Dyrektywa NIS2 oraz norma IEC 62443 a sterowniki Horner APG. Cyberbezpieczeństwo systemów automatyki przemysłowej
Kontakt w sprawie artykułu: Mateusz Pytel - 2026-05-18
Cyberbezpieczeństwo systemów automatyki przemysłowej to temat ważny i na czasie. Dyrektywa NIS2 znacząco rozszerza zakres odpowiedzialności firm za bezpieczeństwo systemów cyfrowych, a ważnym elementem tych ostatnich w zakładach przemysłowych są sterowniki PLC. W tym artykule sprawdzimy, jakie możliwości w tym zakresie oferują sterowniki Horner APG z oprogramowaniem Cscape 10.
Cyberbezpieczeństwo, które zaczyna się na poziomie sterownika
Dyrektywa NIS2 obejmuje nie tylko klasyczne systemy IT, ale również systemy automatyki przemysłowej (OT) – sterowniki PLC, panele operatorskie, kontrolery OCS oraz oprogramowanie inżynierskie wykorzystywane do ich programowania i serwisowania.
Firma Horner APG od ponad 25 lat konsekwentnie rozwija swoje produkty w oparciu o zasadę security by design. Oznacza to, że cyberbezpieczeństwo jest uwzględniane na każdym etapie: od projektu urządzenia, przez firmware, aż po oprogramowanie narzędziowe. Filozofia Hornera opiera się na proaktywnej ochronie, ciągłym doskonaleniu oraz zgodności z uznanymi międzynarodowymi standardami.
Potwierdzeniem tego podejścia jest dążenie producenta do spełnienia normy IEC 62443‑4‑2 na poziomie Security Level 1 (SL‑1). Jest to poziom bezpieczeństwa wymagający ochrony przed typowymi zagrożeniami cybernetycznymi, m.in. poprzez silne uwierzytelnianie użytkowników oraz bezpieczną komunikację. Najnowsze sterowniki z serii Prime czy Canvas oraz środowisko Cscape 10 projektowane są tak, aby spełniać te wymagania które stają się standardem na rynku Automatyki Przemysłowej.
Funkcje bezpieczeństwa sterowników Horner OCS – co one oznaczają dla użytkownika?
Nowoczesne sterowniki Automatyki Przemysłowej coraz częściej pełnią rolę nie tylko regulatorów procesu, ale również węzłów komunikacyjnych w sieci zakładowej. Dlatego producent Horner APG wyposaża swoje jednostki PLC oraz środowisko Cscape w szereg mechanizmów bezpieczeństwa, które bezpośrednio wspierają wymagania dyrektywy NIS2. Poniżej opisujemy, co te funkcje oznaczają w praktyce dla użytkownika końcowego, integratora i utrzymania ruchu.
1. Poziomy dostępu użytkowników (User Access Level)
Sterowniki Horner umożliwiają definiowanie różnych poziomów dostępu, dzięki czemu każdy użytkownik widzi i może zmieniać tylko to, do czego jest uprawniony. W praktyce oznacza to, że np. operator maszyny nie ma możliwości modyfikowania krytycznych parametrów procesu, a serwisant nie uzyska dostępu administracyjnego bez odpowiednich uprawnień. Taki podział znacząco ogranicza ryzyko błędów oraz nieautoryzowanych zmian, co jest jednym z kluczowych wymagań NIS2.
2. Automatyczne wylogowanie użytkownika (Auto Log‑off)
Funkcja automatycznego wylogowania powoduje, że po określonym czasie braku aktywności sesja użytkownika zostaje zakończona. Chroni to system przed sytuacją, w której zalogowany panel operatorski lub sterownik zostaje bez nadzoru.
W środowisku przemysłowym częstą sytuacją jest pozostawienie aktywnej sesji użytkownika na panelu operatorskim lub sterowniku – na przykład po zakończeniu zmiany lub interwencji utrzymania ruchu. W takich przypadkach kolejna osoba może nieświadomie pracować na koncie o wyższych uprawnieniach, co stwarza ryzyko niezamierzonych zmian w parametrach pracy maszyny. Funkcja automatycznego wylogowania eliminuje ten problem poprzez zamknięcie sesji po określonym czasie braku aktywności. Dzięki temu bezpieczeństwo systemu nie zależy wyłącznie od dyscypliny użytkownika, co w realnych warunkach produkcyjnych ma bardzo duże znaczenie.
3. Szyfrowanie kluczy i danych statycznych w urządzeniu
W sterownikach Horner wszystkie hasła, klucze oraz inne wrażliwe dane zapisane w firmware są przechowywane w postaci zaszyfrowanej. Nawet w przypadku uzyskania fizycznego dostępu do urządzenia ich odczytanie jest niezwykle utrudnione. To istotny element ochrony przed atakami typu „offline”, które coraz częściej pojawiają się w środowiskach przemysłowych.
4. Programowe wyłączenie menu systemowego
Sterowniki Horner umożliwiają programowe zablokowanie menu systemowego za pomocą dedykowanego rejestru. Dzięki temu możliwe jest całkowite uniemożliwienie zmiany trybu pracy, konfiguracji sieci czy parametrów systemowych przez osoby nieuprawnione. Dla użytkownika oznacza to większą stabilność pracy maszyny i mniejsze ryzyko przypadkowych ingerencji.
5. Szyfrowanie projektu aplikacji (PGM Encryption)
Mechanizm szyfrowania pliku PGM zabezpiecza kompletną aplikację sterownika – zarówno logikę sterującą, jak i konfigurację komunikacji oraz struktury danych. Zabezpieczenie hasłem uniemożliwia otwarcie projektu w środowisku Cscape bez odpowiednich uprawnień, a tym samym zapobiega nieautoryzowanej analizie lub modyfikacji kodu.
Z perspektywy bezpieczeństwa OT rozwiązanie to skutecznie chroni przed scenariuszami, w których aplikacja sterownika zostaje skopiowana lub przejęta w celu odtworzenia architektury systemu. Jest to istotne nie tylko z punktu widzenia ochrony własności intelektualnej, ale również ograniczania wiedzy technicznej, którą potencjalny atakujący mógłby wykorzystać do przygotowania ukierunkowanego ataku.
Ochrona aplikacji sterownika przed nieautoryzowanym dostępem wspiera wymagania dotyczące integralności komponentów systemu oraz ograniczenia dostępu do informacji wrażliwych.
6. Sprawdzenie integralności konfiguracji przy starcie
Podczas uruchamiania sterownika system automatycznie sprawdza integralność zapisanej konfiguracji. W przypadku wykrycia uszkodzeń lub niespójności, informacja o tym jest raportowana. Dla użytkownika oznacza to możliwość wczesnego wykrycia problemów jeszcze przed uruchomieniem procesu, co zmniejsza ryzyko awarii lub nieprzewidzianych zachowań maszyny.
Funkcje bezpieczeństwa komunikacji w sterownikach Horner OCS
7. Porty Ethernet domyślnie wyłączone
W sterownikach Horner wszystkie porty Ethernet pozostają nieaktywne do momentu jawnej konfiguracji konkretnego protokołu komunikacyjnego. Oznacza to, że po uruchomieniu urządzenia nie są dostępne żadne niepotrzebne usługi sieciowe ani otwarte porty, które mogłyby zostać wykryte podczas skanowania sieci. Takie podejście jest zgodne z zasadą minimal attack surface.
W zakładach przemysłowych standardową praktyką jest podłączanie laptopów serwisowych bezpośrednio do sieci OT — zarówno przez pracowników UR, jak i zewnętrznych integratorów. W takiej sytuacji każde aktywne, nieużywane usługi sieciowe mogą zostać wykryte przez narzędzia diagnostyczne lub oprogramowanie działające w tle.
Domyślnie wyłączone porty Ethernet w sterownikach Horner znacząco ograniczają tę możliwość. Urządzenie komunikuje się tylko wtedy i tylko w takim zakresie, jaki został świadomie skonfigurowany. W praktyce oznacza to, że przypadkowe lub nieautoryzowane podłączenie do sieci nie powoduje ujawnienia dodatkowych punktów dostępu do sterownika.
Dobra praktyka OT: W środowiskach przemysłowych porty i protokoły powinny być aktywowane tylko wtedy, gdy są używane. Horner realizuje to na poziomie samego sterownika, bez konieczności stosowania dodatkowych firewalli.
8. Szyfrowana komunikacja między Cscape a sterownikiem
Komunikacja inżynierska realizowana pomiędzy środowiskiem Cscape a sterownikiem OCS może być w pełni szyfrowana. Dotyczy to zarówno przesyłania aplikacji, jak i operacji diagnostycznych czy monitoringu online. Z punktu widzenia użytkownika pozwala to bezpiecznie realizować prace serwisowe nawet w sieciach rozproszonych lub przy zdalnym dostępie. Szyfrowanie chroni przed podsłuchem oraz modyfikacją danych w trakcie transmisji, co jest jednym z kluczowych zagrożeń identyfikowanych w systemach OT podłączonych do sieci IP.
Operacje takie, jak wgrywanie programu, diagnostyka czy monitorowanie pracy sterownika coraz częściej wykonywane są zdalnie, np. przez VPN lub z sieci firmowej. W takich scenariuszach dane przesyłane pomiędzy środowiskiem Cscape a sterownikiem mogą przechodzić przez wiele elementów infrastruktury sieciowej.
Bez szyfrowania istnieje ryzyko przechwycenia lub modyfikacji tych danych w trakcie transmisji. Zastosowanie szyfrowania zapewnia poufność oraz integralność komunikacji, co ma kluczowe znaczenie zwłaszcza przy przesyłaniu aplikacji sterującej. W praktyce oznacza to bezpieczne prowadzenie prac serwisowych bez względu na to, czy odbywają się lokalnie, czy zdalnie.
Praktyczne znaczenie: Zabezpieczenie kanałów inżynierskich minimalizuje ryzyko przejęcia kontroli nad sterownikiem poprzez manipulację ruchem sieciowym.
9. Obsługa MQTT z TLS
Sterowniki Horner oferują obsługę protokołu MQTT z wykorzystaniem szyfrowania TLS oraz certyfikatów. MQTT jest powszechnie stosowany w rozwiązaniach IIoT, a jego bezpieczna implementacja pozwala integrować system automatyki z platformami analitycznymi, systemami MES, SCADA lub chmurą.
Dla użytkownika oznacza to możliwość przesyłania danych procesowych poza sieć lokalną w sposób kontrolowany i zgodny z wymaganiami cyberbezpieczeństwa. Wykorzystanie TLS zapewnia poufność danych, integralność transmisji oraz uwierzytelnianie komunikujących się stron.
Segmentacja sieci OT i IT: Bezpieczny MQTT to kluczowy element w architekturach, w których systemy automatyki są częścią szerszego ekosystemu cyfrowego przedsiębiorstwa.
10. WebMI z HTTPS
Interfejs WebMI w sterownikach Horner może pracować w oparciu o protokół HTTPS, wykorzystując szyfrowanie TLS oraz certyfikat serwera. Oznacza to, że wszystkie dane przesyłane pomiędzy przeglądarką użytkownika a sterownikiem są chronione przed podsłuchem i manipulacją.
Z technicznego punktu widzenia WebMI staje się wówczas pełnoprawnym, bezpiecznym punktem dostępu do systemu sterowania. Jest to szczególnie istotne w przypadku zdalnych podglądów procesu, prac serwisowych lub dostępu z sieci firmowej.
Dostęp zdalny a NIS2: Dyrektywa NIS2 kładzie duży nacisk na kontrolę i zabezpieczenie dostępu zdalnego do systemów krytycznych. HTTPS w WebMI bezpośrednio wspiera te wymagania.
11. Poziomy dostępu obsługiwane w WebMI
Mechanizmy kontroli dostępu obowiązują nie tylko lokalnie, ale również w interfejsie WebMI. Oznacza to, że użytkownik logujący się przez przeglądarkę ma dokładnie takie same uprawnienia jak przy dostępie lokalnym. Eliminuje to ryzyko obejścia zabezpieczeń przez kanał webowy.
Funkcje bezpieczeństwa w środowisku programistycznym Cscape
12. Uwierzytelnianie i identyfikacja użytkowników w Cscape
Środowisko programistyczne Cscape umożliwia zabezpieczenie hasłem kluczowych operacji inżynierskich, takich jak wgrywanie i pobieranie aplikacji do sterownika, weryfikacja programu czy zmiana trybu pracy urządzenia. Oznacza to, że nawet mając fizyczny lub sieciowy dostęp do sterownika użytkownik bez odpowiednich uprawnień nie jest w stanie ingerować w jego działanie.
Z technicznego punktu widzenia Cscape pełni rolę narzędzia uprzywilejowanego, dlatego jego ochrona ma bezpośredni wpływ na bezpieczeństwo całego systemu OT. Mechanizm uwierzytelniania pozwala jasno rozdzielić odpowiedzialność pomiędzy operatora, utrzymanie ruchu i inżyniera automatyka. Jest to istotne również z perspektywy audytów i odpowiedzialności, które wprost wynikają z wymagań dyrektywy NIS2.
13. Ochrona przed nieudanymi próbami logowania (brute‑force)
Cscape posiada mechanizm zabezpieczający przed wielokrotnymi, nieudanymi próbami logowania. Po kilku błędnych wprowadzeniach hasła system automatycznie wprowadza narastające opóźnienie czasowe przed kolejną próbą. W praktyce oznacza to skuteczną ochronę przed atakami typu brute‑force, polegającymi na masowym testowaniu kolejnych kombinacji haseł. Z punktu widzenia użytkownika rozwiązanie to działa w pełni automatycznie i nie wymaga dodatkowej konfiguracji.
Komputery wykorzystywane do programowania sterowników coraz częściej działają w środowisku sieciowym – podłączone do sieci zakładowej lub zdalnej infrastruktury serwisowej. W takich warunkach mogą być narażone na automatyczne próby logowania lub skanowanie.
Mechanizm opóźniania kolejnych prób logowania w Cscape powoduje, że takie działania stają się w praktyce nieskuteczne. Nawet jeśli ktoś próbuje odgadnąć hasło, czas potrzebny na przeprowadzenie ataku staje się na tyle duży, że traci on sens. Rozwiązanie działa transparentnie dla użytkownika, a jednocześnie znacząco podnosi poziom ochrony.
Dobra praktyka: Narzędzia inżynierskie powinny być traktowane jak systemy o podwyższonym ryzyku – ich zabezpieczenie jest równie ważne jak zabezpieczenie samego sterownika.
14. Ochrona integralności plików projektowych Cscape
Pliki projektowe Cscape są zabezpieczone za pomocą mechanizmu hashowania, który pozwala na weryfikację integralności danych przy każdym otwarciu projektu. Jeśli plik został zmodyfikowany poza środowiskiem Cscape lub uległ uszkodzeniu, system wykryje niezgodność i zasygnalizuje problem.
Dla użytkownika oznacza to pewność, że pracuje na oryginalnym, niezmienionym projekcie, a aplikacja sterownika odpowiada dokładnie temu, co zostało zaprojektowane i zatwierdzone. Mechanizm ten wspiera również procesy walidacji, odbiorów technicznych oraz analizę incydentów, ponieważ eliminuje ryzyko „cichych” zmian w projekcie.
Zapewnienie integralności plików konfiguracyjnych i aplikacyjnych jest jednym z podstawowych wymagań dla komponentów systemów automatyki przemysłowej zgodnym z NIS2 oraz IEC62443.
15. Szyfrowanie nazw użytkowników i haseł z użyciem AES‑256
W sterownikach Horner XL Prime, Canvas oraz Micro OCS zostało wdrożone szyfrowanie nazw użytkowników i haseł z wykorzystaniem algorytmu AES‑256, uznawanego za standard bezpieczeństwa klasy przemysłowej. Oznacza to, że dane uwierzytelniające nie są przechowywane w postaci jawnej ani możliwe do prostego odtworzenia – nawet przy bezpośrednim dostępie do pamięci urządzenia. Istotne jest to, że szyfrowanie dotyczy zarówno haseł, jak i identyfikatorów użytkowników, co ogranicza możliwość analizy struktury systemu przez osobę nieuprawnioną. Rozwiązanie to skutecznie chroni przed atakami typu offline, polegającymi na próbie odzyskania danych dostępowych poprzez analizę zawartości sterownika.
16. Obsługa haseł alfanumerycznych
Wdrożona obsługa haseł alfanumerycznych pozwala na stosowanie kombinacji liter, cyfr oraz znaków specjalnych w mechanizmach uwierzytelniania użytkowników. W praktyce znacząco zwiększa to entropię haseł i odporność systemu na próby ich odgadnięcia lub złamania.
Coraz częściej sterowniki są elementem większych systemów (MES, SCADA, IIoT), w których spójna polityka haseł jest wymagana na poziomie całej infrastruktury. W wielu organizacjach obowiązują dziś centralne polityki bezpieczeństwa IT, które wymagają stosowania silnych haseł – odpowiednio długich, złożonych i trudnych do odgadnięcia. W praktyce systemy automatyki często były z tych wymagań wyłączone, co tworzyło lukę bezpieczeństwa pomiędzy OT a IT.
Wprowadzenie haseł alfanumerycznych w sterownikach Horner pozwala zniwelować tę różnicę i ujednolicić podejście do bezpieczeństwa w całej organizacji. Dzięki temu systemy automatyki mogą być traktowane jako pełnoprawny element infrastruktury cyberbezpieczeństwa, bez potrzeby stosowania uproszczeń czy wyjątków.
Dostępność funkcji bezpieczeństwa w sterownikach Horner i oprogramowaniu Cscape
Poniższe zestawienie pokazuje, które funkcje cyberbezpieczeństwa są dostępne w poszczególnych rodzinach sterowników Horner APG oraz w środowisku programistycznym Cscape.
Aktualne funkcje bezpieczeństwa
| Nr | Obszar / temat bezpieczeństwa | Prime | Canvas | Micro | Cscape | Opis |
|---|---|---|---|---|---|---|
| 1 | Poziomy dostępu użytkowników | Tak | Tak | Nie | n/d | Zapewnia, że tylko uprawnieni użytkownicy mogą przeglądać lub modyfikować krytyczne ustawienia |
| 2 | Automatyczne wylogowanie użytkownika | Tak | Tak | Nie | n/d | Automatyczne wylogowanie użytkownika po okresie braku aktywności |
| 3 | Szyfrowanie kluczy statycznych i danych uwierzytelniających w urządzeniu | Tak | Tak | Tak | n/d | Wszystkie ciągi tekstowe i klucze statyczne wfirmware są w pełni zaszyfrowane, co znacząco utrudnia naruszenie bezpieczeństwa |
| 4 | Programowe wyłączenie menu systemowego | Tak | Tak | Tak | n/d | Dedykowany bit rejestru systemowego umożliwia zablokowanie menu systemowego w celu zapobiegania zmianom konfiguracji i trybu pracy |
| 5 | Szyfrowanie projektu aplikacji (PGM Encryption) | Tak | Tak | Tak | Tak | Wyeksportowany plik projektu PGM może być zabezpieczony hasłem |
| 6 | Sprawdzenie integralności konfiguracji | Tak | Tak | Tak | n/d | Podczas uruchamiania urządzenia sprawdzana jest integralność konfiguracji; uszkodzone obszary są oznaczane i raportowane |
Funkcje bezpieczeństwa komunikacji OCS
| Nr | Obszar / temat bezpieczeństwa | Prime | Canvas | Micro | Cscape | Opis |
|---|---|---|---|---|---|---|
| 7 | Porty Ethernet domyślnie wyłączone | Tak | Tak | Tak | n/d | PortyEthernet są aktywowane i konfigurowane wyłącznie po ustawieniu konkretnego protokołu (z wyjątkiem portu do komunikacji z Cscape) |
| 8 | Szyfrowana komunikacja Ethernet Cscape (Cscan) | Tak | Tak | Tak | Tak | Cała komunikacja pomiędzy sterownikiem a środowiskiem Cscape może być szyfrowana w zależności od ustawień użytkownika |
| 9 | MQTT z TLS | Tak | Tak | n/d | n/d | Obsługa komunikacji MQTT z wykorzystaniem certyfikatów TLS |
| 10 | WebMI z HTTPS | Tak | Tak | Tak | n/d | Dostęp WebMI zabezpieczony protokołem TLS i certyfikatem serwera |
| 11 | Obsługa poziomów dostępu w WebMI | Tak | Tak | Tak | n/d | Obsługa poziomów dostępu użytkowników również w interfejsie WebMI |
Funkcje bezpieczeństwa w Cscape
| Nr | Obszar / temat bezpieczeństwa | Prime | Canvas | Micro | Cscape | Opis |
|---|---|---|---|---|---|---|
| 12 | Uwierzytelnianie i identyfikacja użytkowników | n/d | n/d | n/d | Tak | Dostęp do wgrywania, pobierania, weryfikacji aplikacji i zmiany trybu pracy w Cscape zabezpieczony hasłem |
| 13 | Ochrona przed nieudanymi próbami logowania | n/d | n/d | n/d | Tak | Po wprowadzeniu nieprawidłowego hasła system wprowadza narastające opóźnienie po każdych trzech nieudanych próbach, chroniąc przed atakami brute‑force |
| 14 | Ochrona integralności konfiguracji Cscape | n/d | n/d | n/d | Tak | Plik projektu Cscape jest zabezpieczony hashem, który jest weryfikowany przy każdym wczytaniu w celu zapobiegania nieautoryzowanym modyfikacjom lub uszkodzeniom |
| 15 | Szyfrowanie nazw użytkowników i haseł (AES‑256) | Tak | Tak | Tak | n/d | Symetryczny algorytm szyfrowania z użyciem 256-bitowego klucza |
| 16 | Obsługa haseł alfanumerycznych | Tak | Tak | Tak | Tak | Stosowanie kombinacji liter, cyfr i znaków specjalnych |
Funkcje bezpieczeństwa w trakcie wdrażania
| Nr | Funkcja | Prime | Canvas | Micro | Cscape | Status |
|---|---|---|---|---|---|---|
| 17 | Ograniczony dostęp do obszarów pamięci | Tak | Tak | Tak | n/d | Planowane – Q3 2026 |
| 18 | Secure Boot | Tak | Tak | Nie | n/d | Planowane – Q3 2026 |
| 19 | Verified Boot | Tak | Tak | Nie | n/d | Planowane – Q3 2026 |
| 20 | Trusted Platform Module (TPM) | Tak | Tak | Nie | n/d | Planowane – Q3 2026 |
| 21 | Obiekt zarządzania dostępem użytkowników | Tak | Tak | Nie | Tak | Planowane – Q3 2026 |
| 22 | Rejestr zdarzeń (Audit Trail) z szyfrowaniem | Tak | Tak | Nie | Tak | Planowane – Q3 2026 |
