Industrial Security Hvor sikker er bedriften din?

Forstyrrelser og virus, f. eks. fra kontoromgivelsene, kan bli overført direkte til produksjonsområdet.

Løsning: nettverkssegmentering

Ved å dele opp store nettverk i mindre segmenter kan datautvekslingen mellom de forskjellige sonene, f. eks. mellom produksjon og kontor eller mellom forskjellige anleggsdeler, styres. Oppdelingen av de enkelte segmentene kan foretas ved hjelp av VLANs eller brannmurer. I forbindelse med kommunikasjonen mellom de enkelte nettverkssegmentene må ruter eller Layer-3-switcher benyttes. Disse enhetene fanger opp typiske nettverksfeil, slik at de ikke kan bre seg videre utover i det resterende nettverket.

Ondartet programvare er ofte designet for å kunne bre seg ut til nabosystemer og på den måten ramme også disse. Et eksempel er den ondartede programvaren WannaCry, som har infisert Windows-systemer som ikke er oppdatert.

Løsning: Begrense kommunikasjonen

Ved å bruke brannmurer kan utbredelsen av ondartet programvare holdes i grenser, eller forhindres helt. Når alle kommunikasjonsmuligheter forhindres som ikke er absolutt teknisk nødvendige, er mange angrep ikke lenger mulig. En industriegnet Integrity Monitoring (f. eks. CIM) bidrar i tillegg til å gjenkjenne og begrense endringer og manipuleringer på Windows-baserte systemer som kontrollere, betjeningsenheter og PC-er.

Via en åpen Internettforbindelse kan kriminelle kopiere data, eller foreta endringer i anlegget.

Løsning: kryptert dataoverføring

Automatiseringssystemer skal ikke være tilgjengelige fra Internett. Dette ivaretas i form av en brannmur på Internettilgangen som begrenser alle innkommende og også utgående trafikk til kun nødvendige og godkjente forbindelser. Alle forbindelser over større avstander skal utføres kryptert, f. eks. gjennom VPN med IPsec.

Infisert programvare som USB-pinne eller laptop kan overføre ondartet programvare til nettverket.

Løsning: sikre portene

Via funksjonen Port Security kan du stille inn direkte på nettverkskomponentene at uønskede enheter ikke skal kunne utveksle data med nettverket. Videre bør du koble ut alle åpne porter som ikke skal benyttes. Enkelte komponenter har i tillegg muligheten til å informere deg om eventuell uberettiget tilgang til nettverket, via SNMP og signalkontakt.

Til tider blir det på avstand foretatt endringer på feil system.

Løsning: Sikker fjerntilgang

Sikker fjerntilgang til en eller flere maskiner er mulig med forskjellige teknologiske løsninger. For det første krypteres kommunikasjonen utad, f. eks. via IPsec eller OpenVPN. For det andre kan fjernvedlikehold initieres via en nøkkelbryter på maskinen.

Slik sikrer man at det kun foretas endringer på korrekt maskin. Via nøkkelbryteren kan man samtidig blokkere kommunikasjonsreglene i nettverket så lenge fjernvedlikeholdet pågår.

Ikke autoriserte Smart Devices tilkobles via WLAN-grensesnittet.

Løsning: sikker tildeling av WLAN-passord

Hvis WLAN-passord er kjent og har vært uforandret over lengre tid, åpner det også for ukontrollert tilgang til maskinens nettverk fra tredjepart. WLAN-komponenter fra Phoenix Contact muliggjør derfor automatisert nøkkelstyring gjennom maskinstyringen. På den måten kan sikre WLAN-maskintilganger helt enkelt implementeres i form av enkeltpassord.

Videre kan WLAN-kommunikasjonen sikres via en demilitarisert sone (DMZ) og isoleres fra resten av nettverket.