Industrial Security Hoe veilig is uw bedrijf?

Storingen en virussen, bijv. uit de Office-omgeving, kunnen direct naar de productieomgeving worden overgedragen.

Oplossing: netwerksegmentering

Doordat grote netwerken in kleine segmenten worden verdeeld, kan de gegevensuitwisseling tussen de verschillende zones, bijv. tussen productie en Office of tussen verschillende installatiedelen, worden bestuurd. De scheiding van de individuele segmenten kan met behulp van VLAN's of firewalls worden uitgevoerd. Voor de communicatie tussen de individuele netwerksegmenten moeten dan router- of Layer 3-switches worden toegepast. Deze apparaten vangen typische netwerkfouten op, zodat deze zich niet verder kunnen verspreiden over de rest van het netwerk.

Vaak is schadelijke software zo ontwikkeld dat deze probeert zich naar nabijgelegen systemen uit te breiden en deze ook te besmetten. Een voorbeeld hiervan is de schadelijke WannaCry-software, die niet-gepatchte Windows-systemen heeft besmet.

Oplossing: beperking van de communicatie

Door het inzetten van firewalls kan de verspreiding van de betreffende schadelijke software worden beperkt of voorkomen. Als alle communicatiemogelijkheden die technisch niet noodzakelijk zijn worden geblokkeerd, zijn veel aanvallen niet meer mogelijk. Bovendien helpt een voor de industrie geschikte Integrity Monitoring (bijv. CIM) om veranderingen en manipulaties aan op Windows gebaseerde systemen, zoals besturingen, bedieningsunits of pc's, voortijdig te herkennen en in te dammen.

Criminelen kunnen via een open internetverbinding data kopiëren of wijzigingen aan de installatie uitvoeren.

Oplossing: versleutelde dataoverdracht

Automatiseringssystemen zouden niet toegankelijk moeten zijn vanaf het internet. Dit wordt door een firewall bij de internettoegang bereikt, die al het inkomende maar ook het uitgaande verkeer tot noodzakelijke en toegelaten verbindingen beperkt. Alle afstandsverkeersverbindingen dienen versleuteld te worden uitgevoerd, bijv. door VPN met IPsec.

Geïnfecteerde hardware, zoals USB-sticks of laptops, kunnen schadelijke software het netwerk binnenbrengen.

Oplossing: poorten beveiligen

Via de functie Port Security kunt u direct op uw netwerkcomponenten instellen dat ongewenste deelnemers geen data mogen uitwisselen met het netwerk. Daarnaast dient u vrije poorten uit te schakelen, als deze niet nodig zijn. Enkele componenten bieden bovendien de mogelijkheid om u via SNMP en meldcontacten te waarschuwen, wanneer een onbevoegde toegang op het netwerk wordt geregistreerd.

Op afstand worden onopzettelijk wijzigingen aan het verkeerde systeem doorgevoerd.

Oplossing: veilige toegang op afstand

De veilige toegang op afstand tot een of meerdere machines kan met uiteenlopende, technologische oplossingen worden gerealiseerd. Enerzijds wordt de uitgaande communicatie versleuteld, bijv. door middel van IPsec of OpenVPN. Anderzijds kan via een sleutelschakelaar aan de machine het onderhoud op afstand worden geïnitieerd.

Zo wordt gewaarborgd dat aan de machine alleen wijzigingen worden doorgevoerd, wanneer dat ook werkelijk de bedoeling is. Tegelijkertijd kunnen via de sleutelschakelaar de communicatieregels in het netwerk worden geblokkeerd gedurende het onderhoud op afstand.

Onbevoegde smart devices brengen een verbinding tot stand via de WLAN-interface.

Oplossing: veilige WLAN-wachtwoordtoekenning

Als WLAN-wachtwoorden bekend zijn en gedurende een langere periode onveranderd zijn, maakt dat ook een ongecontroleerde toegang van derden tot het machinenetwerk mogelijk. Daarom maken WLAN-componenten van Phoenix Contact een geautomatiseerd wachtwoordbeheer door de machinebesturing mogelijk. Zo kunnen veilige WLAN-machinetoegangen in de vorm van eenmalige wachtwoorden eenvoudig worden gerealiseerd.

Bovendien kan de WLAN-communicatie via een demilitarized zone (DMZ) worden beveiligd en van het resterende netwerk worden afgescheiden.