Промышленная безопасность Насколько защищена ваша компания?
Во времена цифровизации нет ничего более важного, чем защита данных – персональных и, прежде всего, корпоративных. Около 66 % малых и средних промышленных компаний во всем мире подвергались кибератакам. Многие компании хотя и понимают опасность киберпреступности, однако недооценивают размер финансовых последствий для своих машин и установок. Промышленная ИТ-безопасность способна предотвратить отказы, вредительство или потерю данных и таким образом защитить производство от значительного экономического ущерба.
Сравнение требований в области безопасности ICS и ИТ
Взаимодействие ИТ и ОТ
Безопасность вашей компании затрагивает две области: ИТ (информационные технологии) и ОТ (операционные технологии). Чтобы обеспечить защиту сетей и оборудования в век индустрии 4.0, требуется анализ обеих областей с целью разработки единой концепции безопасности.
Так как необходимо расширить определенные в ИТ меры за счет дополнительных решений в области ОТ безопасности и принять во внимание различные цели защиты.
Защита данных касается любой отрасли Нажмите на активный участок, чтобы узнать подробности
Сетевая интеграция предоставляет широкие возможности, но при этом связана с некоторыми уязвимостями
Преимущества роста сетевой интеграции, например, повышение производительности и гибкости, очевидны. Однако растущая сетевая интеграция и связанное с ней быстрое слияние ИТ и ОТ ведет к увеличению возможностей для кибератак на корпоративные сети. Таким образом, критические инфраструктуры (KRITIS) также становятся объектом кибератак любого вида: преступникам постоянно удается использовать уязвимые места в IIoT (Industrial Internet of Things), чтобы получить доступ к компаниям и инфраструктурам. В этой связи возникает вопрос, в какой степени можно интегрировать в сети автоматизированные системы так, чтобы при этом защитить промышленное оборудование и KRITIS от хакерских атак и вредоносных программ.
Следующие аспекты дают представление о том, какие существуют самые большие угрозы и возможные меры защиты от них.
Решение: сегментирование сети
Неисправности из офиса
Неисправности и вирусы, например, из офисной среды, способны напрямую переходить в среду производства.
Решение: сегментирование сети
Разбиение крупных сетей на мелкие сегменты позволяет управлять обменом данными между отдельными зонами, например: производством и офисом, или между отдельными частями установки. Отдельные сегменты можно разделить с помощью виртуальных локальных сетей (VLAN) или межсетевых экранов. Для обмена данными между отдельными сегментами сети в этом случае необходимо использовать маршрутизаторы или коммутаторы 3-го уровня. Эти устройства останавливают типичные сетевые ошибки, не давая им распространяться в остальной части сети.
Решение: локализация обмена данными
Заражение вредоносными программами
Часто вредоносная программа устроена таким образом, что пытается распространиться на соседние системы и также заразить их. В качестве примера можно привести вредоносную программу WannaCry, которая заражала системы на базе Windows, на которых не был установлен соответствующий патч.
Решение: локализация обмена данными
Использование межсетевых экранов позволяет ограничить и предотвратить распространение соответствующих вредоносных программ. При блокировке всех возможностей обмена данными, которые не имеют технической необходимости, многие атаки становятся невозможными физически. Промышленная проверка целостности (например, CIM) дополнительно помогает своевременно выявлять и подавлять изменения и посторонние вмешательства в системах на базе Windows, таких как контроллеры, блоки управления и ПК.
Решение: передача данных с шифрованием
Хакерские атаки
Злоумышленники могут использовать открытое интернет-соединение для копирования данных или внесения изменений в конфигурацию оборудования.
Решение: передача данных с шифрованием
Системы автоматизации должны исключать возможность постороннего доступа через Интернет. Это достигается применением межсетевого экрана, который ограничивает весь входящий и исходящий трафик только необходимыми и разрешенными соединениями. Вся дальняя связь должна осуществляться с шифрованием, например, с помощью VPN и IPsec.
Решение: защита портов
Заражение аппаратного обеспечения
Вредоносная программа может проникать в сети через зараженные аппаратные средства, такие как USB-накопители или ноутбуки.
Решение: защита портов
Функция Port Security (защита портов) позволяет настраивать сетевые компоненты так, чтобы нежелательные участники не могли обмениваться данными с сетью. Кроме того, необходимо отключить свободные порты, в которых нет прямой необходимости. Некоторые компоненты дополнительно предлагают возможность оповещения пользователя посредством протокола SNMP и сигнального контакта о несанкционированном доступе к сети.
Решение: безопасный удаленный доступ
Несанкционированный доступ к установкам
Удаленно вносятся случайные изменения в не предназначенную для этого систему.
Решение: безопасный удаленный доступ
Безопасный удаленный доступ к одной или множеству машин может быть реализован с помощью разных технологических решений. Во-первых, возможно шифрование исходящих данных, например, с помощью IPsec или OpenVPN. Во-вторых, можно использовать переключатель с блокировкой на машине для активации ее дистанционного обслуживания.
Тем самым обеспечивается возможность внесения изменений только в ту машину, для которой они предназначены. В то же время переключатель с блокировкой позволяет блокировать правила обмена данными в сети на время дистанционного обслуживания.
Решение: задание безопасных паролей WLAN
Мобильные оконечные устройства
Неавторизованные смарт-устройства соединяются с помощью интерфейса WLAN.
Решение: задание безопасных паролей WLAN
Если пароли WLAN известны и долгое время остаются неизменными, это повышает риск неконтролируемого доступа третьих лиц к машинной сети. Поэтому в компонентах WLAN Phoenix Contact реализована функция автоматизированного управления ключами со стороны машинных контроллеров. Это позволяет создавать безопасные соединения с машинами в сети WLAN с применением одноразовых паролей.
Кроме того, можно защитить обмен данными по WLAN с помощью демилитаризованной зоны (DMZ) и изолировать его от остальной сети.
Концепция полной безопасности 360°
Безопасность 360° – бескомпромиссное комплексное предложение
Хорошая защита от кибератак может стать удачной только в том случае, если используются согласованные между собой технические и организационные меры. Поэтому мы предлагаем пакет безопасности 360°, который позволяет упростить задачу защиты оборудования со всех сторон:
Услуги в области безопасности
Специально подготовленные и компетентные специалисты в области безопасности проконсультируют вас о способах минимизации рисков безопасности в оборудовании и при необходимости создадут концепцию безопасности (сертификация согласно МЭК 62443-2-4). Кроме того, мы проведем семинары для ваших сотрудников, чтобы передать им знания в области кибербезопасности.
Безопасные решения
Наши концепции в области безопасности обеспечивают защиту критических процессов, например, при помощи концепций зонирования, контроля потока данных и использования усиленных компонентов. Кроме того, выполняется документирование созданных безопасных процессов.
Безопасные изделия
Безопасность является важным компонентом в течение всего жизненного цикла наших продуктов – от процесса разработки (сертификация согласно МЭК 62443-4-1) и интеграции важных функций обеспечения безопасности до регулярных обновлений и патчей системы безопасности.