Zámek před síťově propojenou mapou světa

Průmyslová bezpečnost Jak je zabezpečena vaše firma?

V době pokračující digitalizace není nic důležitějšího než ochrana dat – nejen vašich osobních dat, ale především dat patřících vašmu podniku. V celosvětovém měřítku se již asi 66 % malých a středních průmyslových podniků stalo cílem kybernetických útoků. Mnohé podniky si sice jsou nebezpečí souvisejícího s kybernetickou kriminalitou vědomy, podceňují však nákladné důsledky pro své stroje a zařízení. Průmyslová IT bezpečnost dokáže zabraňovat výpadkům, sabotážím nebo ztrátám dat, a tím chránit vaši výrobu před vysokými hospodářskými škodami.

Přehled různých vlastností zabezpečení oblastí IT a ICS

Porovnání požadavků na zabezpečení oblastí ICS a IT

Vzájemná souhra IT a OT

Bezpečnost vašeho podniku spočívá ve dvou oblastech: IT (Information Technology) a OT (Operational Technology). K tomu, aby bylo možné zajistit ochranu vašich sítí a zařízení ve věku Průmyslu 4.0, je nezbytné sledovat obě tyto oblasti a vytvořit ucelenou bezpečnostní koncepci.

Opatření definovaná pro oblast IT je totiž nutné rozšířit o dodatečná řešení zabezpeční oblasti OT a zohledňovat rozdílné cíle ochrany.

Ochrana dat se týká každého oboru Kliknutím na aktivní body zjistíte více

Interaktive Image Map: Průmyslová bezpečnost – přehled odvětví
Výrobci strojů
Kybernetická bezpečnost zvyšuje spolehlivost a dostupnost vašich strojů. Předpokladem pro provádění dálkové údržby u zákazníka je také bezpečné dálkové spojení.
Automobilový průmysl
Mechanismy průmyslové bezpečnosti zajišťují dostupnost vašich výrobních linek, a mohou ji v některých případech dokonce zvýšit.
Provozovatelé zařízení
Průmyslová bezpečnost zajišťuje nejen dostupnost a spolehlivý chod vašich průmyslových zařízení a procesů, ale také chrání vaše výrobní know-how.
Energie
Podniky působící v energetickém odvětví sehrávají důležitou roli při základním zásobování obyvatelstva. Z tohoto důvodu stanovili zákonodárci v mnoha zemích provozovatelům systémů kritické infrastruktury povinnost zajistit ochranu těchto systémů proti neoprávněnému přístupu.
Voda a odpadní vody
Abyste zaručili nepřetržité zásobování pitnou vodou a čištění odpadní vody, zajistěte si vzdálený přístup k odlehlým čerpacím a přečerpávacím stanicím, a tím i ochranu svých automatizačních systémů před neustále přibývajícími kybernetickými útoky.
Ropa a plyn
Zařízení, které bylo napadeno hackery, může rychle způsobit nejen finanční ztráty, ale také bezpečnostní riziko pro vaše pracovníky. Průmyslovou bezpečnost je nutné považovat za nezbytný předpoklad v oblastech, ve kterých se zachází s výbušnými a snadno vznětlivými materiály.

Síťové propojení poskytuje velké příležitosti, ale také několik slabých míst

Výhody neustále se rozšiřujícího síťového propojení, např. zvyšování produktivity nebo flexibility, jsou zjevné. Následkem stále rostoucího rozsahu síťového propojení a s ním souvisejícího rychlého splývání oblastí IT a OT přibývají v podnikových sítích další možnosti napadení zvenčí. Cílem kybernetických útoků všeho druhu se tak stále častěji stávají také kritické infrastruktury (KRITIS). Pachatelům trestných činů se stále znovu daří využívat možná slabá místa v IIoT (Industrial Internet of Things) k získávání přístupu k podnikům a infrastrukturám. Vyvstává otázka, v jak velkém rozsahu mohou být automatizační prostředí propojena sítěmi při současném účinném zabezpečení průmyslových zařízení a kritické infrastruktury proti útokům hackerů nebo malwarům.

Následující body vám poskytnou přehled o nevětších hrozbách a možných ochranných opatřeních.

Topologie segmentované sítě

Řešení: Segmentování sítě

Poruchy přenášené z kancelářského prostředí

Poruchy a viry, např. z kancelářského prostředí, mohou být přenášeny přímo do výrobní oblasti.

Řešení: Segmentování sítě

Rozdělením velkých sítí do malých segmentů lze řídit výměnu dat mezi různými zónami, např. mezi výrobou a administrativou nebo mezi různými úseky výrobních provozů. Vzájemné oddělení jednotlivých segmentů můžete vytvořit pomocí sítí VLAN nebo bran firewall. Ke komunikaci mezi jednotlivými segmenty sítě je pak nutné používat routery nebo přepínače umístěné ve 3. vrstvě. Tato zařízení zachycují obvyklé chyby sítě, které se tak nemohou dálě šířit do zbývajících částí sítě.

Topologie: Funkce CIFS Integrity Monitoring rozpoznává pokusy o provedení změn systémových řídicích jednotek a včas je potlačuje

Řešení: Určení povoleného rozsahu komunikace

Napadení malwarem

Škodlivý program (malware) bývá často koncipován tak, že se pokouší pronikat do sousedních systémů a napadat je. Příkladem může být malware WannaCry, který napadal systémy Windows, u nichž nebyla provedena bezpečnostní opravná aktualizace.

Řešení: Určení povoleného rozsahu komunikace

Používáním bran firewall lze omezit šíření relevantních malwarů nebo mu zcela zabránit. Zakázání všech možnosti komunikace, které nejsou technicky nezbytné, již předem zcela znemožní celou řadu útoků. Užitečné jsou také systémy typu Integrity Monitoring (např. CIM), které fungují na průmyslové úrovni a pomáhají včas rozpoznávat a potlačovat změny a manipulace u systémů Windows (řídicí jednotky, ovládací jednotky, počítače aj.).

Topologie: Bezpečná údržba na dálku přes brány firewall prostřednictvím připojení k internetu

Řešení: Šifrovaný přenos dat

Napadení hackery

Pachatelé trestných činů mohou prostřednictvím volně přístupného připojení k internetu kopírovat data nebo provádět změny v zařízení.

Řešení: Šifrovaný přenos dat

Automatizační systémy by neměly být přístupné z internetového prostředí Tohoto stavu lze dosahovat prostřednictvím přístupu k internetu přes bránu firewall, která omezuje věškerý příchozí i odchozí provoz na nezbytná a povolená spojení. Všechna další provozní spojení by měla probíhat šifrovaně, např. prostřednictvím sítě VPN s protokolem IPsec.

Přepínač s vypnutými porty

Řešení: Zabezpečení portů

Infikovaný hardware

Infikovaný hardware, např. USB nebo notebook, může přenášet škodlivé programy do sítě.

Řešení: Zabezpečení portů

Prostřednictvím funkce Port Security můžete přímo ve svých síťových komponentách nastavit zákaz výměny dat mezi nežádoucími účastníky a sítí. Také byste měli vypínat volné porty, které nejsou nezbytné. Některé komponenty dodatečně poskytují možnost upozorňovat prostřednictvím protokolu SNMP a signálního kontaktu na neoprávněný přístup k síti.

Topologie: Ovládání dálkové údržby pomocí klíčového přepínače

Řešení: Zabezpečený vzdálený přístup

Neoprávněný přístup k zařízením

Prostřednictvím vzdáleného přístupu se neúmyslně provádějí změny na nesprávném systému.

Řešení: Zabezpečený vzdálený přístup

Bezpečný vzdálený přístup k jednomu nebo více strojům může být realizován pomocí různých technologických řešení. Jednou možností je šifrování komunikace s vnějším okolím, např. prostřednictvím protokolu IPsec nebo OpenVPN. Další možností je iniciace dálkové údržby prostřednictvím klíčového spínače, jímž je stroj vybaven.

Tím se zajistí, že budou změny prováděny pouze na stroji, u kterého jsou skutečně zamýšleny. Současně lze prostřednictvím klíčového spínače blokovat pravidla komunikace v síti po dobu provádění dálkové údržby.

 Topologie: Bezpečné připojování mobilních koncových zařízení pomocí jednorázově platných hesel a demilitarizované zóny

Rešení: Bezpečné zadávání hesla pro přístup k síti Wi-Fi

Mobilní koncová zařízení

Prostřednictvím síťového rozhraní Wi-Fi se připojují neautorizovaná inteligentní zařízení.

Rešení: Bezpečné zadávání hesla pro přístup k síti Wi-Fi

Jsou-li přístupová hesla sítě Wi-Fi známá a po delší dobu se nemění, jedná se o stav, který umožňuje nekontrolovaný přístup třetích osob k síti, k níž jsou připojeny stroje. Síťové komponenty Wi-Fi od společností Phoenix Contact proto umožňují automatizovanou správu klíčů prostřednictvím řídicích jednotek strojů. Takto lze jednoduše realizovat bezpečný přístup ke strojům připojeným k síti Wi-Fi ve formě jednorázově platných hesel.

Navíc je možné zabezpečovat komunikaci v prostředí Wi-Fi pomocí demiltarizované zóny (DMZ) a oddělovat ji od zbývající části sítě.

Kruh zabezpečení v rozsahu 360° tvořený bezpečnými produkty, bezpečnými službami a bezpečnými řešení

Naše ucelená koncepce zabezpečení v rozsahu 360°

Koncepce zabezpečení v rozsahu 360° – naše ucelená nabídka bez kompromisů

Dobrého zabezpečení proti kybernetickým útokům lze dosáhnout pouze tehdy, když budou přijata vzájemně sladěná technická a organizační opatření. Proto nabízíme koncepci zabezpečení v rozsahu 360°, která zjednodušuje ochranu zařízení a zabezpečuje je ze všech stran:

Bezpečné služby
Naši vyškolení a kvalifikovaní specialisté z oblasti zabezpečení vám poradí, jak můžete minimalizovat individuální bezpečnostní rizika ve svém provozu a na přání vám vypracují bezpečnostní koncepci (certifikovanou podle normy IEC 62443-2-4). Navíc vám prostřednictvím školení předáme své vědomosti, aby i vaši pracovníci získali potřebnou způsobilost v oblasti kybernetické bezpečnosti.

Bezpečná řešení
Naše bezpečnostní koncepce chrání vaše kritické procesy, např. rozdělením do bezpečnostních zón, kontrolou datových toků a používáním komponent se zvýšenou odolností. Kromě toho se zavádí a dokumentují bezpečné procesy.

Bezpečné produkty
Bezpečnost je zakotvena v celém životním cyklu našich produktů – od bezpečného procesu vývoje (certifikovaného podle normy IEC 62443-4-1) přes integraci důležitých bezpečnostních funkcí až po pravidelné bezpečnostní opravné aktualizace.