Na straży dystrybucji energii

Bezpieczeństwo systemu IT w przypadku firm zajmujących się wytwarzaniem lub dystrybucją energii jest zadaniem szczególnie ważnym. Ewentualne zakłócenia i przerwy w dostawach energii mają bowiem wpływ na całą gospodarkę kraju.

Bezpieczeństwo systemu IT w przypadku firm zajmujących się wytwarzaniem lub dystrybucją energii jest zadaniem szczególnie ważnym. Ewentualne zakłócenia i przerwy w dostawach energii mają bowiem wpływ na całą gospodarkę kraju.

Robert Żelechowski naczelnik Wydziału Systemów Informatycznych w PKP EnergetykaDo ochrony systemu IT, PKP Energetyka zdecydowała się wykorzystać zintegrowane urządzenia typu UTM (Unified Threat Management). Firma ta zajmuje się m.in. dostarczaniem i sprzedażą energii elektrycznej na terenie całej Polski. Jest właścicielem sieci przesyłowo-rozdzielczej i ma koncesje na obrót, przesyłanie i dystrybucję energii. Firma ma strukturę rozproszoną, a system IT - wykorzystujący sieć WAN - łączy wszystkie lokalizacje spółki. Zapewnia także dostęp do zasobów dla pracowników firmy w terenie oraz przedsiębiorstw zewnętrznych współpracujących z PKP Energetyka. Tego typu struktura wymagała wdrożenia zaawansowanych zabezpieczeń chroniących system informatyczny przed zagrożeniami płynącymi z sieci i zapewniających ciągłość procesów biznesowych.

Znaczne rozproszenie

System IT w PKP Energetyka składa się z 30 sieci lokalnych połączonych szkieletem wykorzystującym technologię MPLS. Pracuje w niej ok. 1800 komputerów stacjonarnych i 300 mobilnych. Natomiast 100 pracowników z innych lokalizacji spółki stosuje zdalny, bezpieczny dostęp do wydzielonej strefy w trybie IPSec i SSL-VPN. Serwery znajdują się w specjalnie wydzielonej strefie i są zarządzane przy zastosowaniu połączeń za pomocą klienta IPSec FortiClient z uwierzytelnieniem certyfikatami cyfrowymi.

Po analizie systemu, ryzyka, przetestowaniu różnych rozwiązań w laboratoriach producentów, a także zebraniu informacji o wdrożeniach podobnej klasy systemów korporacyjnych, PKP Energetyka zdecydowała się na instalację w centrali firmy dwóch redundantnych urządzeń FortiGate-1000A i 23 mniejszych modeli Fortigate-100A w rozproszonych po Polsce zakładach. FortiGate to zintegrowane urządzenia klasy UTM z funkcjami routera, zapory firewalla, IPS, VPN, ochrony antywirusowej i filtrami treści umożliwiające monitorowanie i kontrolowanie ruchu w sieci oraz automatyczne zapobieganie ewentualnym problemom. System jest zarządzany centralnie przy wykorzystaniu oprogramowania FortiManager-400A oraz modułu do analizy, korelacji zdarzeń i generacji raportów - FortiAnalyzer-800. Wdrożenie systemu powierzono firmie Asseco Business Solutions.

Obecnie na ukończeniu jest projekt integracji sieci APN z siecią lokalną, gdzie terminatorem tunelu GRE i IPSec po stronie PKP Energetyka jest klaster urządzeń FortiGate 1000A. Rozwiązanie to umożliwi dostęp w trybie rzeczywistym do ok. 1200 urządzeń wyposażonych w karty GSM i pracujących w usłudze APN.

Ostrożne,planowe podejście

"Zaprojektowanie i wdrożenie infrastruktury zabezpieczeń nie przysporzyło wielu problemów. Uniknęliśmy tego dzięki postępowaniu według starannie przygotowanych wcześniej procedur i harmonogramu działania" - zapewnia Robert Żelechowski, naczelnik Wydziału Systemów Informatycznych w PKP Energetyka. "Możliwe to było m.in. dlatego, że już we wstępnej fazie planowania przeprowadziliśmy analizę rankingów publikowanych przez Gartner i IDC, opinii publikowanych na listach dyskusyjnych, a także prezentowanych przez zaprzyjaźnionych administratorów innych dużych sieci korporacyjnych" - dodaje.

Przy ostatecznym doborze sprzętu najważniejsze stawiane przed nim wymagania dotyczyły wysokiej wydajności urządzeń, dużej liczby obsługiwanych jednocześnie sesji - zarówno firewall, jak i VPN - dużej liczby interfejsów pozwalających na zbudowanie wielu stref bezpieczeństwa, a także korzystne warunki licencjonowania, które umożliwiają wnoszenie opłat za urządzenie, a nie za liczbę chronionych użytkowników. Uznano również, że korzystna jest implementacja systemu wykorzystującego technologię jednego producenta.

W efekcie PKP Energetyka zdecydowała się na wdrożenie urządzeń typu UTM firmy FortiNet. "Ważnym aspektem była oczywiście ocena jakości wsparcia technicznego, a także kosztów subskrypcji i aktualizacji, które w przypadku zintegrowanych systemów UTM okazały się szczególnie korzystne" - mówi Robert Żelechowski. Przyznaje jednocześnie, że podczas wdrożenia "szczególnie dużo pracy pochłonęło przygotowanie polityk bezpieczeństwa i przekonanie końcowych użytkowników, że wdrażane ograniczenia i procedury nie są wymierzone przeciwko nim, lecz służą bezpieczeństwu IT firmy".