Segurança industrial Quão segura está sua empresa?

Falhas e vírus, p. ex., do ambiente Office, podem ser transmitidos diretamente para a área de produção.

Solução: segmentação de redes

Através da divisão das redes de grande dimensão em pequenos segmentos, é possível controlar a troca de dados entre as diversas zonas, p. ex., entre a produção e o Office ou entre diversas partes da instalação. A separação de cada um dos segmentos pode ser realizada com a ajuda de VLANs ou firewalls. Para a comunicação entre os vários segmentos da rede é então necessário utilizar roteadores ou switches Layer 3. Esses dispositivos interceptam erros de rede típicos para que não se possam propagar na restante rede.

É frequente que o malware seja concebido para tentar se propagar para os sistemas adjacentes e os infetar também. Exemplo disso é o malware WannaCry que infetou sistemas Windows sem patches.

Solução: limitação da comunicação

Através da utilização de firewalls é possível limitar ou prevenir a propagação do malware. Se forem impedidas todas as possibilidades de comunicação que não sejam tecnicamente necessárias, muitos ataques deixam de ser possíveis. Adicionalmente, um Integrity Monitoring (p. ex., CIM) apto para a indústria ajuda a detectar e conter atempadamente alterações e manipulações em sistemas baseados em Windows como controladores, unidades de operação ou PCs.

Através de uma conexão à Internet aberta, os criminosos conseguem copiar dados ou efetuar alterações na instalação.

Solução: transmissão de dados encriptada

Os sistemas de automação não devem ser acessíveis a partir da Internet. Isso se consegue através de um firewall no acesso à Internet, que restringe todo o tráfego de entrada e de saída a conexões necessárias e autorizadas. Todas as conexões de longa distância devem ser realizadas de modo encriptado, p. ex., através de VPN com IPsec.

Hardware infetado, como laptops ou um stick USB, pode transferir malware para a rede.

Solução: proteger portas

Através da função Port Security você pode definir diretamente no seu componente de rede que não permite a troca de dados entre participantes indesejados e a rede. Além do mais, as portas livres que não são necessárias devem ser desativadas. Alguns componentes oferecem adicionalmente a possibilidade de notificação através de SNMP e contato de sinal quando um acesso não autorizado à rede é registrado.

A partir de um acesso remoto são acidentalmente efetuadas alterações no sistema errado.

Solução: acesso remoto seguro

O acesso remoto seguro a uma ou várias máquinas pode ser implementado com diversas soluções tecnológicas. Por um lado, a comunicação é encriptada a partir de fora, p. ex., através de IPsec ou OpenVPN. Por outro lado, é possível iniciar a manutenção remota através de um interruptor de chave na máquina.

Assim fica assegurado que somente serão realizadas alterações na máquina onde isso é suposto acontecer. Simultaneamente, através do interruptor de chave é possível bloquear as regras de comunicação na rede pelo período da manutenção remota.

Dispositivos inteligentes não autorizados se conectam através da interface WLAN.

Solução: atribuição de senha WLAN segura

Se as senhas WLAN forem conhecidas e não forem alteradas durante muito tempo, isso também possibilita um acesso não controlado de terceiros à rede de máquinas. Os componentes WLAN da Phoenix Contact possibilitam um gerenciamento de chaves automatizado através do controlador de máquinas. Assim é fácil implementar acessos WLAN seguros a máquinas sob a forma de senhas de uso único.

Adicionalmente, é possível proteger a comunicação WLAN através de uma zona desmilitarizada (DMZ) e isolá-la da restante rede.