Industrial Security Na ile bezpieczna jest Twoja firma?

Usterki i wirusy, np. z sieci biurowej, mogą być przenoszone bezpośrednio do obszaru produkcji.

Rozwiązanie: segmentacja sieci

Dzięki podziałowi dużych sieci na mniejsze segmenty można sterować wymianą danych pomiędzy różnymi strefami, np. pomiędzy produkcją a biurem lub między różnymi częściami zakładu. Do segmentacji można użyć VLAN lub zapór sieciowych. Do komunikacji pomiędzy poszczególnymi segmentami sieci mogą służyć routery lub switche trzeciej warstwy. Urządzenia te wychwytują typowe błędy sieci, co chroni przed ich dalszym rozprzestrzenianiem w pozostałej części sieci.

Często złośliwe oprogramowanie jest skonstruowane w taki sposób, że próbuje rozprzestrzeniać się na inne systemu i atakować je. Przykładem jest złośliwe oprogramowanie WannaCry, które atakowało nieaktualizowane systemy Windows.

Rozwiązanie: ograniczenie komunikacji

Dzięki zastosowaniu zapór sieciowych można ograniczyć lub zapobiec rozprzestrzenianiu się złośliwego oprogramowania. Jeśli uda się zapobiec komunikacji, która nie jest niezbędna technicznie, wiele ataków nie będzie już możliwych. Ponadto przemysłowe monitorowanie integralności (np. CIM) umożliwia szybkie wykrycie i powstrzymanie zmian i manipulacji w systemach opartych na systemie Windows, np. sterownikach, interfejsach operatorskich i komputerach.

Poprzez otwarte łącze internetowe przestępcy mogą skopiować dane lub dokonać zmian w systemie.

Rozwiązanie: szyfrowana transmisja danych

Systemy automatyki przemysłowej nie powinny być dostępne z internetu. Umożliwia to zapora sieciowa na łączu internetowym, która ogranicza ruch przychodzący i wychodzący do niezbędnych i dozwolonych połączeń. Wszystkie połączenia powinny być szyfrowane, np. przez VPN z IPsec.

Zainfekowany sprzęt, np. pamięć USB lub laptopy, może wprowadzić złośliwe oprogramowanie do sieci.

Rozwiązanie: zabezpieczenie portów

Funkcja Port Security umożliwia ustawienie bezpośrednio w urządzeniach sieciowych, aby niepożądane urządzenia nie mogły wymieniać danych z siecią. Ponadto należy wyłączyć wolne, nieużywane porty. Niektóre komponenty oferują dodatkowo możliwość alarmu przez protokół SNMP i zestyk sygnalizacyjny, gdy dojdzie do nieuprawnionego dostępu do sieci.

Zdalnie istnieje ryzyko wprowadzenia niezamierzonych zmian w systemie.

Rozwiązanie: bezpieczny zdalny dostęp

Bezpieczny zdalny dostęp do jednej lub wielu maszyn można realizować przy użyciu różnych rozwiązań technologicznych. Z jednej strony komunikacja zewnętrzna jest szyfrowana, np. przez IPsec lub OpenVPN. Ponadto za pomocą przełącznika kluczykowego w maszynie można zainicjować sesję zdalnego serwisowania.

Można w ten sposób zapewnić, aby zmiany zostały wprowadzone tylko w tej maszynie, w której jest to zamierzone. Jednocześnie za pomocą przełącznika kluczykowego można zablokować reguły komunikacji w sieci na czas sesji zdalnego serwisu.

Połączenie nieautoryzowanych urządzeń przez interfejs WLAN

Rozwiązanie: bezpieczne nadawanie haseł WLAN

Jeśli hasła WLAN są znane i nie są zmieniane przez dłuższy czas, istnieje ryzyko niekontrolowanego dostępu do sieci maszyn przez osoby niepowołane. Dlatego komponenty WLAN firmy Phoenix Contact umożliwiają zautomatyzowane zarządzanie hasłami przez system sterowania maszyny. Umożliwia to łatwą realizację bezpiecznego dostępu do maszyn przez sieć WLAN za pomocą haseł jednorazowych.

Dodatkowo można zabezpieczyć komunikację WLAN za pomocą strefy zdemilitaryzowanej (DMZ), oddzielając ją w ten sposób od reszty sieci.