Współczesne instalacje okrętowe coraz częściej przypominają miniaturowe systemy przemysłowe pracujące w pełni autonomicznie. System monitoringu, zdalnego dostępu, integracji elektrowni statkowej czy komunikacja satelitarna (np. Starlink) to już standard nowych budów. W takim środowisku każdy element sieci – nawet pojedynczy sterownik – staje się potencjalnym punktem ataku. Projektant sieci okrętowej staje przed zadaniem bezpiecznego podłączenia urządzenia, ale na niewielkich jednostkach dochodzi kluczowe ograniczenie – brak miejsca na rozbudowaną infrastrukturę IT/OT.
Projekt który ostatnio opiniowałem wykorzystuje sterownik ComAp. Producent deklaruje zgodność z ISA/IEC 62443 na poziomie SL2, co jest ważnym krokiem w stronę bezpieczeństwa komponentów. Jednak sama zgodność komponentu nie zwalnia projektanta z odpowiedzialności za całą architekturę, a to właśnie ona decyduje o bezpieczeństwie systemu okrętowego.
Sterownik to nie firewall sieciowy
Dokumentacja ComAp potwierdza, że urządzenie zostało zaprojektowane zgodnie z wymaganiami ISA/IEC 62443 dla urządzeń wbudowanych – posiada mechanizmy kontroli dostępu, zarządzania użytkownikami, ochrony przed brute‑force, szyfrowany zdalny dostęp (AirGate 2.0) i konfigurowalny firewall. Należy jednak pamiętać że po wyjęciu z pudełka sterownik posiada ustawienia domyślne, które nie są bezpieczne. Zgodność z poziomem SL2 wymaga hardeningu urządzenia:
- Wyłączenia trybu produkcyjnego (Production Mode), który domyślnie pozwala na pełny dostęp bez logowania
- Zmiany domyślnych haseł i kluczy AirGate przed podłączeniem do sieci
- Konfiguracji wbudowanego firewalla (zapora aplikacyjna host-based)
Jednocześnie producent wyraźnie zaznacza, że sam sterownik nie chroni przed atakami sieciowymi, nie wykrywa anomalii, nie analizuje ruchu, nie wykrywa DoS ani ARP spoofingu. Poniżej przytoczone zdanie powinno być dla projektanta kluczowe:
„The device does not provide any kind of protection against network-level attacks. If
there is a risk of network-level attacks the network shall be equipped with protection mechanisms
to detect and/or prevent such attacks.”
Sterownik może być bezpiecznym elementem systemu, ale nie może być traktowany jako urządzenie graniczne między sieciami o różnym poziomie zaufania (trusted i untrusted).
Pułapka interfejsów „trusted”
ComAp wprowadza jasny podział na interfejsy trusted i untrusted. Interfejs trusted jest przeznaczony do pracy w sieciach lokalnych, które posiadają fizyczną ochronę z kontrolą dostępu. Warto dodać że zgodnie z dokumentacją producenta interfejsami trusted są także port USB, RS232/RS485 oraz wbudowany wyświetlacz. Natomiast interfejs untrusted może zostać podłączony do sieci o wyższym ryzyku – w tym do Internetu.
Kluczowe jest jednak to, że producent nie traktuje tych interfejsów jako dwóch stron tej samej bramy. W sekcji dotyczącej separacji sieci pojawia się jedno z ważniejszych zaleceń w całym dokumencie:
„Keep technological network (CONTROL), local monitoring network (TRUSTED) and remote monitoring
network (UNTRUSTED) fully separated, avoid any physical connection between them (neither wired nor
wireless).”
To nie sugestia, lecz zasada projektowa. CONTROL, TRUSTED i UNTRUSTED mają być od siebie odseparowane, a ich styk musi być chroniony przez dedykowane urządzenia sieciowe – nie przez sterownik.
Co to oznacza dla instalacji okrętowych?
Na statku sieci rzadko są proste. Wiele systemów musi się ze sobą komunikować – energetyczne, bezpieczeństwa, monitoringu, łączności, nawigacyjne, napędu. W takim środowisku łatwo „wykorzystać wolny port” sterownika i podłączyć go do sieci, która akurat jest dostępna. To jednak prosta droga do stworzenia niezamierzonego kanału komunikacji między strefami, które powinny być od siebie odizolowane.
Sterownik ComAp może mieć port trusted i port untrusted, ale to nie oznacza, że powinien łączyć te sieci. Producent zakłada, że każdy z tych portów trafi do osobnej, odpowiednio zabezpieczonej sieci, a nie że sterownik stanie się mostem pomiędzy nimi.
W praktyce oznacza to:
- port trusted powinien pozostać w sieci lokalnej, która jest fizycznie chroniona
- port untrusted może być używany do zdalnego dostępu, ale tylko przez sieć odseparowaną i chronioną
- między tymi sieciami musi istnieć zewnętrzny firewall lub router
- sterownik nie może być jedynym elementem łączącym obie domeny
Takie podejście jest w pełni zgodne z IEC 62443, która wymaga, aby granice między strefami były realizowane przez komponenty zaprojektowane do tej roli.
Komunikacja Modbus TCP i SNMP
W instalacjach okrętowych często jest wykorzystywany protokół Modbus do komunikacji z systemami PMS (Power Management Systems) czy AMS (Alarm Monitoring System, na lądzie SCADA). Modbus TCP oraz SNMP (v1/v2) w swojej konstrukcji nie posiadają żadnych zabezpieczeń – ani szyfrowania, ani uwierzytelniania. Pakiety Modbus muszą pozostać w odizolowanej strefie CONTROL, a ich przesyłanie pomiędzy strefami wymaga zastosowania bezpiecznego wariantu (np. Modbus TCP Security).
Funkcja AirGate 2.0
Warto wspomnieć o rozwiązaniu AirGate 2.0, bo to jedna z najmocniejszych funkcji bezpieczeństwa ComAp. Zdalny dostęp jest szyfrowany, uwierzytelniany i odseparowany od reszty ruchu, co znacząco ogranicza ryzyko nieautoryzowanego połączenia. W środowisku morskim ma to szczególne znaczenie – dostęp serwisowy często trzeba planować z wyprzedzeniem, a fizyczna obecność specjalisty na statku nie zawsze jest możliwa.
AirGate nie zmienia jednak podstawowej zasady, gdzie segmentacja musi być zapewniona przez architekturę sieciową, a nie przez sterownik.
Bezpieczeństwo zaczyna się od architektury
Sterowniki ComAp są nowoczesne, dobrze zabezpieczone i zgodne z wymaganiami ISA/IEC 62443. Mają funkcje, które znacząco podnoszą poziom bezpieczeństwa – od kontroli dostępu po szyfrowany zdalny dostęp, ale nie są i nie mają być urządzeniami granicznymi.
W instalacjach okrętowych, gdzie występują złożone sieci kluczowe jest trzymanie się zasady separacji stref. CONTROL, TRUSTED i UNTRUSTED muszą pozostać od siebie odizolowane, a ich styk powinien być chroniony przez dedykowane urządzenia sieciowe (zewnętrzny firewall). Sterownik może być częścią bezpiecznej architektury, ale nie może jej zastąpić.
Materiał powstał w oparciu o dokument ComAp „Product Cyber Security Guide” wyd. 2025