj keď sú tieto nové možnosti skvelé pre používateľov, ktorí chcú svoje kompresory monitorovať a ovládať na diaľku alebo využívať najnovšie inovácie vyvinuté inžiniermi spoločnosti Atlas Copco, na um prichádza jedna otázka, ktorú treba zodpovedať v prvom rade.
Je používanie tejto technológie bezpečné? Táto otázka má svoje opodstatnenie. Koniec koncov, je zrejmé, že správy o hackoch a útokoch malvéru, spôsobených neopatrnými používateľmi alebo nedostatočne chránenými produktmi, pribúdajú.
Našťastie bol regulátor Elektronikon Nano navrhnutý tak, aby zahŕňal osvedčené štandardy kybernetickej bezpečnosti. Chráni kompresor pred online aj offline hrozbami.
Prepojený regulátor
Aby sme porozumeli tejto ochrane, mali by sme sa najprv pozrieť na to, ako regulátor Nano™ funguje, ako aj na množstvo jeho možností pripojenia a funkcií. Tento pokročilý regulátor, ktorý bol vyvinutý plne interne a je najmenší z obľúbeného radu Elektronikon, sa pripája k aplikácii SMARTLINK od spoločnosti Atlas Copco. Zákazníkom prináša slobodu monitorovať kompresor radu G pomocou smartfónu alebo tabletu. Stačí mať káblové/bezdrôtové pripojenie na internet. Svoj kompresor G môžu ovládať dokonca aj cez Bluetooth®. Regulátor Nano tiež umožňuje sťahovanie a inštaláciu aktualizácií.
Ako každý produkt, ktorý je možné ovládať na diaľku alebo má internetové pripojenie, aj prepojený kompresor môže byť vystavený množstvu rizík, ak nie je správne chránený. To je dôvod, prečo spoločnosť Atlas Copco venovala návrhu regulátora Nano enormné množstvo času, aby bol úplne bezpečný.
Tri hlavné riziká konektivity kompresora
Bolo potrebné riešiť tri hlavné oblasti rizika.
- Riziko, že niekto prevezme kompresor (alebo zachytí údaje), keď sa nachádza v jeho blízkosti.
- Riziko, že sa niekto dostane k údajom odosielaným z kompresora do cloudu.
- Riziko, že niekto bude manipulovať s údajmi, ako sú napríklad bezdrôtové aktualizácie odosielané do kompresora.
Odborníci spoločnosti Atlas Copco zabezpečili, že žiadne z týchto potenciálnych rizík kybernetickej bezpečnosti nebudú pre regulátor Elektronikon Nano a kompresory, ktoré riadi, predstavovať problém. Poďme si ich prejsť jeden po druhom, aby sme pochopili, aké kroky boli podniknuté na ochranu pred neoprávneným prístupom.
Optimálna ochrana pred neoprávneným prístupom na mieste
Najprv sa pozrime na riziko neoprávneného prístupu ku kompresoru osobou, ktorá sa nachádza v jeho fyzickej blízkosti, napríklad pomocou pripojenia Bluetooth. V prípade, že by sa jej to podarilo, by sa mohol zmocniť údajov, nainštalovať napadnutý firmvér alebo prevziať kontrolu nad kompresorom.
Preto spoločnosť Atlas Copco zabezpečila, aby neoprávnení používatelia v blízkosti kompresora neboli úspešní. Časovo obmedzený postup párovania zabraňuje neoprávnenému prístupu cez Bluetooth. Šifrovanie ukladania údajov znemožňuje získať prístup k údajom uloženým v kompresore alebo ich meniť. Komunikačný kanál Bluetooth je navyše šifrovaný. To znamená, že k odhaleniu citlivých údajov, ako napríklad heslo siete WiFi, nikdy nedôjde.
Ochrana vášho kompresora pred cloudovým útokom
Kompresory Atlas Copco vybavené regulátorom Nano sú pripojené ku cloudu, napríklad na ukladanie údajov a sťahovanie bezdrôtových aktualizácií. Takéto cloudové pripojenie, ak nie je správne zabezpečené, by mohlo umožniť krádež údajov, odpočúvanie, neoprávnené diaľkové ovládanie, útoky odmietnutia služieb a inštaláciu napadnutého firmvéru.
Spoločnosť Atlas Copco svojimi opatreniami kybernetickej bezpečnosti zaisťuje, že sa to nestane – pokiaľ ide o údaje, ktoré váš kompresor odosiela do cloudu na vzdialené monitorovanie, a údaje, ktoré prijíma, napríklad vo forme bezdrôtových aktualizácií.
Overovanie TLS 1.2 a X.509 CA pre odborníkov
Vďaka šifrovanému komunikačnému kanálu používajúcemu technológiu Transport Layer Security (TLS) 1.2, sú cloudové informácie zákazníkov spoločnosti Atlas Copco zabezpečené pred odpočúvaním a krádežou údajov. Hoci väčšina ľudí o technológii TLS nikdy nepočula, pravdepodobne ju využívajú denne. Ide o široko používaný kryptografický protokol, ktorý poskytuje zabezpečenie komunikácie a je určený na zabezpečenie komunikácie medzi dvoma alebo viacerými počítačovými aplikáciami.
Spoločnosť Atlas Copco používa túto technológiu v kombinácii s certifikátmi X.509, čo je ďalší odborníkom známy pojem. Certifikáty X.509 sa používajú na zabezpečenie toho, že sa kompresor pripojí iba k zabezpečeným entitám spoločnosti Atlas Copco. To znamená, že vaše údaje putujú iba do cloudu Atlas Copco, ktorý je chránený rozsiahlymi bezpečnostnými opatreniami spoločnosti Microsoft, a nikde inde. Rovnaká technológia sa používa na zabránenie neoprávnenému prístupu do cloudu Atlas Copco. Ku cloudu Atlas Copco sa môže pripojiť iba regulátor kompresora, ktorý dokáže poskytnúť správny kľúč, a tento kľúč je uložený v zabezpečenom úložisku regulátora.
To zaisťuje, že údaje, ktoré prenášate a prijímate, sú úplne bezpečné, idú len tam, kam majú ísť, a prijíma ich iba zamýšľaný príjemca.
Okrem toho spoločnosť Atlas Copco používa overenie pravosti firmvéru, aby bolo zaručené, že nikdy nenainštalujete firmvér, ktorý bol napadnutý alebo s ním bolo manipulované. Robí sa to pomocou algoritmu Elliptic Curve Digital Signature Algorithm (ECDSA) a kryptosystému s verejným kľúčom RSA .
Overovanie TLS 1.2 a X.509 CA pre laikov
Čo to teda znamená?
Väčšina ľudí nevie, že keď počítače komunikujú, zvyčajne to nie je len priamy „rozhovor“ jedného zariadenia s druhým. Je to omnoho zložitejšie. Vo väčšine prípadov informácie zo zariadenia A najskôr prechádzajú cez smerovače a brány firewall.
Ak sa nepodniknú správne kroky, ktoré urobila spoločnosť Atlas Copco, predstavuje to dva potenciálne problémy. Prvým je, že ich komunikáciu môže „čítať“ alebo zaznamenávať ktorékoľvek z týchto sprostredkujúcich zariadení. Okrem toho existuje nebezpečenstvo, že správa, ktorá zdanlivo pochádza zo zariadenia A, odtiaľ v skutočnosti nepochádza, t. j. že niekto s nekalými úmyslami sa vydáva za zariadenie A alebo zmenil pôvodnú správu.
Našťastie zariadenia, ako sú kompresory riadené regulátorom Nano, môžu byť optimálne chránené pred oboma hrozbami.
Po prvé, vykonáva sa to pomocou šifrovania. Tým sa zaručí, že správu zo zariadenia A do zariadenia B nebude môcť prečítať žiadny z medzičlánkov. V podstate iba tieto dve zariadenia dokážu porozumieť správe, pretože je zašifrovaná zariadením A a dešifruje sa až po príchode do zariadenia B.
Teraz už stačí rozlúštiť záhadu, ako môže zariadenie A zašifrovať údaje tak, aby ich zariadenie B – a iba zariadenie B – dokázalo dešifrovať.
Odpoveďou je proces nazývaný „šifrovanie verejným kľúčom“, známe aj ako asymetrické šifrovanie. V tomto procese zariadenie B odošle „verejný“ kľúč do zariadenia A. Tento kľúč je asymetrický, čo je jeho dôležitý kvalifikátor, pretože vďaka tomu je kľúč bezpečný. Dá sa použiť na šifrovanie údajov, ale rovnaký kľúč sa nedá použiť na ich dešifrovanie. Na dešifrovanie týchto údajov je potrebný „súkromný“ kľúč. Zariadenie B odošle svoj verejný kľúč, takže zariadenie A môže zašifrovať údaje, ale nikdy nezdieľa svoj súkromný kľúč. To zaisťuje, že iba zariadenie B môže čítať zašifrované údaje. Ak by aj verejný kľúč zachytilo sprostredkujúce zariadenie, nebude to problém, pretože tento kľúč možno použiť iba na šifrovanie údajov, ale nie na ich dešifrovanie. Podobne zariadenie A odošle svoj verejný kľúč do zariadenia B, takže zariadenie B môže šifrovať údaje, ktoré má dešifrovať iba zariadenie A. Takto tieto dve zariadenia vytvoria bezpečný komunikačný kanál.
Toto je jeden zo spôsobov, akým regulátor Nano chráni svoj kompresor G: informácie, ktoré prijíma, sa odosielajú cez jeden z týchto zabezpečených kanálov a ak by ich chceli zachytiť vonkajšie strany, nemôžu použiť žiadnu z informácií.
Druhou výzvou je uistiť sa, že zariadenia sú presne také, za aké sa vydávajú. Napokon, čo by mohlo zabrániť sprostredkujúcemu zariadeniu predstierať, že je zariadením B? Ak by k tomu došlo, zariadenie A použije verejný kľúč falošného zariadenia B na šifrovanie a zdieľanie citlivých údajov a zariadenie B bude schopné tieto údaje dešifrovať a prečítať. Odpoveďou je certifikácia. Keď zariadenie A požaduje verejný kľúč, požiada zariadenie B aj o poskytnutie certifikátu pravosti (certifikát X.509). Presnejšie povedané, zariadenie B „podpíše“ verejný kľúč pomocou certifikátu a zariadenie A overí, či je podpis správny. Sprostredkujúce zariadenie nebude schopné poskytnúť správny podpis. Toto „bezpečnostné overenie vzájomnej transportnej vrstvy“ umožňuje každému zariadeniu uistiť sa, že to druhé zariadenie je zamýšľaným príjemcom. Tieto dve zariadenia si potom môžu vymieňať dôverné informácie bez akéhokoľvek vystavenia riziku.
Hoci to všetko môže znieť komplikovane, je to predovšetkým bezpečné. Vďaka týmto pokročilým protokolom sa spoločnosť Atlas Copco chcela uistiť že regulátor Elektronikon Nano je presne taký bezpečný.