Průmyslová bezpečnost – Jak je váš podnik zabezpečený?

Bezpečnost pro vaši síť

Bezpečnost pro vaši síť

Pomáháme vám chránit vaše průmyslové sítě před neoprávněnými přístupy a škodlivým softwarem.

Zpět na Řešení

Kategorie

  • IEC 62443
    IEC 62443

    Chraňte svoji síť pomocí normy IEC 62443.

V době pokračující digitalizace není nic důležitějšího než ochrana dat – nejen vašich osobních dat, nýbrž především dat patřících vašmu podniku. V celosvětovém měřítku bylo již asi 66 procent malých a středních průmyslových podniků cílem kybernetických útoků. Mnohé podniky si sice jsou nebezpečí souvisejícího s kybernetickou kriminalitou vědomy, podceňují však nákladné důsledky pro své stroje a zařízení. Průmyslová IT bezpečnost dokáže zabraňovat výpadkům, sabotážím nebo ztrátám dat, a tím chránit vaši výrobu před vysokými hospodářskými škodami.

Industrie 4.0 – Vzájemná souhra IT a OT

Přehled různých vlastností zabezpečení oblastí IT a ICS  

Porovnání požadavků na zabezpečení oblastí ICS a IT

Bezpečnost vašeho podniku spočívá ve dvou oblastech: IT (Information Technology) a OT (Operational Technology). K tomu, aby bylo možné zajistit ochranu vašich sítí a zařízení ve věku Průmyslu 4.0, je nezbytné sledování obou těchto oblastí a vytvoření ucelené bezpečnostní koncepce.

Opatření definovaná pro oblast IT je totiž nutné rozšířit o dodatečná řešení zabezpeční oblasti OT, přičemž musí být brán zřetel na rozdílné cíle ochrany.

Průmyslová bezpečnost – Ochrana dat se týká každého oboru

 
Průmyslová bezpečnost se týká každého oboru

Propojení prostřednictvím sítí poskytuje velké příležitosti, avšak také několik slabých míst

Výhody neustále se rozšiřujícího síťového propojení, jakými jsou zvyšování produktivity nebo flexibility, jsou zjevné. Následkem zvětšujícího se rozsahu síťového propojení a s ním souvisejícího rychlého splývání oblastí IT a OT přibývají v podnikových sítích další možnosti napadení zvenčí. V hledáčku kybernetických útoků všeho druhu se tak ve stále větší míře ocitají také kritické infrastruktury (KRITIS): pachatelům trestných činů se stále znovu daří využívat možná slabá místa v Průmyslovém Internetu věcí (IIoT, Industrial Internet of Things) k získávání přístupu k podnikům a infrastrukturám. V důsledku toho vyvstává otázka, v jak velkém rozsahu mohou být automatizační prostředí propojena sítěmi při současném účinném zabezpečení průmyslových zařízení a kritické infrastruktury proti útokům hackerů nebo škodlivým programům.

Následující body vám poskytnou přehled o nevětších hrozbách a možných ochranných opatřeních.

Poruchy a viry, např. z kancelářského prostředí, mohou být přenášeny přímo do výrobní oblasti.

Řešení: Segmentování sítě

Rozdělením velkých sítí do malých segmentů lze řídit výměnu dat mezi různými zónami, např. mezi výrobou a administrativou nebo mezi různými úseky výrobních provozů. Vzájemné oddělení jednotlivých segmentů může být realizováno pomocí sítí VLAN nebo bran firewall. Ke komunikaci mezi jednotlivými segmenty sítě je pak nutné používat směrovače nebo přepínače umístěné ve vrstvě 3. Tato zařízení zachycují typické chyby sítě, které se tak nemohou dálě šířit do zbývajících částí sítě.

Segmentování sítě pomocí směrovačů mGuard

Škodlivý program bývá často koncipován tak, že se pokouší pronikat do sousedních systémů a napadat je. Příkladem takového škodlivého programu je malware WannaCry, který napadal systémy Windows, u nichž nebyla provedena bezpečnostní opravná aktualizace.

Řešení: určení povoleného rozsahu komunikace

Používáním bran firewall lze omezit šíření odpovídajících škodlivých programů nebo tomuto šíření zcela zabránit. Jsou-li zakázány všechny možnosti komunikace, které nejsou technicky dostupné, mnohé z útoků jsou tím již předem zcela znemožněny. Užitečné jsou také systémy typu Integrity Monitoring (např. CIM), které jsou schopny fungovat na průmyslové úrovni a pomáhají včas rozpoznávat a potlačovat změny a manipulace u systémů založených na prostředí Windows, jakými jsou řídicí jednotky, ovládací jednotky nebo počítače.

Funkce CIFS Integrity Monitoring rozpoznává pokusy o provedení změn systémových řídicích jednotek a včas je potlačuje

Pachatelé trestných činů mohou prostřednictvím volně přístupného připojení k Internetu kopírovat data nebo provádět změny v zařízení.

Řešení: Šifrovaný přenos dat

Automatizační systémy by neměly být přístupné z internetového prostředí Tohoto stavu lze dosahovat prostřednictvím přístupu k Internetu přes bránu firewall, která omezuje věškerý příchozí i odchozí provoz na nezbytná a povolená spojení. Všechna další provozní spojení by měla být prováděna šifrovaným způsobem, např. prostřednictvím sítě VPN s protokolem IPsec.

Bezpečná dálková údržba prostřednictvím připojení k Internetu přes bránu Firewall

Infikovaný hardware, jako jsou například výměnná paměťová zařízení USB nebo přenosné počítače, může přenášet škodlivé programy do sítě.

Řešení: Zabezpečení portů

Prostřednictvím funkce Port Security můžete přímo ve svých síťových komponentách nastavit zákaz výměny dat mezi nežádoucími účastníky a sítí. Rovněž byste měli vypínat volné porty, které nejsou potřebné. Některé komponenty dodatečně poskytují možnost, abyste byli prostřednictvím protokolu SNMP a signálního kontaktu upozorňováni tehdy, je-li registrován neoprávněný přístup k síti.

Vypínání portů u síťových komponent a upozorňování prostřednictvím protokolu SNMP

Prostřednictvím vzdáleného přístupu jsou nedopatřením prováděny změny na nesprávném systému.

Řešení: Bezpečný vzdálený přístup

Bezpečný vzdálený přístup k jednomu nebo více strojům může být realizován pomocí různých technologických řešení. Jednou možností je šifrování komunikace s vnějším okolím, např. prostřednictvím protokolu IPsec nebo OpenVPN. Další možností je iniciace dálkové údržby prostřednictvím klíčového spínače, jímž je stroj vybaven.

Tím je zajištěno, že jsou změny prováděny pouze na stroji, u kterého jsou skutečně zamýšleny. Současně lze prostřednictvím klíčového spínače blokovat pravidla komunikace v síti po dobu provádění dálkové údržby.

Ovládání dálkové údržby pomocí klíčového spínače

Pro uživatelské přístupy jsou často používána hromadná hesla. I poté, co pracovníci z podniku odejdou, zůstávají tato hesla nezměněna nebo nejsou přijímána opatření ke znemožnění dalšího přístupu. Hromadné heslo je tudíž známo příliš velkému počtu pracovníků a může být zneužíváno.

Řešení: Centrální správa uživatelů

Prostřednictvím centrální správy uživatelů, která umožňuje každému pracovníkovi individuální přístup, lze tento problém vyřešit. Mnohé z přístrojů dodávaných společností Phoenix Contact podporují začleňování do centrální správy uživatelů.

Centrální správa uživatelů s individuálním přidělováním oprávnění

Prostřednictvím síťového rozhraní WLAN se připojují inteligentní zařízení.

Rešení: Bezpečné zadávání hesla pro přístup k síti WLAN

Jsou-li přístupová hesla sítě WLAN známá a po delší dobu nezměněná, jedná se o stav, který umožňuje nekontrolovaný přístup třetích osob k síti, k níž jsou připojeny stroje. Síťové komponenty WLAN, které jsou dodávány společností Phoenix Contact, proto umožňují automatizovanou správu klíčů prostřednictvím řídicích jednotek strojů. Takto lze jednoduše realizovat bezpečný přístup ke strojům připojeným k síti WLAN ve formě jednorázově platných hesel.

Navíc je možné zabezpečovat komunikaci v prostředí WLAN pomocí demiltarizované zóny (DMZ) a oddělovat ji od zbývající části sítě.

Bezpečné připojování mobilních koncových zařízení pomocí jednorázově platných hesel a demilitarizované zóny

Standardní konfigurace přístrojů jsou uzpůsobeny k tomu, aby umožňovaly správné fungování a snadné zprovozňování komponent. Bezpečnostní mechanismy přitom často sehrávají podřadnou roli.

Řešení: Správa zařízení a opravných aktualizací

Při používání většího počtu přístrojů může inteligentní a efektivní správa zařízení a opravných aktualizací automatizovat časově náročné procesy a snížit rizika chybné konfigurace. Podporuje vás při konfiguraci, spouštění a správě přístrojů a snižuje rizika, která souvisejí s bezpečností a s nedodržováním předpisů, díky zkrácení cyklů opravných aktualizací a instalací nových verzí. Správa zařízení a opravných aktualizací umožňuje centrální vytváření a řízení všech nastavení přístrojů souvisejících s bezpečností a ...

Centrální správa zařízení a opravných aktualizací poskytuje podporu při konfiguraci, spouštění a správě přístrojů

Koncepce zabezpečení v rozsahu 360° – Naše ucelená nabídka bez kompromisů

Naše ucelená koncepce zabezpečení v rozsahu 360°  

Naše ucelená koncepce zabezpečení v rozsahu 360°

Dobrého zabezpečení proti kybernetickým útokům lze dosáhnout pouze tehdy, jestliže jsou přijata vzájemně do sebe zapadající a sladěná technická a organizační opatření. Proto nabízíme koncepci zabezpečení v rozsahu 360°, která zjednodušuje ochranu zařízení a zabezpečuje je ze všech stran.

Bezpečné služby, řešení a produkty

Bezpečné služby
Naši vyškolení a kvalifikovaní specialisté z oblasti zabezpečení vám poradí, jak můžete minimalizovat individuální bezpečnostní rizika ve svém provozu, a na přání vám vypracují bezpečnostní koncepci (certifikovanou podle normy IEC 62443-2-4). Navíc vám prostřednictvím školení předáme své vědomosti, aby i vaši pracovníci získali potřebnou způsobilost v oblasti kybernetické bezpečnosti.

Bezpečná řešení
Naše bezpečnostní koncepce chrání vaše kritické procesy, např. pomocí rozdělení do bezpečnostních zón, kontroly datových toků a používání komponent se zvýšenou odolností. Kromě toho jsou zaváděny a dokumentovány bezpečné procesy.

Bezpečné produkty
Bezpečnost je zakotvena v celém životním cyklu našich produktů – od bezpečného procesu vývoje (certifikovaného podle normy IEC 62443-4-1) přes integraci důležitých bezpečnostních funkcí až po pravidelné opravné aktualizace související se zabezpečením.

Získejte více informací o naší odborné způsobilosti v oblasti průmyslové bezpečnosti

Jak jste na tom, pokud jde o téma průmyslové bezpečnosti?

Tento kontrolní seznam vám má pomoci získat prvotní přehled o stavu kybernetické bezpečnosti vašich zařízení. Jestliže máte další dotazy nebo jste museli na alespoň jednu z otázek odpovědět Ne, kdykoli se na nás obraťte. Ochotně vám poradíme a poskytneme vám podporu ve formě vhodných poradenských služeb a produktů.

PHOENIX CONTACT, s.r.o.

Dornych 47
CZ-617 00 Brno
+420 542 213 401