Industrial Security – hoe veilig is uw onderneming?

Veiligheid voor uw netwerk

Veiligheid voor uw netwerk

Wij helpen u uw industriële netwerken te beveiligen tegen onbevoegde toegang en schadelijke software.

Terug naar Oplossingen

Categorieën

  • IEC 62443
    IEC 62443

    Beveilig uw netwerk met behulp van IEC 62443.

In het tijdperk van de digitalisering is niets zo belangrijk dan de bescherming van gegevens – uw persoonlijke, maar vooral ook die van uw onderneming. Wereldwijd was reeds circa 66 procent van de kleine en middelgrote industriële ondernemingen het doelwit van cyber-aanvallen. Veel ondernemingen zijn zich weliswaar bewust van het gevaar door cybercriminaliteit, maar onderschatten desondanks de kostbare gevolgen voor hun machines en installaties. Industrial IT-security kan uitval, sabotage of gegevensverlies voorkomen en daardoor uw productie tegen grote economische schades beschermen.

Industrie 4.0 – het samenspel van IT en OT

Overzicht van de verschillende eigenschappen van IT- en ICS-security  

Een vergelijking van de vereisten van ICS- en IT-security

De veiligheid van uw onderneming bevindt zich in twee omgevingen: IT (Information Technology) en OT (Operational Technology). Om de bescherming van uw netwerken en installaties in het tijdperk van Industrie 4.0 te waarborgen, is het noodzakelijk om naar beide omgevingen en een totaal veiligheidsconcept te kijken.

Want de door IT gedefinieerde maatregelen moeten met aanvullende OT-security-oplossingen worden uitgebreid en de verschillende beschermingsdoelen moeten in acht worden genomen.

Industrial Security – de bescherming van data gaan iedere branche aan

 
Industriële veiligheid gaat iedere branche aan

Netwerkkoppeling biedt veel kansen, maar ook enkele zwakke plekken

De voordelen van een groeiende netwerkkoppeling, zoals verhoging van de productiviteit of flexibilisering, zijn duidelijk. Door de toenemende netwerkkoppeling en de daarmee gepaard gaande snelle samensmelting van IT en OT ontstaan echter steeds meer uitgebreide aanvalsdoelen in bedrijfsnetwerken. Daarmee komen ook kritieke infrastructuren (KRITIS) steeds vaker in het vizier van allerlei soorten cyberaanvallen: telkens weer lukt het criminelen om mogelijke zwakke plekken in het IIoT (Industrial Internet of Things) te benutten en daardoor toegang te krijgen tot ondernemingen en infrastructuren. Dus is hier de vraag in welke mate automatiseringsomgevingen in netwerken zijn gekoppeld en daarbij industriële installaties en KRITIS tegelijkertijd tegen hackeraanvallen of schadelijke software kunnen worden beveiligd.

De volgende punten bieden u een overzicht van de grootste bedreigingen en mogelijke beveiligingsmaatregelen.

Storingen en virussen, bijv. uit de Office-omgeving, kunnen direct naar de productieomgeving worden overgedragen.

Oplossing: netwerksegmentering

Doordat grote netwerken in kleine segmenten worden verdeeld, kan de gegevensuitwisseling tussen de verschillende zones, bijv. tussen productie en Office of tussen verschillende installatiedelen, worden bestuurd. De scheiding van de individuele segmenten kan met behulp van VLAN's of firewalls worden uitgevoerd. Voor de communicatie tussen de individuele netwerksegmenten moeten dan router- of Layer 3-switches worden toegepast. Deze apparaten vangen typische netwerkfouten op, zodat deze zich niet verder kunnen verspreiden over de rest van het netwerk.

Netwerksegmentering met behulp van mGuard-routers

Vaak is schadelijke software zo ontwikkeld dat deze probeert zich naar nabijgelegen systemen uit te breiden en deze ook te besmetten. Een voorbeeld hiervan is de schadelijke WannaCry-software, die niet-gepatchte Windows-systemen heeft besmet.

Oplossing: beperking van de communicatie

Door het inzetten van firewalls kan de verspreiding van de betreffende schadelijke software worden beperkt of voorkomen. Wanneer alle communicatiemogelijkheden worden belemmerd, die technisch niet nodig zijn, zijn veel aanvallen in het geheel niet meer mogelijk. Bovendien helpt een voor de industrie geschikte Integrity Monitoring (bijv. CIM) om veranderingen en manipulaties aan op Windows gebaseerde systemen, zoals besturingen, bedieningsunits of pc's, voortijdig te herkennen en in te dammen.

De CIFS-Integrity-Monitoring herkent veranderingen aan systeembesturingen en damt deze voortijdig in

Criminelen kunnen via een open internetverbinding data kopiëren of wijzigingen aan de installatie uitvoeren.

Oplossing: versleutelde dataoverdracht

Automatiseringssystemen zouden niet toegankelijk moeten zijn vanaf het internet. Dit wordt door een firewall bij de internettoegang bereikt, die al het inkomende maar ook het uitgaande verkeer tot noodzakelijke en toegelaten verbindingen beperkt. Alle verdere verkeersverbindingen dienen versleuteld te worden uitgevoerd, bijv. door VPN met IPsec.

Veilig onderhoud op afstand door een firewall bij de internettoegang

Geïnfecteerde hardware, zoals USB-sticks of laptops, kunnen schadelijke software het netwerk binnenbrengen.

Oplossing: poorten beveiligen

Via de functie Port Security kunt u direct op uw netwerkcomponenten instellen dat ongewenste deelnemers geen data mogen uitwisselen met het netwerk. Daarnaast dient u vrije poorten uit te schakelen, als deze niet nodig zijn. Enkele componenten bieden bovendien de mogelijkheid om u via SNMP en meldcontacten te waarschuwen, wanneer een onbevoegde toegang op het netwerk wordt geregistreerd.

Poortafschakeling aan netwerkcomponenten en alarmering via SNMP

Op afstand worden onopzettelijk wijzigingen aan het verkeerde systeem doorgevoerd.

Oplossing: veilige toegang op afstand

De veilige toegang op afstand tot een of meerdere machines kan met uiteenlopende, technologische oplossingen worden gerealiseerd. Enerzijds wordt de uitgaande communicatie versleuteld, bijv. door middel van IPsec of OpenVPN. Anderzijds kan via een sleutelschakelaar aan de machine het onderhoud op afstand worden geïnitieerd.

Zo wordt gewaarborgd dat aan de machine alleen wijzigingen worden doorgevoerd, wanneer dat ook werkelijk de bedoeling is. Tegelijkertijd kunnen via de sleutelschakelaar de communicatieregels in het netwerk worden geblokkeerd gedurende het onderhoud op afstand.

Besturing van het onderhoud op afstand met behulp van een sleutelschakelaar

Vaak worden groepswachtwoorden gebruikt voor gebruikerstoegang. Als medewerkers de onderneming verlaten, worden wachtwoorden niet gewijzigd of toegangen niet uitgeschakeld. Het groepswachtwoord is daardoor bij vele medewerkers bekend en kan worden misbruikt.

Oplossing: centraal gebruikersbeheer

Door centraal gebruikersbeheer waarbij aan iedere medewerker een eigen toegang wordt toegewezen, kan dit probleem worden opgelost. Veel apparaten van Phoenix Contact ondersteunen de integratie in een centraal gebruikersmanagement.

Centraal gebruikersbeheer met individuele toekenning van rechten

Onbevoegde smart devices brengen een verbinding tot stand via de WLAN-interface.

Oplossing: veilige WLAN-wachtwoordtoekenning

Als WLAN-wachtwoorden bekend zijn en gedurende een langere periode onveranderd zijn, maakt dat ook een ongecontroleerde toegang van derden tot het machinenetwerk mogelijk. Daarom maken WLAN-componenten van Phoenix Contact een geautomatiseerd sleutelbeheer door de machinebesturing mogelijk. Zo kunnen veilige WLAN-machinetoegangen in de vorm van eenmalige wachtwoorden eenvoudig worden gerealiseerd.

Bovendien kan de WLAN-communicatie via een demilitarized zone (DMZ) worden beveiligd en van het resterende netwerk worden afgescheiden.

Veilige integratie van mobiele eindtoestellen met eenmalige wachtwoorden en DMZ

Standaardconfiguraties van apparaten zijn ervoor ontwikkeld, zodat de componenten correct functioneren en gemakkelijk in bedrijf kunnen worden gesteld. Veiligheidsmechanismen spelen daarbij vaak een ondergeschikte rol.

Oplossing: apparaat- en patch-management

Bij het beheer van meerdere apparaten kan een intelligent en efficiënt device- en patch-management tijdrovende processen automatiseren en de kansen op een foute configuratie reduceren. Het ondersteunt bij het configureren, uitrollen en beheren van apparaten en vermindert veiligheids- en compliance-risico's door de verkorting van patch- en upgrade-cycli. Het device- en patch-management maakt het mogelijk om alle veiligheidsrelevante apparaatinstellingen centraal vast te leggen en te beheren, en ondersteunt bij Firmware-upgrades.

Centraal patch- en apparaatmanagement ondersteunt bij configureren, uitrollen en beheren van apparaten

360° Security – ons volledige aanbod zonder compromis

Ons volledige 360°-security-concept  

Ons volledige 360°-security-concept

Een goede beveiliging tegen cyberaanvallen kan alleen lukken, wanneer op elkaar afgestemde technische en organisatorische maatregelen worden gecombineerd. Daarom bieden wij 360°-security die de bescherming van installaties vereenvoudigt en deze vanaf alle zijden beveiligt.

Veilige services, oplossingen en producten

Veilige services
Onze opgeleide en competente security-specialisten adviseren u over hoe u de specifieke veiligheidsrisico's in uw installatie kunt minimaliseren en stellen op verzoek een security-concept voor u op (gecertificeerd volgens IEC 62443-2-4). Daarnaast geven wij onze kennis via trainingen door om ook uw medewerkers klaar te maken voor cybersecurity.

Veilige oplossingen
Onze security-concepten beveiligen uw kritieke processen, bijv. met behulp van zoneconcepten, een gegevensstroomcontrole en het gebruik van geharde componenten. Bovendien worden veilige processen tot stand gebracht en gedocumenteerd.

Veilige producten
Security is verankerd in de totale levenscyclus van onze producten – van het veilige ontwikkelingsproces (gecertificeerd volgens IEC 62443-4-1) en de integratie van belangrijke security-functies tot regelmatige updates en security-patches.

Lees meer over onze Industrial Security-competentie

Waar staat u bij het onderwerp Industrial Security?

Deze checklist helpt om een eerste overzicht te krijgen van de stand van de cyberveiligheid in uw installatie. Neem contact met ons op als u vragen hebt of als u één of meerdere vragen met Nee hebt moeten beantwoorden. Wij bieden u graag advies en ondersteunen u met passende adviesservices en producten.

PHOENIX CONTACT B.V.

Hengelder 56
6902 PA Zevenaar
Postbus 246
6900 AE Zevenaar
(0316) 59 17 20