Industrial Security – hvor sikker er bedriften din?

Forstyrrelser, som virus, for eksempel fra kontoromgivelsene, kan bli overført direkte til produksjonsområdet.

Løsning: nettverkssegmentering

Ved å dele opp store nettverk i mindre segmenter kan datautvekslingen mellom de forskjellige sonene, for eksempel mellom produksjon og kontor eller mellom forskjellige anleggsdeler, styres. Oppdelingen av de enkelte segmentene kan foretas ved hjelp av VLANs eller brannmurer. I forbindelse med kommunikasjonen mellom de enkelte nettverkssegmentene må ruter eller Layer-3-svitsjer benyttes. Disse enhetene fanger opp typiske nettverksfeil, slik at de ikke kan bre seg videre utover i det resterende nettverket.

Ondartet programvare er ofte designet for å kunne bre seg ut til nabosystemer og på den måten ramme også disse. Et eksempel er den ondartede programvaren WannaCry, som har infisert Windows-systemer som ikke er oppdatert.

Løsning: Begrense kommunikasjonen

Ved å bruke brannmurer kan utbredelsen av ondartet programvare holdes i grenser, eller forhindres helt. Når alle kommunikasjonsmuligheter forhindres som ikke er absolutt teknisk nødvendige, er mange angrep ikke lenger mulig. En industriegnet Integrity Monitoring (f.eks. CIM) bidrar i tillegg til å gjenkjenne og begrense endringer og manipuleringer på Windows-baserte systemer som kontrollere, betjeningsenheter og PC-er.

Via en åpen Internettforbindelse kan kriminelle kopiere data, eller foreta endringer i anlegget.

Løsning: kryptert dataoverføring

Automatiseringssystemer skal ikke være tilgjengelige fra Internett. Dette ivaretas i form av en brannmur på Internettilgangen, som begrenser alle innkommende og også utgående trafikk til kun nødvendige og godkjente forbindelser. Alle forbindelser over større avstander skal utføres kryptert, f.eks. gjennom VPN med IPsec.

Infisert programvare som USB-pinne eller laptop kan overføre ondartet programvare til nettverket.

Løsning: sikre porter

Via funksjonen Port Security kan du stille inn direkte på nettverkskomponentene at uønskede enheter ikke skal kunne utveksle data med nettverket. Videre bør du koble ut alle åpne porter som ikke skal benyttes. Enkelte komponenter har i tillegg muligheten til å informere deg om eventuell uberettiget tilgang til nettverket, via SNMP og signalkontakt.

Til tider blir det på avstand foretatt endringer på feil system.

Løsning: sikker fjerntilgang

Sikker fjerntilgang til en eller flere maskiner er mulig med forskjellige teknologiske løsninger. For det første krypteres kommunikasjonen utad, for eksempel via IPsec eller OpenVPN. For det andre kan fjernvedlikehold initieres via en nøkkelbryter på maskinen.

Slik sikrer man at det kun foretas endringer på korrekt maskin. Via nøkkelbryteren kan man samtidig blokkere kommunikasjonsreglene i nettverket så lenge fjernvedlikeholdet pågår.

I forbindelse med brukertilgang brukes det ofte samlepassord. Når personellet forlater bedriften, blir passordene ikke endret, eller tilgangen kobles ikke ut. Dermed er for mange av medarbeiderne kjent med samlepassordet, som kan risikere å misbrukes.

Løsning: sentral brukeradministrering

Via en sentral brukeradministrering, som tildeler hver medarbeider en egen tilgang, kan dette problemet løses. Mange Phoenix Contact enheter støtter implementeringen av en sentral brukerstyring.

Ikke autoriserte Smart Devices tilkobles via WLAN-grensesnittet.

Løsning: sikker tildeling av WLAN-passord

Hvis WLAN-passord er kjent og har vært uforandret over lengre tid, åpner det også for ukontrollert tilgang til maskinens nettverk fra tredjepart. WLAN-komponenter fra Phoenix Contact muliggjør derfor automatisert nøkkelstyring gjennom maskinstyringen. På den måten kan sikre WLAN-maskintilganger helt enkelt implementeres i form av enkeltpassord.

Videre kan WLAN-kommunikasjonen sikres via en demilitarisert sone (DMZ) og isoleres fra resten av nettverket.

Standardkonfigurasjoner i enheter er konstruert slik at komponentene fungerer korrekt og er enkle å sette i drift. Sikkerhetsmekanismer spiller i den sammenheng ofte en underordnet rolle.

Løsning: Device- og patchestyring

Ved administrering av flere enheter kan en smart og effektiv Device- og patchestyring automatisere tidkrevende prosesser og redusere risikoer for feilaktige konfigureringer. Den er til hjelp ved konfigurering, utrulling og administrering av enheter, og reduserer sikkerhets- og Compliance-risikoer grunnet forkortede patche- og oppgraderingssykluser. Med Device- og patchestyring kan du sentralt stille inn og administrere alle sikkerhetsrelevante enhetsinnstillinger, og den er en støtte ved oppgraderinger av Firmware.