Kasteel voor een netwerkgekoppelde wereldkaart

Industrial Security Hoe veilig is uw bedrijf?

In het tijdperk van de digitalisering is niets zo belangrijk dan de bescherming van gegevens – uw persoonlijke, maar vooral ook die van uw onderneming. Wereldwijd was reeds circa 66% van de kleine en middelgrote industriële ondernemingen het doelwit van cyber-aanvallen. Veel ondernemingen zijn zich weliswaar bewust van het gevaar door cybercriminaliteit, maar onderschatten desondanks de kostbare gevolgen voor hun machines en installaties. Industrial IT-security kan uitval, sabotage of gegevensverlies voorkomen en daardoor uw productie tegen grote economische schades beschermen.

Overzicht van de verschillende eigenschappen van IT- en ICS-security

Een vergelijking van de vereisten van ICS- en IT-security

Het samenspel van IT en OT

De beveiliging van uw onderneming bevindt zich in twee omgevingen: IT (Information Technology) en OT (Operational Technology). Om de bescherming van uw netwerken en installaties in het tijdperk van Industrie 4.0 te waarborgen, is het noodzakelijk om naar beide omgevingen en een totaal veiligheidsconcept te kijken.

Want de door IT gedefinieerde maatregelen moeten met aanvullende OT-security-oplossingen worden uitgebreid en de verschillende beschermingsdoelen moeten in acht worden genomen.

Iedere branche heeft te maken met de bescherming van gegevens Klik op de hotspots om meer te weten te komen

Interactieve Image Map: Overzicht industriële beveiligingsindustrie
Machinefabrikanten
Cybersecurity verhoogt de betrouwbaarheid en beschikbaarheid van uw machines. Voor onderhoud op afstand bij de klant is bovendien een veilige afstandsverbinding een voorwaarde.
Automobielindustrie
Industrial security-mechanismen beschermen de beschikbaarheid van uw productielijnen en kunnen deze zelfs verhogen.
Installatiegebruikers
Industrial Security beveiligt niet alleen de beschikbaarheid en het betrouwbare bedrijf van uw industriële installaties en processen, maar beschermt bovendien uw productiekennis.
Energie
Ondernemingen in de energiesector spelen een belangrijke rol in de basisvoorziening van mensen. Daarom verplicht de wetgever in vele landen de exploitanten van installaties van de kritische infrastructuur hun installaties tegen onbevoegde toegang te beschermen.
Water/afvalwater
Om de voortdurende drinkwatervoorziening en afvalwaterzuivering te waarborgen, beveiligt u uw toegang op afstand tot afgelegen pomp- en liftstations, en beschermt u daardoor uw automatiseringssystemen tegen de toenemende cyberaanvallen uit het internet.
Olie en gas
Een gehackte installatie kan snel niet alleen een financieel verlies, maar ook een veiligheidsrisico voor uw medewerkers opleveren. Industrial Security moet in explosieve en licht-ontvlambare gebieden als safety-voorwaarde worden beschouwd.

Netwerkkoppeling biedt veel kansen, maar ook enkele zwakke plekken

De voordelen van een groeiende netwerkkoppeling, zoals verhoging van de productiviteit of flexibilisering, zijn duidelijk. Door de toenemende netwerkkoppeling en de daarmee gepaard gaande snelle samensmelting van IT en OT ontstaan echter steeds meer potentiële aanvalsdoelen in bedrijfsnetwerken. Daarmee komen ook kritieke infrastructuren (KRITIS) steeds vaker in het vizier van allerlei soorten cyberaanvallen: telkens weer lukt het criminelen om mogelijke zwakke plekken in het IIoT (Industrial Internet of Things) te benutten en daardoor toegang te krijgen tot ondernemingen en infrastructuren. Dus is hier de vraag in welke mate automatiseringsomgevingen in netwerken zijn gekoppeld en daarbij industriële installaties en KRITIS tegelijkertijd tegen hackeraanvallen of schadelijke software kunnen worden beveiligd.

De volgende punten bieden u een overzicht van de grootste bedreigingen en mogelijke beveiligingsmaatregelen.

Topologie van een gesegmenteerd netwerk

Oplossing: netwerksegmentering

Storingen vanuit Office

Storingen en virussen, bijv. uit de Office-omgeving, kunnen direct naar de productieomgeving worden overgedragen.

Oplossing: netwerksegmentering

Doordat grote netwerken in kleine segmenten worden verdeeld, kan de gegevensuitwisseling tussen de verschillende zones, bijv. tussen productie en Office of tussen verschillende installatiedelen, worden bestuurd. De scheiding van de individuele segmenten kan met behulp van VLAN's of firewalls worden uitgevoerd. Voor de communicatie tussen de individuele netwerksegmenten moeten dan router- of Layer 3-switches worden toegepast. Deze apparaten vangen typische netwerkfouten op, zodat deze zich niet verder kunnen verspreiden over de rest van het netwerk.

Topologie: de CIFS-Integrity-Monitoring herkent veranderingen aan systeembesturingen en beperkt deze voortijdig

Oplossing: beperking van de communicatie

Besmet met schadelijke software

Vaak is schadelijke software zo ontwikkeld dat deze probeert zich naar nabijgelegen systemen uit te breiden en deze ook te besmetten. Een voorbeeld hiervan is de schadelijke WannaCry-software, die niet-gepatchte Windows-systemen heeft besmet.

Oplossing: beperking van de communicatie

Door het inzetten van firewalls kan de verspreiding van de betreffende schadelijke software worden beperkt of voorkomen. Als alle communicatiemogelijkheden die technisch niet noodzakelijk zijn worden geblokkeerd, zijn veel aanvallen niet meer mogelijk. Bovendien helpt een voor de industrie geschikte Integrity Monitoring (bijv. CIM) om veranderingen en manipulaties aan op Windows gebaseerde systemen, zoals besturingen, bedieningsunits of pc's, voortijdig te herkennen en in te dammen.

Topologie: beveiligd onderhoud op afstand met firewalls op de internettoegang

Oplossing: versleutelde dataoverdracht

Hacker-aanvallen

Criminelen kunnen via een open internetverbinding data kopiëren of wijzigingen aan de installatie uitvoeren.

Oplossing: versleutelde dataoverdracht

Automatiseringssystemen zouden niet toegankelijk moeten zijn vanaf het internet. Dit wordt door een firewall bij de internettoegang bereikt, die al het inkomende maar ook het uitgaande verkeer tot noodzakelijke en toegelaten verbindingen beperkt. Alle afstandsverkeersverbindingen dienen versleuteld te worden uitgevoerd, bijv. door VPN met IPsec.

Switch met uitgeschakelde poorten

Oplossing: poorten beveiligen

Geïnfecteerde hardware

Geïnfecteerde hardware, zoals USB-sticks of laptops, kunnen schadelijke software het netwerk binnenbrengen.

Oplossing: poorten beveiligen

Via de functie Port Security kunt u direct op uw netwerkcomponenten instellen dat ongewenste deelnemers geen data mogen uitwisselen met het netwerk. Daarnaast dient u vrije poorten uit te schakelen, als deze niet nodig zijn. Enkele componenten bieden bovendien de mogelijkheid om u via SNMP en meldcontacten te waarschuwen, wanneer een onbevoegde toegang op het netwerk wordt geregistreerd.

Topologie: besturing van het onderhoud op afstand met behulp van een sleutelschakelaar

Oplossing: veilige toegang op afstand

Onbevoegde toegang tot installaties

Op afstand worden onopzettelijk wijzigingen aan het verkeerde systeem doorgevoerd.

Oplossing: veilige toegang op afstand

De veilige toegang op afstand tot een of meerdere machines kan met uiteenlopende, technologische oplossingen worden gerealiseerd. Enerzijds wordt de uitgaande communicatie versleuteld, bijv. door middel van IPsec of OpenVPN. Anderzijds kan via een sleutelschakelaar aan de machine het onderhoud op afstand worden geïnitieerd.

Zo wordt gewaarborgd dat aan de machine alleen wijzigingen worden doorgevoerd, wanneer dat ook werkelijk de bedoeling is. Tegelijkertijd kunnen via de sleutelschakelaar de communicatieregels in het netwerk worden geblokkeerd gedurende het onderhoud op afstand.

 Topologie: veilige integratie van mobiele eindtoestellen met eenmalige wachtwoorden en DMZ

Oplossing: veilige WLAN-wachtwoordtoekenning

Mobiele eindapparatuur

Onbevoegde smart devices brengen een verbinding tot stand via de WLAN-interface.

Oplossing: veilige WLAN-wachtwoordtoekenning

Als WLAN-wachtwoorden bekend zijn en gedurende een langere periode onveranderd zijn, maakt dat ook een ongecontroleerde toegang van derden tot het machinenetwerk mogelijk. Daarom maken WLAN-componenten van Phoenix Contact een geautomatiseerd wachtwoordbeheer door de machinebesturing mogelijk. Zo kunnen veilige WLAN-machinetoegangen in de vorm van eenmalige wachtwoorden eenvoudig worden gerealiseerd.

Bovendien kan de WLAN-communicatie via een demilitarized zone (DMZ) worden beveiligd en van het resterende netwerk worden afgescheiden.

De 360°-beveiligingscirkel, bestaande uit beveiligde producten, beveiligde diensten en beveiligde oplossingen

Ons volledige 360°-security-concept

360°-security – ons volledige aanbod zonder compromissen

Een goede beveiliging tegen cyberaanvallen is alleen succesvol, wanneer op elkaar afgestemde technische en organisatorische maatregelen worden gecombineerd. Daarom bieden wij 360°-security, die de bescherming van installaties vereenvoudigt en deze vanaf alle kanten beveiligt:

Veilige services
Onze opgeleide en competente security-specialisten adviseren u over hoe u de specifieke veiligheidsrisico's in uw installatie kunt minimaliseren en stellen op verzoek een security-concept voor u op (gecertificeerd volgens IEC 62443-2-4). Daarnaast geven wij onze kennis via trainingen door om ook uw medewerkers voor te bereiden op cybersecurity.

Veilige oplossingen
Onze security-concepten beveiligen uw kritieke processen, bijv. met behulp van zoneconcepten, controle van de dataflow en het gebruik van beproefde componenten. Bovendien worden veilige processen tot stand gebracht en gedocumenteerd.

Veilige producten
Security is verankerd in de totale levenscyclus van onze producten – van het veilige ontwikkelingsproces (gecertificeerd volgens IEC 62443-4-1) en de integratie van belangrijke security-functies tot regelmatige updates en security-patches.