Průmyslová bezpečnost Jak je zabezpečena vaše firma?

Poruchy a viry, např. z kancelářského prostředí, mohou být přenášeny přímo do výrobní oblasti.

Řešení: Segmentování sítě

Rozdělením velkých sítí do malých segmentů lze řídit výměnu dat mezi různými zónami, např. mezi výrobou a administrativou nebo mezi různými úseky výrobních provozů. Vzájemné oddělení jednotlivých segmentů můžete vytvořit pomocí sítí VLAN nebo bran firewall. Ke komunikaci mezi jednotlivými segmenty sítě je pak nutné používat routery nebo přepínače umístěné ve 3. vrstvě. Tato zařízení zachycují obvyklé chyby sítě, které se tak nemohou dálě šířit do zbývajících částí sítě.

Škodlivý program (malware) bývá často koncipován tak, že se pokouší pronikat do sousedních systémů a napadat je. Příkladem může být malware WannaCry, který napadal systémy Windows, u nichž nebyla provedena bezpečnostní opravná aktualizace.

Řešení: Určení povoleného rozsahu komunikace

Používáním bran firewall lze omezit šíření relevantních malwarů nebo mu zcela zabránit. Zakázání všech možnosti komunikace, které nejsou technicky nezbytné, již předem zcela znemožní celou řadu útoků. Užitečné jsou také systémy typu Integrity Monitoring (např. CIM), které fungují na průmyslové úrovni a pomáhají včas rozpoznávat a potlačovat změny a manipulace u systémů Windows (řídicí jednotky, ovládací jednotky, počítače aj.).

Pachatelé trestných činů mohou prostřednictvím volně přístupného připojení k internetu kopírovat data nebo provádět změny v zařízení.

Řešení: Šifrovaný přenos dat

Automatizační systémy by neměly být přístupné z internetového prostředí Tohoto stavu lze dosahovat prostřednictvím přístupu k internetu přes bránu firewall, která omezuje věškerý příchozí i odchozí provoz na nezbytná a povolená spojení. Všechna další provozní spojení by měla probíhat šifrovaně, např. prostřednictvím sítě VPN s protokolem IPsec.

Infikovaný hardware, např. USB nebo notebook, může přenášet škodlivé programy do sítě.

Řešení: Zabezpečení portů

Prostřednictvím funkce Port Security můžete přímo ve svých síťových komponentách nastavit zákaz výměny dat mezi nežádoucími účastníky a sítí. Také byste měli vypínat volné porty, které nejsou nezbytné. Některé komponenty dodatečně poskytují možnost upozorňovat prostřednictvím protokolu SNMP a signálního kontaktu na neoprávněný přístup k síti.

Prostřednictvím vzdáleného přístupu se neúmyslně provádějí změny na nesprávném systému.

Řešení: Zabezpečený vzdálený přístup

Bezpečný vzdálený přístup k jednomu nebo více strojům může být realizován pomocí různých technologických řešení. Jednou možností je šifrování komunikace s vnějším okolím, např. prostřednictvím protokolu IPsec nebo OpenVPN. Další možností je iniciace dálkové údržby prostřednictvím klíčového spínače, jímž je stroj vybaven.

Tím se zajistí, že budou změny prováděny pouze na stroji, u kterého jsou skutečně zamýšleny. Současně lze prostřednictvím klíčového spínače blokovat pravidla komunikace v síti po dobu provádění dálkové údržby.

Prostřednictvím síťového rozhraní Wi-Fi se připojují neautorizovaná inteligentní zařízení.

Rešení: Bezpečné zadávání hesla pro přístup k síti Wi-Fi

Jsou-li přístupová hesla sítě Wi-Fi známá a po delší dobu se nemění, jedná se o stav, který umožňuje nekontrolovaný přístup třetích osob k síti, k níž jsou připojeny stroje. Síťové komponenty Wi-Fi od společností Phoenix Contact proto umožňují automatizovanou správu klíčů prostřednictvím řídicích jednotek strojů. Takto lze jednoduše realizovat bezpečný přístup ke strojům připojeným k síti Wi-Fi ve formě jednorázově platných hesel.

Navíc je možné zabezpečovat komunikaci v prostředí Wi-Fi pomocí demiltarizované zóny (DMZ) a oddělovat ji od zbývající části sítě.