Industrial Security – Na ile bezpieczna jest Twoja firma?

Bezpieczeństwo Twojej sieci

Bezpieczeństwo Twojej sieci

Pomożemy Ci w zabezpieczeniu sieci przemysłowych przed dostępem osób nieupoważnionych i szkodliwym oprogramowaniem.

Powrót do Rozwiązania

Kategoria

  • IEC 62443
    IEC 62443

    Zabezpiecz swoją sieć dzięki IEC 62443.

W czasach coraz powszechniejszej cyfryzacji nie ma nic ważniejszego niż ochrona danych – danych osobowych, oraz przede wszystkim danych Twojej firmy. Na całym świecie około 66 procent małych i średnich firm przemysłowych stało się już celem cyberprzestępców. Chociaż wiele firm zdaje sobie sprawę z zagrożeń cyberprzestępczości, to nie są świadome, jak kosztowne mogą być ich konsekwencje dla maszyn i systemów. Industrial IT-Security może zapobiec przestojom, aktom sabotażu i utracie danych, chroniąc w ten sposób produkcję przed wysokimi stratami finansowymi.

Industry 4.0 – Połączenie IT i OT

Różne właściwości bezpieczeństwa IT i ICS  

Porównanie wymogów bezpieczeństwa ICS i IT

Bezpieczeństwo firmy kryje się w dwóch światach: IT (Information Technology) oraz OT (Operational Technology). Aby zapewnić ochronę sieci i systemów w dobie Industry 4.0, konieczne jest uwzględnienie obu tych światów oraz stworzenie kompleksowej koncepcji bezpieczeństwa.

Środki określone przez IT muszą zostać bowiem rozszerzone o dodatkowe rozwiązania w zakresie bezpieczeństwa OT. Należy również uwzględnić różne cele ochrony.

Industrial Security – Ochrona danych dotyczy każdej branży

 
Bezpieczeństwo przemysłowe dotyczy każdej branży

Sieć oferuje duże możliwości, lecz ma również kilka słabych punktów

Korzyści wynikające z rozwoju sieci, np. wzrost wydajności i elastyczności, są oczywiste. Jednak coraz większa powszechność sieci i wynikająca z tego szybka fuzja IT i OT powoduje powstawanie coraz większych obszarów ataku w sieciach firmowych. W efekcie infrastruktura newralgiczna (KRITIS) jest coraz częściej celem wszelkiego rodzaju ataków cybernetycznych: przestępcom coraz częściej udaje się wielokrotnie wykorzystać słabe punkty w IIoT (przemysłowym internecie rzeczy), uzyskując w ten sposób dostęp do zasobów i infrastruktury firmy. Stąd też pojawia się pytanie, jak można tworzyć duże sieci automatyki przemysłowej, chroniąc jednocześnie systemy przemysłowe i KRITIS przed atakami hackerów lub złośliwym oprogramowaniem.

W poniższych punktach omówiono największe zagrożenia i możliwe sposoby ochrony.

Usterki i wirusy, np. z sieci biurowej, mogą być przenoszone bezpośrednio do obszaru produkcji.

Rozwiązanie: Segmentacja sieci

Dzięki podziałowi dużych sieci na mniejsze segmenty można sterować wymianą danych pomiędzy różnymi strefami, np. pomiędzy produkcją a biurem lub między różnymi częściami zakładu. Do segmentacji można użyć VLAN lub zapór sieciowych. Do komunikacji pomiędzy poszczególnymi segmentami sieci mogą służyć routery lub switche trzeciej warstwy. Urządzenia te wychwytują typowe błędy sieci, co chroni przed ich dalszym rozprzestrzenianiem w pozostałej części sieci.

Segmentacja sieci za pomocą routerów mGuard

Często złośliwe oprogramowanie jest skonstruowane w taki sposób, że próbuje rozprzestrzeniać się na inne systemu i atakować je. Przykładem jest złośliwe oprogramowanie WannaCry, które atakowało nieaktualizowane systemy Windows.

Rozwiązanie: Ograniczenie komunikacji

Dzięki zastosowaniu zapór sieciowych można ograniczyć lub zapobiec rozprzestrzenianiu się złośliwego oprogramowania. Jeśli uda się zapobiec komunikacji, która nie jest niezbędna technicznie, wiele ataków nie będzie już możliwych. Ponadto przemysłowe monitorowanie integralności (np. CIM) umożliwia szybkie wykrycie i powstrzymanie zmian i manipulacji w systemach opartych na systemie Windows, np. sterownikach, interfejsach operatorskich i komputerach.

System monitorowania integralności CIFS wykrywa zmiany w sterownikach systemów i umożliwia ich szybkie powstrzymanie

Poprzez otwarte łącze internetowe przestępcy mogą skopiować dane lub dokonać zmian w systemie.

Rozwiązanie: Szyfrowana transmisja danych

Systemy automatyki przemysłowej nie powinny być dostępne z internetu. Umożliwia to zapora sieciowa na łączu internetowym, która ogranicza ruch przychodzący i wychodzący do niezbędnych i dozwolonych połączeń. Wszystkie połączenia powinny być szyfrowane, np. przez VPN z IPsec.

Bezpieczne zdalne serwisowanie dzięki zaporze sieciowej na łączu internetowym

Zainfekowany sprzęt, np. pamięć USB lub laptopy, może wprowadzić złośliwe oprogramowanie do sieci.

Rozwiązanie: Zabezpieczenie portów

Funkcja Port Security umożliwia ustawienie bezpośrednio w urządzeniach sieciowych, aby niepożądane urządzenia nie mogły wymieniać danych z siecią. Ponadto należy wyłączyć wolne, nieużywane porty. Niektóre komponenty oferują dodatkowo możliwość alarmu przez SNMP i zestyk sygnalizacyjny, gdy dojdzie do nieuprawnionego dostępu do sieci.

Wyłączenie portów w urządzeniach sieciowych i alarmowanie przez SNMP

Zdalnie istnieje ryzyko wprowadzenia niezamierzonych zmian w systemie.

Rozwiązanie: Bezpieczny zdalny dostęp

Bezpieczny zdalny dostęp do jednej lub wielu maszyn można realizować przy użyciu różnych rozwiązań technologicznych. Z jednej strony komunikacja zewnętrzna jest szyfrowana, np. przez IPsec lub OpenVPN. Ponadto za pomocą przełącznika kluczykowego w maszynie można zainicjować sesję zdalnego serwisowania.

Można w ten sposób zapewnić, aby zmiany zostały wprowadzone tylko w tej maszynie, w której jest to zamierzone. Jednocześnie za pomocą przełącznika kluczykowego można zablokować reguły komunikacji w sieci na czas sesji zdalnego serwisu.

Sterowanie zdalnym serwisowaniem za pomocą przełącznika kluczykowego

Często do logowania użytkowników używane są hasła zbiorcze. Gdy pracownik odchodzi z firmy, hasła nie są zmieniane lub nie jest wyłączany dostęp. W ten sposób hasło zbiorcze jest znane wielu pracownikom i może dojść do nadużyć.

Rozwiązanie: Centralne zarządzanie użytkownikami

Problem ten można rozwiązać poprzez centralne zarządzanie użytkownikami, które przydziela indywidualny dostęp każdemu pracownikowi. Wiele urządzeń Phoenix Contact obsługuje funkcję centralnego zarządzania użytkownikami.

Centralne zarządzanie użytkownikami z nadawaniem indywidualnych uprawnień

Połączenie nieautoryzowanych urządzeń przez interfejs WLAN

Rozwiązanie: Bezpieczne nadawanie haseł WLAN

Jeśli hasła WLAN są znane i nie są zmieniane przez dłuższy czas, istnieje ryzyko niekontrolowanego dostępu do sieci maszyn przez osoby niepowołane. Dlatego komponenty WLAN firmy Phoenix Contact umożliwiają zautomatyzowane zarządzanie hasłami przez system sterowania maszyny. Umożliwia to łatwą realizację bezpiecznego dostępu do maszyn przez sieć WLAN za pomocą haseł jednorazowych.

Dodatkowo można zabezpieczyć komunikację WLAN za pomocą strefy zdemilitaryzowanej (DMZ), oddzielając ją w ten sposób od reszty sieci.

Bezpieczne połączenie urządzeń mobilnych przy użyciu haseł jednorazowych i strefy zdemilitaryzowanej

Standardowe konfiguracje urządzeń mają na celu zapewnienie prawidłowego działania oraz łatwości uruchamiania komponentów. Mechanizmy bezpieczeństwa odgrywają często rolę drugorzędną.

Rozwiązanie: Zarządzanie urządzeniami i aktualizacjami

W przypadku wielu urządzeń inteligentne i efektywne zarządzanie urządzeniami i aktualizacjami pozwala na automatyzację czasochłonnych procesów i zredukowanie ryzyka niewłaściwej konfiguracji. Funkcja ta pomaga w konfiguracji, implementacji i zarządzaniu urządzeniami, redukując zagrożenie bezpieczeństwa i braku zgodności z przepisami poprzez skrócenie cykli instalacji poprawek i aktualizacji. Funkcja zarządzania urządzeniami i aktualizacjami umożliwia centralne tworzenie i zarządzanie wszystkimi ustawieniami bezpieczeństwa urządzeń oraz stanowi dużą pomoc przy aktualizacji oprogramowania sprzętowego.

Funkcja centralnego zarządzania aktualizacjami i urządzeniami pomaga w konfiguracji, implementacji i zarządzaniu urządzeniami

Bezpieczeństwo 360° – Kompleksowa oferta bez kompromisów

Nasza kompleksowa koncepcja bezpieczeństwa 360°  

Nasza kompleksowa koncepcja bezpieczeństwa 360°

Dobre zabezpieczenie przed atakami cybernetycznymi może się udać wyłącznie pod warunkiem zastosowania dobranych do siebie środków technicznych i organizacyjnych. Dlatego oferujemy bezpieczeństwo 360°, które ułatwia ochronę systemów, zabezpieczając je ze wszystkich stron.

Bezpieczne usługi, rozwiązania i produkty

Bezpieczne usługi
Nasi wykwalifikowani i kompetentni specjaliści ds. bezpieczeństwa doradzą Ci, jak zminimalizować indywidualne zagrożenia bezpieczeństwa w Twoim systemie i w razie potrzeby przygotują koncepcję bezpieczeństwa (certyfikowaną wg IEC 62443-2-4). Ponadto oferujemy różne szkolenia, na których podzielimy się swoją wiedzą w dziedzinie cyberbezpieczeństwa.

Bezpieczne rozwiązania
Nasze koncepcje bezpieczeństwa zapewniają ochronę newralgicznych procesów, np. poprzez koncepcje stref i kontroli przepływu danych oraz zastosowanie wzmacnianych komponentów. Ponadto tworzymy i dokumentujemy bezpieczne procesy.

Bezpieczne produkty
Bezpieczeństwo jest zakotwiczone w całym cyklu życia naszych produktów – od bezpiecznego procesu konstrukcji (certyfikowanego zgodnie z IEC 62443-4-1) i integracji ważnych funkcji bezpieczeństwa, po regularne aktualizacje i poprawki bezpieczeństwa.

Dowiedz się więcej na temat naszego doświadczenia w dziedzinie bezpieczeństwa przemysłowego

Jak wygląda aktualny stan bezpieczeństwa przemysłowego?

Celem listy kontrolnej jest sprawdzenie stanu cyberbezpieczeństwa systemu. Jeśli masz jakiekolwiek pytania lub jeśli odpowiedź na jedno lub więcej pytań brzmiała Nie, skontaktuj się z nami. Służymy pomocą i wsparciem oraz oferujemy odpowiednie usługi i produkty.

PHOENIX CONTACT Sp. z o.o

ul. Bierutowska 57-59
51-317 Wrocław
071/ 39 80 410

Wszystko do sieci przemysłowych

Ekspercka wiedza na temat budowy nowoczesnych sieci produkcyjnych

Wszystko do sieci przemysłowych
Dowiedz się więcej

Automatyka przemysłowa u dystrybutorów

Teraz sprawdzone rozwiązania Phoenix Contact kupisz u autoryzowanego dystrybutora.

Automatyka przemysłowa dostępna u ulubionego dostawcy
Sprawdź