Az ipari mesterséges intelligencia (AI) 2025-ben sem mutatja a lassulás jeleit. Az elsőként alkalmazó vállalatok tovább haladnak előre, míg azok, akik eddig kivárásra játszottak, most kétségbeesetten próbálnak felzárkózni. Függetlenül attól, hogy hol helyezkedik el egy vállalat az AI bevezetési görbén, alapvető fontosságú, hogy folyamataik adatait biztonságban tartsák. Szerencsére léteznek olyan megoldások, amelyekkel biztonságos, valósidejű összeköttetés hozható létre az üzem és a helyben vagy felhőben futó AI rendszer között.
A legjobb megoldás – amelyet az NIS2 irányelv és a NIST CSF 2.0 is előír – a teljes hálózati szeparáció. Az üzemi technológiát (OT) teljesen el kell szigetelni az internettől és minden felhőalapú rendszertől. Ennek legjobb módja egy demilitarizált zóna (DMZ) kialakítása, amely biztosítja, hogy a termelési hálózat zárt tűzfalak mögött maradjon.
Protokollok kihívásai
A termelési adatok felhőalapú AI rendszerbe történő valósidejű átvitele egy DMZ-n keresztül két lépésből áll: az üzemi rendszerből a DMZ-be, majd onnan a felhőbe. Azonban a két legnépszerűbb ipari protokoll, az OPC UA és az MQTT nem erre a célra lett tervezve. Noha ezeket gyakran használják az Ipari Dolgok Internete (IIoT) és az Ipar 4.0 rendszerekben, a 2000-es évek elején alakultak ki, amikor még nem gondoltak arra, hogyan lehetne biztonságosan elérni az ipari adatokat a gyárterületen kívülről.
Az OPC UA protokoll önmagában túl összetett ahhoz, hogy megbízhatóan többszörösen távátviteli láncon keresztül (daisy-chain) haladjon. Az információ már az első átviteli ponton elveszhet. Az ilyen szinkronizált, többös ugrásokkal történő adatátvitel megbízhatatlan hálózatokon törékeny lenne, és jelentős késéseket okozna.
Az MQTT esetében ugyan lehetőség van többszörös átvitelre, de minden csomópontot egyedileg kell konfigurálni, és mindegyiknek tudnia kell, hogy a lánc része. Az MQTT minőségi szolgáltatási (QoS) garanciái nem terjednek ki a teljes láncolatra, ami megbízhatatlanná teszi az adatokat a végpontokon. Ezért az MQTT leginkább a DMZ-ből a felhőbe történő adatküldés utolsó lépéseként használható.
A legnagyobb kihívás az adatok biztonságos eljuttatása az üzemi rendszerből a DMZ-be. Az OPC UA erre a célra nem ideális, mert tűzfal megnyitását igényli a termelési hálózaton. Egy OPC UA kliens a DMZ-ben közvetlenül kapcsolódna a termelési OPC UA szerverhez, ami biztonságilag elfogadhatatlan, és a legtöbb biztonsági szakember nem engedné.
Tunnel/mirroring megoldás
Mivel sem az OPC UA, sem az MQTT nem elég hatékony önmagában vagy együtt a DMZ-n keresztüli adatközvetítésre, egy alternatív megoldásra van szükség, amely mindkét protokollal kompatibilis. A biztonságos tunnel/mirroring szoftver egységes névtere biztosításával jelenthet megoldást. Ez a technológia lehetővé teszi az adatok két végpont közötti biztonságos átvitelt.
Tűzfalak és adatdióda
Minden bejövő tűzfalportot zárva kell tartani az üzemi rendszerben. Az tunnel/mirroring rendszernek képesnek kell lennie arra, hogy csak kifelé irányuló kapcsolatokon keresztül kommunikáljon a DMZ-vel. Egyes magas biztonsági igényű alkalmazások hardveres adatdiódákat igényelnek, amelyek biztosítják, hogy egyetlen adatcsomag se juthasson vissza az ipari hálózatba.
Más AI-megvalósítások kétirányú adatáramlást igényelhetnek annak érdekében, hogy lehetővé tegyék a kéz nélküli felügyeleti irányítást vagy hasonló adatbemeneteket a termelési rendszerbe. A tunnel/mirroring technológiának rugalmasnak kell lennie ahhoz, hogy ezt szükség esetén támogassa. Mindenesetre az AI-rendszer által használt adatokon túl semmilyen hozzáférés nem lehet biztosítva. A termelőüzem mérnöki csapatának teljes ellenőrzéssel kell rendelkeznie afelett, hogy mely adatok kerülnek elérhetővé.
A termelési rendszerek optimalizálásához sok vállalat az ipari AI-hoz fordul. Az adatok biztonságos elérése kihívás, de nem lehetetlen. Egy DMZ és egy megfelelően kialakított tunnel/mirroring rendszer lehetővé teszi az AI rendszerek biztonságos adatellátását.