Viitorul inteligenței artificiale industriale (AI) pare strălucitor. Multe studii inițiale și proiecte pilot au arătat că prin conectarea sistemelor de producție la motoarele AI, se pot obține câștiguri semnificative de eficiență și economii de costuri. Dar realitatea este că există o provocare serioasă care trebuie înfruntă.
Cum putem asigura securitatea absolută a acestor sisteme de producție și a datelor lor? La urma urmei, majoritatea instrumentelor AI sunt bazate pe cloud. Ceea ce avem nevoie este conectivitate sigură și în timp real de la fabrică la sistemele AI care rulează în cloud.
Metoda recomandată pentru a asigura securitatea datelor industriale este segmentarea completă a rețelei. Sistemele de tehnologie operațională (OT) ar trebui să fie complet izolate de sistemele cloud ale iWanhe. Acest lucru se face cel mai bine folosind Zona Demilitarizată (DMZ), păstrând rețeaua de producție în spatele unui firewall închis. Guvernele și liderii industriei din întreaga lume sunt de acord cu această practică de bază de securitate cibernetică industrială și este cerută de Directiva NIS2 și NIST CSF 2.0.
Provocări pentru comunicarea industrială
Transferul datelor din mediul de producție în sistemul AI bazat pe cloud prin intermediul DMZ necesită doi pași: din fabrică în DMZ; și de la DMZ la nor. Cu toate acestea, OPC-UA și MQTT nu sunt proiectate pentru astfel de căi. Deși sunt adesea folosite în sistemele IIoT și Industry 4.0, ele au fost concepute la începutul anilor 2000, cu mult înainte ca oamenii să se gândească la migrarea datelor industriale în cloud.
Protocolul OPC UA în sine este prea complex pentru a fi replicat bine într-un model în lanț pe mai multe servere. Informațiile se pot pierde la primul hop. Interacțiunile multi-hop sincrone necesare pentru a transfera date în DMZ vor fi foarte fragile și pot duce la o latență ridicată.
MQTT, pe de altă parte, poate fi conectat în lanț, dar necesită ca fiecare nod din lanț să fie configurat individual și să realizeze că face parte din lanț. Garanțiile de calitate a serviciului (QoS) în MQTT nu pot fi propagate prin lanț, ceea ce face ca datele de la sfârșitul lanțului să nu fie de încredere. Prin urmare, MQTT este cel mai bine utilizat doar ca pas final pentru a muta datele din DMZ în cloud.
Deci, ce se întâmplă când OPC UA și MQTT sunt combinate? Transferul în siguranță a datelor de la fabrică la DMZ este o provocare. Există o capcană serioasă cu utilizarea OPC UA în acest pas, deoarece necesită activarea unui firewall în rețeaua de producție. Orice client OPC UA din DMZ trebuie să fie conectat la serverul OPC UA din fabrică printr-un firewall. Riscul de a avea un firewall din fabrică deschis pentru o astfel de conexiune este prea mare pentru ca majoritatea administratorilor de securitate să-l permită.
Tehnologia de tunel/oglindire
Deoarece OPC-UA și MQTT singure sau împreună nu sunt suficiente pentru a transmite date peste DMZ, este necesară o abordare alternativă, una care se integrează bine cu ambele protocoale. Software-ul securizat de tunel/oglindire cu un spațiu de nume unificat oferă o soluție. Poate stabili o conexiune la ambele capete și poate transmite date de-a lungul conexiunii tip daisy-chain necesară pentru suportul DMZ.
Conexiunile de tunel sau oglindirea folosesc de obicei două componente software. Prima componentă realizează conexiunile necesare la nivel de producție pentru a colecta date din diverse protocoale din industrie într-un singur spațiu de nume unificat. Apoi, tunelizează datele către o a doua componentă care rulează pe DMZ.
A doua componentă convertește datele în MQTT și le trimite din DMZ la serviciul AI din cloud. Capacitățile de oglindire ale software-ului de tunel/oglindire mențin datele consistente între sursa de date originală, DMZ și sistemele AI.
Firewall-uri și diode de date
După cum am menționat mai devreme, toate porturile firewall de intrare de pe sistemul de producție trebuie să rămână oprite în orice moment. Sistemul de tunel/oglindire trebuie să poată stabili o conexiune numai de ieșire de la rețeaua de producție la DMZ.
În plus, unele aplicații de infrastructură critică de înaltă securitate necesită diode de date hardware pentru a se asigura că niciun pachet de date nu poate fi trimis înapoi de la DMZ la rețeaua industrială. Sistemele de tunel/oglindire trebuie să suporte acest nivel de arhitectură de securitate pentru aceste aplicații.
Implementările altor aplicații AI pot necesita un flux de date bidirecțional pentru a permite controlul de supraveghere interzis sau introducerea datelor similare înapoi în sistemul de producție. Tehnologia de tunel/oglindire ar trebui să fie suficient de flexibilă pentru a sprijini acest lucru atunci când este necesar.
În niciun caz nu trebuie să accesați alte date decât datele utilizate de sistemul AI. Inginerii fabricii ar trebui să aibă control complet asupra datelor care pot fi utilizate.
Una peste alta, multe companii de astăzi apelează la IA industrială pentru a optimiza sistemele de producție. Provocarea este cum să acceseze datele de care au nevoie fără a compromite securitatea. Este greu, dar nu imposibil. Puteți avea o rețea OT cu suprafață de atac zero și puteți furniza în continuare date sistemelor AI bazate pe cloud. Securitatea este asigurată de DMZ. Datele de producție pot fi accesate prin intermediul DMZ utilizând un software bine conceput de tunel/oglindire.

