Cyberbezpieczeństwo OPC UA – gdy bezpieczny protokół staje się bramą dla intruzów

Co to jest OPC UA? OPC UA (Unified Architecture) to protokół komunikacyjny stosowany w automatyce przemysłowej, który teoretycznie zapewnia wyższy poziom bezpieczeństwa niż starszy OPC DA dzięki mechanizmom szyfrowania, certyfikatów i zarządzania użytkownikami.

Łukasz Krzesiński, założyciel RysujeSCADA.pl, opowiada historię rzeczywistego incydentu, który ujawnił poważne luki w zabezpieczeniach systemu przemysłowego – mimo stosowania "bezpiecznego" protokołu OPC UA.

Historia pana Marka – gdy ciekawość ujawnia zagrożenie

1. Szkolenie i pierwsze podejrzenia

  • Pracownik automatyk (pan Marek) uczestniczył w szkoleniu o OPC UA
  • Postanowił sprawdzić konfigurację w swojej firmie
  • Pobrał darmowe narzędzie do skanowania serwerów OPC (OPC Expert)

2. Niepokojące odkrycie

  • Podłączył komputer do sieci przemysłowej
  • Zeskanował sieć i wykrył aktywne serwery OPC DA oraz OPC UA
  • Próba połączenia z OPC DA: zablokowana (wymagana autoryzacja)
  • Próba połączenia z OPC UA: sukces – bez żadnych zabezpieczeń

3. Skala problemu

  • Tryb anonimowy – bez walidacji użytkownika
  • Brak certyfikatów – połączenie niezaszyfrowane
  • Pełne uprawnienia – odczyt i zapis do sterowników PLC
  • Kilkanaście sterowników narażonych na atak

Dlaczego "bezpieczny" OPC UA okazał się niebezpieczny?

Źródło problemu

  • Serwery OPC UA były aktywne domyślnie w sterownikach
  • Konfiguracja z 5-10 lat temu, gdy nikt nie używał OPC UA
  • Nikt nigdy nie zabezpieczył tych usług
  • Założenie: "nie używamy = nie ma zagrożenia"

Paradoks bezpieczeństwa

  • OPC DA (starszy): wymuszał autoryzację – bezpieczniejszy w tym przypadku
  • OPC UA (nowszy): źle skonfigurowany = szeroko otwarte drzwi
  • Nowocześniejszy protokół stał się większym zagrożeniem przez zaniedbanie

Obejrzyj cały odcinek na YouTube: Rysuje SCADA Podcast #7: Cyberbezpieczeństwo OPC →

FAQ

Co to jest OPC UA i czym różni się od OPC DA?

OPC UA to nowszy protokół komunikacyjny w automatyce, który w przeciwieństwie do starszego OPC DA oferuje zaawansowane mechanizmy bezpieczeństwa (certyfikaty, szyfrowanie, zarządzanie użytkownikami). Problem polega na tym, że wymaga właściwej konfiguracji – w przeciwnym razie jest mniej bezpieczny niż OPC DA.

Jak sprawdzić czy moja sieć OT jest zabezpieczona?

Użyj narzędzi do skanowania portów i serwerów OPC (np. OPC Expert w wersji darmowej). Sprawdź czy aktywne serwery OPC UA wymagają autoryzacji, certyfikatów i czy mają ograniczone uprawnienia do zapisu. Jeśli połączenie udaje się bez żadnych danych logowania – masz problem.

Czy nieużywane protokoły w sterownikach są zagrożeniem?

Tak. Pozostawienie aktywnych, ale nieużywanych protokołów (jak OPC UA w tej historii) to poważne zagrożenie cyberbezpieczeństwa. Jeśli protokół nie jest wykorzystywany, powinien być wyłączony lub odpowiednio zabezpieczony – nie można zakładać, że "nieużywany = bezpieczny".