Segmentacja sieci OT - jak chronić systemy przemysłowe przed cyberatakami
Segmentacja sieci OT według IEC 62443 - strefy, korytarze, metody wdrożenia i narzędzia monitoringu. Praktyczny przewodnik z przykładami incydentów.
Ataki na infrastrukturę przemysłową nie są już scenariuszem teoretycznym. W grudniu 2025 skoordynowany atak uderzył w ponad 30 polskich farm wiatrowych i fotowoltaicznych, elektrociepłownię obsługującą pół miliona odbiorców i firmę produkcyjną - uszkadzając firmware kontrolerów RTU i odcinając łączność operatorską (raport CERT Polska, styczeń 2026). Wcześniej Colonial Pipeline, Oldsmar Water Treatment, COSMICENERGY - każdy z tych incydentów pokazał, że brak segmentacji między sieciami IT i OT prowadzi do realnych konsekwencji.
Ten artykuł składa się z dwóch części. W pierwszej wyjaśniamy ramy teoretyczne - czym jest segmentacja według IEC 62443, jakie metody stosować i jakie protokoły OT trzeba uwzględnić. W drugiej pokazujemy, jak podchodzimy do tego w praktyce - z konkretnymi matrycami, checklistami i mapowaniem kontroli.
ocen Dragos wykazało słabą segmentację IT/OT
incydentów IR - skompromitowane VPN/jumphost jako pivot IT-OT
organizacji inwestuje w segmentację (SANS 2025)
średni czas przebywania ransomware w OT (vs 5 dni z widocznością)
Źródło: Dragos 2026 OT Cybersecurity Year in Review, SANS State of ICS/OT Security 2025
Problem i ramy postępowania
Dlaczego segmentacja jest krytyczna
Tradycyjne środowiska OT powstawały jako sieci izolowane. Dziś ta izolacja nie istnieje - systemy SCADA łączą się z chmurą, inżynierowie zdalnie serwisują sterowniki PLC, dane produkcyjne przepływają do systemów ERP. Bez segmentacji, atakujący który uzyska dostęp do jednego segmentu sieci może poruszać się lateralnie aż do sterownika PLC kontrolującego proces fizyczny.
Lekcje z incydentów
Pięć incydentów z ostatnich lat pokazuje różne scenariusze, w których brak segmentacji umożliwił lub pogłębił atak. Każdy z nich niesie konkretny wniosek dla projektowania architektury stref i korytarzy.
| Incydent | Rok | Co się stało | Wniosek dla segmentacji |
|---|---|---|---|
| Colonial Pipeline | 2021 | Ransomware na IT - operator wyłączył rurociąg bo nie miał pewności co do integralności systemu MES (rozliczenia przesyłu) | Zależność OT od systemów biznesowych IT wymaga analizy i izolacji |
| Oldsmar Water | 2021 | Zdalny dostęp (TeamViewer) do HMI - próba zmiany stężenia chemikaliów w wodzie | Brak segmentacji między zdalnym dostępem a systemem sterowania |
| COSMICENERGY | 2023 | Malware do interakcji z RTU przez IEC 60870-5-104 - manipulacja przełącznikami | Protokoły OT bez uwierzytelniania wymagają izolacji na poziomie sieci |
| Volt Typhoon | 2024 | Chińska grupa APT prepozycjonująca się w IT infrastruktury krytycznej USA (techniki zmapowane w MITRE ATT&CK) | Lateralne przenikanie z IT do OT jako cel strategiczny |
| Atak na OZE w Polsce | 2025 | Skoordynowany atak na co najmniej 30 farm wiatrowych i PV, elektrociepłownię (500 tys. odbiorców) i firmę produkcyjną. Uszkodzenie firmware kontrolerów RTU, wiper malware, odcięcie łączności operatorskiej | Atak destrukcyjny (nie finansowy) - uszkodzenie firmware urządzeń OT wymaga fizycznej separacji i monitoringu |
Źródła: CISA Alert AA21-131A, FBI/CISA/EPA joint advisory, Mandiant Threat Research, CISA Advisory AA24-038A, Raport CERT Polska “Incydent w sektorze energii” (styczeń 2026). Atak na polskie OZE przypisywany klastrom Static Tundra / Berserk Bear / Dragonfly.
Strefy i korytarze - model IEC 62443
Model Purdue (ISA-95) definiuje hierarchię sieci przemysłowej (poziomy 0-5), ale sztywny podział na poziomy nie oddaje złożoności współczesnych środowisk OT. Norma IEC 62443-3-2 wprowadza elastyczniejsze podejście:
- Strefa (zone) - grupa zasobów o wspólnych wymaganiach bezpieczeństwa
- Korytarz (conduit) - kontrolowany kanał komunikacji między strefami
- Każda strefa otrzymuje docelowy poziom bezpieczeństwa (SL-T) w skali od SL 1 do SL 4
- Granice stref wynikają z analizy ryzyka - nie są narzucone z góry
Metody segmentacji - porównanie
W praktyce segmentacja sieci OT opiera się na kilku metodach, które często stosuje się łącznie. Fizyczna separacja i DMZ chronią granicę IT/OT, firewalle z DPI kontrolują ruch między strefami, a VLANy i mikrosegmentacja uzupełniają ochronę wewnątrz stref. Dobór metod zależy od docelowego poziomu bezpieczeństwa (SL-T) strefy - im wyższy SL, tym silniejsze mechanizmy.
| Metoda | Opis | Kiedy stosować | Ograniczenia |
|---|---|---|---|
| Fizyczna separacja | Oddzielne przełączniki, kable, infrastruktura | SIS, najbardziej krytyczne systemy | Coraz trudniejsza z rosnącą potrzebą wymiany danych |
| Strefa DMZ | Bufor z firewallami po obu stronach IT/OT | Zawsze - każda instalacja powinna mieć DMZ | Wymaga utrzymania serwerów pośredniczących |
| VLANy z ACL | Logiczny podział sieci na przełącznikach | Podstawowa segmentacja wewnątrz stref | Podatne na VLAN hopping, niewystarczające samodzielnie |
| Firewalle z DPI | Głęboka inspekcja protokołów OT (Modbus, OPC UA) | Granice między strefami IEC 62443 | Wymaga znajomości protokołów OT |
| Diody danych | Sprzętowy jednokierunkowy przepływ danych | Eksport telemetrii z OT do IT | Brak komunikacji zwrotnej - nie dla wszystkich scenariuszy |
| Mikrosegmentacja | Granularne polityki per urządzenie (Zero Trust) | Uzupełnienie segmentacji strefowej | Wczesny etap adopcji w środowiskach OT |
Protokoły sieciowe OT - co trzeba wiedzieć przy segmentacji
Poniżej protokoły przechodzące przez sieć Ethernet/IP, które mogą być kontrolowane przez firewalle, listy ACL i systemy DPI. Protokoły serial (Modbus RTU, PROFIBUS, HART 4-20mA, CANbus) nie są tu uwzględnione - działają poniżej warstwy sieciowej i wymagają ochrony fizycznej, nie segmentacji sieciowej.
Protokoły sterowania i komunikacji SCADA:
| Protokół | Port | Uwierz. | Szyfr. | Zastosowanie | Uwagi dla segmentacji |
|---|---|---|---|---|---|
| Modbus TCP | 502 | Brak | Brak | PLC, RTU, SCADA | Filtrowanie po function code na firewallu DPI |
| OPC UA | 4840 | Cert. X.509 | TLS | Integracja systemów | Najlepiej zabezpieczony - wymuszaj tryb signed+encrypted |
| OPC Classic (DA) | 135+ | Słabe (DCOM) | Brak | Starsze systemy SCADA | DCOM wymaga wielu portów - trudny do firewallowania |
| DNP3/TCP | 20000 | Opcjonalne (SA v5) | Opcjonalne | Energetyka, wodociągi | SA v5 dodaje HMAC - wiele wdrożeń bez SA |
| IEC 60870-5-104 | 2404 | Brak | Brak | Elektroenergetyka | Cel ataku COSMICENERGY i Industroyer - izolacja lub DPI |
| S7comm | 102 | Brak | Brak | Sterowniki Siemens | Wykorzystany przez Stuxnet. S7comm-plus (v4+) dodaje integralność |
Protokoły automatyki przemysłowej (Ethernet):
| Protokół | Port / warstwa | Uwierz. | Szyfr. | Zastosowanie | Uwagi dla segmentacji |
|---|---|---|---|---|---|
| EtherNet/IP (CIP) | TCP 44818, UDP 2222 | Brak* | Brak* | Rockwell/Allen-Bradley | *CIP Security dodaje TLS/DTLS z X.509 |
| PROFINET | L2 (EtherType) | Brak | Brak | Siemens, automatyka fabryk | RT/IRT omija stos IP - wymaga firewalli L2-aware |
| EtherCAT | L2 (0x88A4) | Brak | Brak | Sterowanie ruchem, robotyka | ”Processing on the fly” - kompromitacja slave’a zagraża całej sieci |
| IEC 61850 MMS | TCP 102 | Brak | Brak | Stacje elektroenergetyczne | MMS po TCP - kontrolowalny firewallem |
| IEC 61850 GOOSE | L2 (0x88B8) | Brak | Brak | Stacje elektroenergetyczne | Multicast L2 bez uwierzytelniania - VLAN jako jedyna izolacja |
Protokoły systemów budynkowych i IoT:
| Protokół | Port | Uwierz. | Szyfr. | Zastosowanie | Uwagi dla segmentacji |
|---|---|---|---|---|---|
| BACnet/IP | UDP 47808 | Brak* | Brak* | BMS, HVAC, kontrola dostępu | *BACnet Secure Connect (2019) dodaje TLS. Segmentować od OT procesu |
| MQTT | TCP 1883 / 8883 | Opcjonalne | TLS (port 8883) | IIoT, telemetria | Nie dopuszczać portu 1883 w produkcji - wymuszać TLS |
| CoAP | UDP 5683 | DTLS (opcj.) | DTLS (opcj.) | IoT o ograniczonych zasobach | Weryfikować endpointy i konfigurację proxy |
Źródło: specyfikacje protokołów (modbus.org, opcfoundation.org, IEEE 1815), NIST SP 800-82 Rev. 3.
Segmentacja poniżej warstwy sieciowej - fieldbus i protokoły serial
Strefy i korytarze IEC 62443 odnoszą się do wszystkich zasobów - nie tylko sieciowych. Kabel RS-485 między PLC a RTU jest korytarzem w rozumieniu normy, tak samo jak połączenie Ethernet. Problem w tym, że dla protokołów fieldbus/serial nie istnieją odpowiedniki firewalli czy list ACL. Jedyne dostępne mechanizmy to ochrona fizyczna i hardening urządzeń.
Protokoły serial/fieldbus w kontekście segmentacji:
| Protokół | Warstwa fizyczna | Uwierz. | Szyfr. | Mechanizm ochrony |
|---|---|---|---|---|
| Modbus RTU | RS-485 / RS-232 | Brak | Brak | Ochrona fizyczna kabla i szaf. Kontrola na bramie serial-Ethernet (konwerter jako punkt inspekcji) |
| PROFIBUS DP/PA | RS-485 / MBP (IEC 61158-2) | Brak | Brak | Ochrona fizyczna. Wyłączenie nieużywanych portów na masterze. Segmentacja na poziomie kontrolera |
| HART (4-20mA) | Analogowa pętla prądowa z FSK | Brak | Brak | Ochrona fizyczna skrzynek przyłączeniowych. Ograniczenie dostępu do handheldów konfiguracyjnych |
| WirelessHART | IEEE 802.15.4 (2.4 GHz) | Tak (klucze sieciowe) | AES-128 | Jedyny fieldbus z wbudowanym szyfrowaniem. Zarządzanie kluczami join/session/network |
| FOUNDATION Fieldbus | H1: IEC 61158-2, HSE: Ethernet | Brak (H1) | Brak (H1) | H1: ochrona fizyczna. HSE: segmentacja jak Ethernet |
| CANbus / CANopen | Magistrala różnicowa (ISO 11898) | Brak | Brak | Każdy węzeł widzi cały ruch. Bramki CAN jako punkt segmentacji między domenami |
| AS-Interface | 2-żyłowy (dane + zasilanie) | Brak | Brak | Prosty protokół czujników/elementów wykonawczych. Ochrona fizyczna jedyną opcją |
Co to oznacza w praktyce:
- Ochrona fizyczna jest segmentacją - dla protokołów serial zamknięta szafa sterownicza, kontrola dostępu do pomieszczeń technicznych i plomby na skrzynkach przyłączeniowych pełnią tę samą rolę co firewall w sieci Ethernet
- Bramy protokołowe jako punkt kontroli - konwerter Modbus RTU -> Modbus TCP lub brama PROFIBUS -> PROFINET to jedyne miejsce, gdzie można inspekcjonować i filtrować ruch z sieci fieldbus
- Hardening urządzeń - wyłączenie nieużywanych portów komunikacyjnych na PLC i kontrolerach, blokada trybu programowania, ochrona hasłem konfiguracji
- WirelessHART jako wyjątek - jedyny protokół fieldbus z wbudowanym szyfrowaniem (AES-128) i zarządzaniem kluczami. Należy jednak pamiętać, że protokoły przewodowe mają istotną zaletę w stosunku do bezprzewodowych: zakłócenie komunikacji wymaga fizycznego dostępu do kabla, co znacznie podnosi barierę dla atakującego. Bezprzewodowe protokoły, nawet z szyfrowaniem, są podatne na zakłócenia radiowe (jamming)
Konsekwencja dla architektury stref: IEC 62443 definiuje dla każdej strefy docelowy Security Level (SL-T). SL 2 i wyższe wymagają uwierzytelniania i kontroli dostępu - wymagań, których protokoły serial (Modbus RTU, PROFIBUS, HART) z definicji nie mogą spełnić. Oznacza to, że urządzenia komunikujące się wyłącznie po fieldbus powinny znajdować się w strefie SL 1 (ochrona przed przypadkowym naruszeniem), a granica strefy SL 2+ powinna przebiegać na kontrolerze PLC/RTU - który jest bramą między fieldbus a siecią Ethernet i jako jedyny może realizować uwierzytelnianie i kontrolę dostępu.
Jak to robimy - podejście SEQRED
Przykład dokumentacji SEQRED: matryca przepływów między strefami
W projektach segmentacji stosujemy matrycę przepływów zone-to-zone - tabelę definiującą dozwolone połączenia, protokoły i kierunek komunikacji dla każdej pary stref. To kluczowy dokument, który staje się podstawą konfiguracji firewalli.
Definicja stref:
| Strefa | Opis | Przykładowe zasoby | SL-T |
|---|---|---|---|
| Z1 - Sterowanie | Sterowniki i urządzenia polowe | PLC, RTU, czujniki, elementy wykonawcze | SL 3 |
| Z2 - Nadzór | Systemy wizualizacji i inżynierskie | HMI, stacje inżynierskie, serwer OPC | SL 2 |
| Z3 - Operacje | Zarządzanie produkcją | Historian, MES, serwery raportowe | SL 2 |
| Z4 - DMZ | Strefa buforowa IT/OT | Jump host, data mirror, OPC gateway | SL 2 |
| Z5 - IT | Sieć korporacyjna | ERP, poczta, Internet | SL 1 |
Matryca przepływów (source -> destination):
| Source \ Dest | Z1 Sterowanie | Z2 Nadzór | Z3 Operacje | Z4 DMZ | Z5 IT |
|---|---|---|---|---|---|
| Z1 Sterowanie | - | Modbus TCP (read), OPC UA | Deny | Deny | Deny |
| Z2 Nadzór | Modbus TCP (r/w), OPC UA | - | OPC UA (read) | Deny | Deny |
| Z3 Operacje | Deny | OPC UA (read) | - | SQL, HTTPS (do mirror) | Deny |
| Z4 DMZ | Deny | Deny | SQL (read) | - | HTTPS, SMTP |
| Z5 IT | Deny | Deny | Deny | HTTPS, RDP (jump host) | - |
Kluczowe zasady:
- Brak bezpośredniego dostępu z IT do strefy sterowania - ruch z Z5 do Z1 przechodzi przez trzy strefy pośrednie
- DMZ jako jedyny punkt styku - Z4 jest jedyną strefą komunikującą się zarówno z OT (Z3) jak i IT (Z5)
- Rozróżnienie read/write - operator HMI (Z2) może pisać do PLC (Z1), ale historian (Z3) może tylko czytać z Z2
- Domyślna polityka: deny all - tylko jawnie wymienione przepływy są dozwolone
Przykład dokumentacji SEQRED: matryca doboru metody segmentacji vs Security Level
Po zdefiniowaniu stref i przypisaniu im docelowych poziomów bezpieczeństwa (SL-T), trzeba dobrać odpowiednie metody segmentacji. Poniższa matryca pokazuje, które metody są wystarczające, a które wymagają uzupełnienia w zależności od SL. Stosujemy ją jako punkt wyjścia do dyskusji z klientem - ostateczny dobór wynika z analizy ryzyka konkretnej instalacji.
| Metoda segmentacji | SL 1 | SL 2 | SL 3 | SL 4 |
|---|---|---|---|---|
| VLANy z ACL | Wystarczający | Uzupełnienie | Niewystarczający | Niewystarczający |
| Firewall z DPI | Nadmiarowy | Wystarczający | Wystarczający | Uzupełnienie |
| Strefa DMZ | Rekomendowany | Wymagany | Wymagany | Wymagany |
| Dioda danych | Opcjonalny | Opcjonalny | Rekomendowany | Wymagany |
| Fizyczna separacja | Opcjonalny | Opcjonalny | Rekomendowany | Wymagany |
Źródła: IEC 62443-3-2:2020, CISA “Layering Network Security Through Segmentation” (2022), NIST SP 800-82 Rev. 3. Matryca jest opracowaniem SEQRED.
Mapowanie kontroli NIST SP 800-53 na segmentację OT
Poniżej mapowanie kluczowych kontroli z katalogu NIST SP 800-53 Rev. 5 na metody segmentacji sieci OT:
| Kontrola | Opis | Zastosowanie w OT |
|---|---|---|
| SC-7 Boundary Protection | Kontrola komunikacji na interfejsach | Firewalle na granicach stref, DMZ |
| SC-7(5) Deny by Default | Domyślne blokowanie ruchu | Polityka deny-all między strefami |
| SC-7(21) Isolation of Components | Izolacja komponentów | Separacja SIS od reszty sieci OT |
| AC-4 Information Flow Enforcement | Wymuszanie autoryzacji przepływów | Reguły DPI kontrolujące komendy OT |
| AC-4(7) One-way Flow | Jednokierunkowy przepływ sprzętowy | Diody danych (Waterfall, Owl) |
| SC-3 Security Function Isolation | Izolacja funkcji bezpieczeństwa | Oddzielna strefa dla SIS |
| CA-3 Information Exchange | Zarządzanie wymianą informacji | Korytarze IEC 62443 |
Źródło: NIST SP 800-53 Rev. 5 “Security and Privacy Controls for Information Systems and Organizations”.
Proces wdrożenia - krok po kroku
- Inwentaryzacja - pasywne odkrycie zasobów (Nozomi, Claroty) bez aktywnego skanowania
- Analiza ryzyka i definicja stref - grupowanie zasobów w strefy, przypisanie SL-T
- Definicja korytarzy - dozwolone protokoły, kierunek, mechanizm kontroli. Domyślnie: deny all
- Wdrożenie przyrostowe - od najkrytyczniejszych stref (SIS), stopniowe rozszerzanie
- Monitoring i walidacja - weryfikacja, czy ruch jest zgodny z polityką stref
Wyzwania w środowiskach legacy: brak uwierzytelniania w starszych PLC (np. Siemens S7-300), płaskie sieci w instalacjach 10+ lat, ryzyko przestoju przy zmianach topologii, tymczasowy zdalny dostęp dostawców który nigdy nie jest usuwany.
Checklist gotowości do segmentacji
Przed rozpoczęciem projektu segmentacji warto zweryfikować gotowość organizacji w pięciu obszarach odpowiadających etapom wdrożenia. Poniższa tabela służy jako narzędzie do śledzenia postępu - kolumna “Status” pozwala oznaczyć, które elementy są już na miejscu, a które wymagają pracy.
| Etap | Element | Status |
|---|---|---|
| 1. Inwentaryzacja | Pełna lista zasobów OT (PLC, HMI, stacje inżynierskie, serwery, urządzenia sieciowe) | |
| Dokumentacja połączeń sieciowych i przepływów danych | ||
| Identyfikacja protokołów komunikacyjnych (Modbus TCP, OPC UA, DNP3, EtherNet/IP, S7comm) | ||
| Lista połączeń zdalnego dostępu (VPN, tunele serwisowe dostawców) | ||
| Pasywne narzędzie monitoringu uruchomione do odkrycia zasobów | ||
| 2. Analiza ryzyka i definicja stref | Zdefiniowane strefy bezpieczeństwa (IEC 62443-3-2) | |
| Przypisane docelowe poziomy bezpieczeństwa (SL-T) do każdej strefy | ||
| Zidentyfikowane korytarze między strefami | ||
| Ocena wpływu utraty dostępu do każdej strefy na produkcję | ||
| 3. Definicja korytarzy | Matryca przepływów zone-to-zone wypełniona dla wszystkich par stref | |
| Dozwolone protokoły i kierunek komunikacji zdefiniowane per korytarz | ||
| Domyślna polityka deny-all potwierdzona | ||
| Reguły firewalli i ACL przygotowane do wdrożenia | ||
| 4. Wdrożenie przyrostowe | Uzgodnione okna serwisowe na wdrożenie zmian | |
| Przygotowany plan wycofania (rollback) | ||
| Poinformowani i przeszkoleni operatorzy | ||
| Kolejność wdrożenia ustalona - od najkrytyczniejszych stref (SIS) | ||
| 5. Monitoring i walidacja | Pasywny monitoring weryfikujący zgodność ruchu z polityką stref | |
| Firewalle z obsługą protokołów OT wdrożone na granicach stref | ||
| Centralne logowanie zdarzeń sieciowych (SIEM lub kolektor logów) | ||
| Procedury reagowania na incydenty zdefiniowane per strefa |
Narzędzia pasywnego monitoringu sieci OT
Segmentacja bez monitoringu to połowa pracy - nie wiadomo, czy ruch sieciowy jest zgodny z polityką stref, ani czy w sieci nie pojawiły się nieautoryzowane urządzenia. Narzędzia pasywnego monitoringu nasłuchują ruchu bez ingerencji w systemy produkcyjne i dostarczają inwentaryzację zasobów, detekcję anomalii i identyfikację podatności.
| Narzędzie | Producent | Kluczowe cechy |
|---|---|---|
| Guardian / Vantage | Nozomi Networks | Pasywny monitoring, asset inventory, anomaly detection |
| CTD / xDome | Claroty | Widoczność zasobów, zarządzanie podatnościami, bezpieczny zdalny dostęp |
| Platform | Dragos | Threat detection, ICS-specific threat intelligence |
| OT Security | Tenable (dawniej Indegy) | Asset discovery, risk-based vulnerability management |
| Defender for IoT | Microsoft (dawniej CyberX) | Agentless monitoring, integracja z Microsoft Sentinel |
Podsumowanie
Segmentacja sieci OT to nie jednorazowy projekt - to proces ciągłego doskonalenia. Model Purdue dostarcza słownik, IEC 62443-3-2 dostarcza metodę (strefy i korytarze), a narzędzia pasywnego monitoringu dostarczają widoczność.
Klucz to podejście pragmatyczne: inwentaryzacja, analiza ryzyka, przyrostowe wdrożenie i ciągłe monitorowanie. Każdy krok w kierunku segmentacji zmniejsza ryzyko i daje zespołom bezpieczeństwa czas na detekcję i reakcję.
NOTE
Dane z raportu Dragos 2026 OT Cybersecurity Year in Review potwierdzają, że organizacje z kompleksową widocznością OT wykrywały i powstrzymywały incydenty ransomware średnio w 5 dni - w porównaniu ze średnią branżową 42 dni. Widoczność i segmentacja działają razem: bez inwentaryzacji zasobów nie wiadomo co segmentować, bez segmentacji nawet dobra widoczność nie powstrzyma lateralnego ruchu atakującego.
Źródła
- IEC 62443-3-2:2020 - Security risk assessment for system design
- NIST SP 800-82 Rev. 3 - Guide to OT Security
- NIST SP 800-53 Rev. 5 - Security and Privacy Controls
- CISA “Layering Network Security Through Segmentation” (2022)
- Dragos 2026 OT Cybersecurity Year in Review
- SANS State of ICS/OT Security 2025
- CISA Advisory AA24-038A - Volt Typhoon