Industrial Security – Насколько защищена ваша компания?

Безопасность сети

Безопасность сети

Мы оказываем поддержку в сфере защиты промышленных сетей от несанкционированного доступа и вредоносных программ.

Вернуться к Решения

Категории

  • МЭК 62443
    МЭК 62443

    Защитите сеть при помощи МЭК 62443.

Во времена цифровизации нет ничего более важного, чем защита данных – персональных и, прежде всего, корпоративных. Около 66 процентов малых и средних промышленных компаний во всем мире подвергались кибератакам. Многие компании хотя и понимают опасность киберпреступности, однако недооценивают размер финансовых последствий для своих машин и установок. Промышленная ИТ-безопасность способна предотвратить отказы, вредительство или потерю данных и таким образом защитить производство от значительного экономического ущерба.

Индустрия 4.0 – взаимодействие ИТ и ОТ

Обзор различных характеристик безопасности ИТ и ICS  

Сравнение требований в области безопасности ICS и ИТ

Безопасность вашей компании затрагивает две области: ИТ (информационные технологии) и ОТ (операционные технологии). Чтобы обеспечить защиту сетей и оборудования в век индустрии 4.0, требуется анализ обеих областей с целью разработки единой концепции безопасности.

Так как необходимо расширить определенные в ИТ меры за счет дополнительных решений в области ОТ безопасности и принять во внимание различные цели защиты.

Industrial Security – защита данных касается любой отрасли

 
Промышленная безопасность касается любой отрасли

Сетевая интеграция предоставляет широкие возможности, но при этом связана с некоторыми уязвимостями

Преимущества роста сетевой интеграции, например, повышение производительности и гибкости, очевидны. Однако растущая сетевая интеграция и связанное с ней быстрое слияние ИТ и ОТ неизбежно ведет к увеличению возможностей для кибератак на корпоративные сети. Таким образом, критические инфраструктуры (KRITIS) также становятся объектом кибератак любого вида: преступникам постоянно удается использовать уязвимые места в IIoT (Industrial Internet of Things), чтобы получить доступ к компаниям и инфраструктурам. В этой связи возникает вопрос, в какой степени можно интегрировать в сети автоматизированные системы так, чтобы при этом защитить промышленное оборудование и KRITIS от хакерских атак и вредоносных программ.

Следующие аспекты дают представление о том, какие существуют самые большие угрозы и возможные меры защиты от них.

Неисправности и вирусы, например, из офисной среды, способны напрямую переходить в среду производства.

Решение: сегментирование сети

Разбиение крупных сетей на мелкие сегменты дает возможность управления обменом данных между отдельными зонами — например, производственной и офисной — или между отдельными частями установки. Отдельные сегменты можно разделить с помощью виртуальных локальных сетей (VLAN) или межсетевых экранов. Для обмена данными между отдельными сегментами сети в этом случае необходимо использовать маршрутизаторы или коммутаторы 3-го уровня. Эти устройства останавливают типичные сетевые ошибки, не давая им распространяться в остальной части сети.

Сегментирование сети при помощи маршрутизаторов mGuard

Часто вредоносное программное обеспечение устроено таким образом, что пытается распространиться на соседние системы и также заразить их. В качестве примера можно привести вредоносную программу WannaCry, которая заражала системы на базе Windows, на которых не был установлен соответствующий патч.

Решение: локализация обмена данными

Использование межсетевых экранов позволяет ограничить и предотвратить распространение соответствующих вредоносных программ. При блокировке всех возможностей обмена данными, которые не имеют технической необходимости, многие атаки становятся невозможными физически. Промышленный мониторинг целостности (например, CIM) дополнительно помогает своевременно выявлять и подавлять изменения и посторонние вмешательства в системах на базе Windows, таких как контроллеры, блоки управления и ПК.

Проверка целостности CIFS обнаруживает изменения в системе управления и своевременно блокирует их

Злоумышленники могут использовать открытое интернет-соединение для копирования данных или внесения изменений в конфигурацию оборудования.

Решение: передача данных с шифрованием

Системы автоматизации должны исключать возможность постороннего доступа через Интернет. Это достигается применением межсетевого экрана, который ограничивает весь входящий и исходящий трафик только необходимыми и разрешенными соединениями. Вся дальняя связь должна осуществляться с шифрованием, например, с помощью VPN с IPsec.

Безопасное дистанционное обслуживание за счет использования межсетевого экрана для доступа к интернету

Вредоносное ПО может проникать в сети через зараженные аппаратные средства, такие как USB-накопители или ноутбуки.

Решение: защита портов

Функция Port Security (защита портов) позволяет настраивать сетевые компоненты так, чтобы нежелательные участники не могли обмениваться данными с сетью. Кроме того, необходимо отключить свободные порты, в которых нет прямой необходимости. Некоторые компоненты дополнительно предлагают возможность извещения пользователя посредством протокола SNMP и сигнального контакта о несанкционированном доступе к сети.

Отключение порта на сетевых компонентах и оповещение при помощи SNMP

Удаленно вносятся случайные изменения в не предназначенную для этого систему.

Решение: безопасный удаленный доступ

Безопасный удаленный доступ к одной или множеству машин может быть реализован с помощью разных технологических решений. Во-первых, возможно шифрование исходящих данных — например, с помощью IPsec или OpenVPN. Во-вторых, можно использовать замок-переключатель на машине для активации ее дистанционного обслуживания.

Тем самым обеспечивается возможность внесения изменений только в ту машину, для которой они предназначены. В то же время замок-переключатель позволяет блокировать правила обмена данными в сети на время дистанционного обслуживания.

Управление режимом дистанционного обслуживания при помощи переключателя с блокировкой

Нередко для доступа пользователей используются общие пароли. Когда тот или иной сотрудник покидает предприятие, на предприятии не производится смена паролей или блокировка логина. То есть общий пароль известен слишком широкому кругу лиц и дает возможности для злоупотребления.

Решение: централизованное управление пользователями

Данная проблема может быть решена применением централизованного управления пользователями, в рамках которого для каждого сотрудника настраивается свой индивидуальный доступ. Многие устройства Phoenix Contact поддерживают интеграцию в централизованную систему управления пользователями.

Централизованная система управления пользователями с функциями распределения прав

Неавторизованные смарт-устройства соединяются с помощью интерфейса WLAN.

Решение: задание безопасных паролей WLAN

Если пароли WLAN известны и долгое время остаются неизменными, это повышает риск неконтролируемого доступа третьих лиц к машинной сети. Поэтому в компонентах WLAN от Phoenix Contact реализована функция автоматизированного управления ключами со стороны машинных контроллеров. Это позволяет создавать безопасные соединения с машинами в сети WLAN с применением одноразовых паролей.

Кроме того, можно защитить обмен данными по WLAN с помощью демилитаризованной зоны (DMZ) и изолировать его от остальной сети.

Безопасное подключение мобильных устройств при помощи одноразовых паролей и DMZ

Стандартные конфигурации устройств рассчитаны на то, что компоненты корректно функционируют и легко вводятся в эксплуатацию. Механизмы безопасности при этом часто имеют подчиненную роль.

Решение: управление устройствами и патчами

При управлении несколькими устройствами интеллектуальная и эффективная система управления устройствами и исправлениями может автоматизировать продолжительные процессы и снизить риск неправильной конфигурации. Система помогает при конфигурировании, развертывании и управлении устройствами и сокращает угрозы безопасности и риски несоответствия за счет уменьшения циклов исправления и обновления. Система управления устройствами и исправлениями позволяет централизованно управлять всеми настройками устройств и помогает при обновлении прошивки.

Централизованная система управления патчами и устройствами помогает в процессе настройки конфигурации, запуска и управления устройствами

Полная безопасность – бескомпромиссное комплексное предложение

Концепция полной безопасности  

Концепция полной безопасности

Хорошая защита от кибератак может стать удачной только в том случае, если используются согласованные между собой технические и организационные меры. Поэтому мы предлагаем пакет полной безопасности, который позволяет упростить задачу защиты оборудования со всех сторон.

Услуги, решения и продукты в области безопасности

Услуги в области безопасности
Специально подготовленные и компетентные специалисты в области безопасности проконсультируют вас о способах минимизации рисков безопасности в вашем оборудовании и при необходимости создадут концепцию безопасности (сертификация согласно МЭК 62443-2-4). Кроме того, мы проведем семинары для ваших сотрудников, чтобы передать им знания в области кибербезопасности.

Решения в области безопасности
Наши концепции в области безопасности обеспечивают защиту критических процессов, например, при помощи концепций зонирования, контроля потока данных и использования усиленных компонентов. Кроме того, выполняется документирование созданных безопасных процессов.

Продукты в области безопасности
Безопасность является важным компонентом в течение всего жизненного цикла наших продуктов – от процесса разработки (сертификация согласно МЭК 62443-4-1) и интеграции важных функций обеспечения безопасности до регулярных обновлений и патчей системы безопасности.

Узнайте больше о нашей концепции промышленной безопасности

Где вы находитель в отношении промышленной безопасности?

Данный список вопросов поможет вам получить общее представление об уровне кибербезопасности используемого вами оборудования. Если у вас остаются вопросы или на некоторые вопросы вы вынуждены дать отрицательный ответ, вы можете обратиться за нашей помощью. Мы проконсультируем вас и предложим подходящие консультации и продукты.

PHOENIX CONTACT - Россия
OOO «Феникс Контакт РУС»

119619, Москва,
Новомещерский проезд, д. 9, стр. 1, пом/ком I/88
+7 (495) 933-85-48

Alles für industrielle Netzwerke

Exklusives Expertenwissen zum Aufbau zukunftssicherer Produktionsnetzwerke

Alles für industrielle Netzwerke
Mehr erfahren