Segurança industrial Quão segura é a sua empresa?

As avarias e os vírus, por ex., do ambiente Office, podem ser transmitidos diretamente para a área de produção.

Solução: segmentação de rede

Ao dividir redes de grandes dimensões em pequenos segmentos, é possível controlar a troca de dados entre as diferentes zonas, por ex., entre a área de produção e o escritório ou entre as diferentes partes do sistema. A separação dos segmentos individuais pode ser realizada com a ajuda de VLAN ou firewalls. Para a comunicação entre cada segmento da rede devem ser utilizados routers ou switches Layer 3. Estes dispositivos detetam erros de rede típicos para que estes não consigam se propagar na rede.

O software maligno é frequentemente concebido de forma a tentar alastrar-se aos sistemas vizinhos, infetando-os. Um exemplo é o software maligno WannaCry que infetou sistemas Windows sem patch.

Solução: limitação da comunicação

Através da utilização de firewalls é possível limitar ou impedir a propagação do respetivo software maligno. Se forem impedidas todas as possibilidades de comunicação que não sejam tecnicamente necessárias, muitos dos ataques deixam de ser possíveis. Adicionalmente, uma monitorização da integridade adequada para a indústria (por ex., CIM) permite detetar antecipadamente e conter alterações e manipulações em sistemas baseados em Windows, como controladores, unidades de comando ou PC.

Através de uma ligação à Internet aberta, os criminosos podem fazer uma cópia dos dados ou efetuar alterações à instalação.

Solução: transmissão de dados encriptada

Os sistemas de automação não devem estar acessíveis através da Internet. Isto é conseguido através de uma firewall no acesso à Internet, a qual restringe todo o tráfego de entrada, mas também de saída, às ligações necessárias e permitidas. Todas as ligações de longa distância devem ser realizadas de forma encriptada, por ex., via VPN com IPsec.

Hardware infetado, como uma pen USB ou um computador portátil, pode transmitir software maligno à rede.

Solução: proteger as portas

Através da função Port Security, pode definir diretamente nos componentes da sua rede que não é permitida a troca de dados de participantes indesejados com a rede. Além disso, deve desativar as portas livres que não serão necessárias. Alguns componentes oferecem ainda a opção de ser avisado via SNMP e contacto de sinal quando é registado um acesso indesejado à rede.

Alterações acidentais realizadas remotamente no sistema errado.

Solução: acesso remoto mais seguro

O acesso remoto seguro a uma ou várias máquinas pode ser conseguido através de diferentes soluções tecnológicas. Por um lado, a comunicação com o exterior é encriptada, por ex., através de IPsec ou OpenVPN. Por outro lado, a manutenção remota pode ser iniciada através de um interruptor de chave na máquina.

Assim, é garantido que são efetuadas na máquina apenas as alterações previstas para a mesma. Em simultâneo, através do interruptor de chave é possível bloquear as regras de comunicação na rede no período da manutenção remota.

Dispositivos inteligentes não autorizados ligam-se através da interface WLAN.

Solução: atribuição segura de palavra-passe WLAN

Se as palavras-passe WLAN forem divulgadas e permanecerem inalteradas durante muito tempo, daqui pode resultar um acesso não controlado de terceiros à rede da máquina. Por isso, os componentes WLAN da Phoenix Contact permitem uma gestão automatizada das palavras-passe através do controlador da máquina. Assim, é possível criar facilmente acessos seguros WLAN na forma de palavras-passe únicas.

Adicionalmente, a comunicação WLAN pode ser protegida através de uma zona desmilitarizada (DMZ) e isolada da restante rede.