Замок на фоне карты мира с сетевой интеграцией

Промышленная безопасность Насколько защищена ваша компания?

Во времена цифровизации нет ничего более важного, чем защита данных – персональных и, прежде всего, корпоративных. Около 66 % малых и средних промышленных компаний во всем мире подвергались кибератакам. Многие компании хотя и понимают опасность киберпреступности, однако недооценивают размер финансовых последствий для своих машин и установок. Промышленная ИТ-безопасность способна предотвратить отказы, вредительство или потерю данных и таким образом защитить производство от значительного экономического ущерба.

Обзор различных характеристик безопасности ИТ и ICS

Сравнение требований в области безопасности ICS и ИТ

Взаимодействие ИТ и ОТ

Безопасность вашей компании затрагивает две области: ИТ (информационные технологии) и ОТ (операционные технологии). Чтобы обеспечить защиту сетей и оборудования в век индустрии 4.0, требуется анализ обеих областей с целью разработки единой концепции безопасности.

Так как необходимо расширить определенные в ИТ меры за счет дополнительных решений в области ОТ безопасности и принять во внимание различные цели защиты.

Защита данных касается любой отрасли Нажмите на активный участок, чтобы узнать подробности

Интерактивная карта изображений: обзор систем безопасности в промышленных отраслях
Предприятия машиностроения
Кибербезопасность повышает надежность и готовность машин. Кроме того, для дистанционного обслуживания клиентского оборудования требуется надежное удаленное соединение.
Автомобильная промышленность
Механизмы обеспечения промышленной безопасности поддерживают готовность производственных линий и даже способны повысить ее.
Пользователи комплексного оборудования
Industrial Security не только обеспечивает готовность и надежность функционирования промышленного оборудования и процессов, но и защищает производственные ноу-хау.
Энергия
Предприятия энергетической отрасли играют важную роль в обеспечении основных потребностей человека. В связи с этим законодатели многих стран обязывают операторов критических инфраструктур защищать свое оборудование от несанкционированного доступа.
Вода и сточные воды
Чтобы обеспечить стабильность подачи питьевой воды и очистку сточных вод, необходимо защитить удаленный доступ к децентрализованным насосным и подъемным станциям, а также системы автоматизации от всё более частых кибератак через интернет.
Нефтяная и газовая отрасль
Взломанное оборудование может быстро стать не только причиной финансовых потерь, но и стать источником угрозы для безопасности сотрудников. Промышленную безопасность следует рассматривать как необходимое условие безопасности в областях, в которых используются взрывоопасные и легковоспламеняющиеся вещества.

Сетевая интеграция предоставляет широкие возможности, но при этом связана с некоторыми уязвимостями

Преимущества роста сетевой интеграции, например, повышение производительности и гибкости, очевидны. Однако растущая сетевая интеграция и связанное с ней быстрое слияние ИТ и ОТ ведет к увеличению возможностей для кибератак на корпоративные сети. Таким образом, критические инфраструктуры (KRITIS) также становятся объектом кибератак любого вида: преступникам постоянно удается использовать уязвимые места в IIoT (Industrial Internet of Things), чтобы получить доступ к компаниям и инфраструктурам. В этой связи возникает вопрос, в какой степени можно интегрировать в сети автоматизированные системы так, чтобы при этом защитить промышленное оборудование и KRITIS от хакерских атак и вредоносных программ.

Следующие аспекты дают представление о том, какие существуют самые большие угрозы и возможные меры защиты от них.

Топология сегментированной сети

Решение: сегментирование сети

Неисправности из офиса

Неисправности и вирусы, например, из офисной среды, способны напрямую переходить в среду производства.

Решение: сегментирование сети

Разбиение крупных сетей на мелкие сегменты позволяет управлять обменом данными между отдельными зонами, например: производством и офисом, или между отдельными частями установки. Отдельные сегменты можно разделить с помощью виртуальных локальных сетей (VLAN) или межсетевых экранов. Для обмена данными между отдельными сегментами сети в этом случае необходимо использовать маршрутизаторы или коммутаторы 3-го уровня. Эти устройства останавливают типичные сетевые ошибки, не давая им распространяться в остальной части сети.

Топология: проверка целостности CIFS обнаруживает изменения в системе управления и своевременно блокирует их

Решение: локализация обмена данными

Заражение вредоносными программами

Часто вредоносная программа устроена таким образом, что пытается распространиться на соседние системы и также заразить их. В качестве примера можно привести вредоносную программу WannaCry, которая заражала системы на базе Windows, на которых не был установлен соответствующий патч.

Решение: локализация обмена данными

Использование межсетевых экранов позволяет ограничить и предотвратить распространение соответствующих вредоносных программ. При блокировке всех возможностей обмена данными, которые не имеют технической необходимости, многие атаки становятся невозможными физически. Промышленная проверка целостности (например, CIM) дополнительно помогает своевременно выявлять и подавлять изменения и посторонние вмешательства в системах на базе Windows, таких как контроллеры, блоки управления и ПК.

Топология: безопасное дистанционное обслуживание при помощи межсетевого экрана для доступа в интернет

Решение: передача данных с шифрованием

Хакерские атаки

Злоумышленники могут использовать открытое интернет-соединение для копирования данных или внесения изменений в конфигурацию оборудования.

Решение: передача данных с шифрованием

Системы автоматизации должны исключать возможность постороннего доступа через Интернет. Это достигается применением межсетевого экрана, который ограничивает весь входящий и исходящий трафик только необходимыми и разрешенными соединениями. Вся дальняя связь должна осуществляться с шифрованием, например, с помощью VPN и IPsec.

Коммутатор с отключенными портами

Решение: защита портов

Заражение аппаратного обеспечения

Вредоносная программа может проникать в сети через зараженные аппаратные средства, такие как USB-накопители или ноутбуки.

Решение: защита портов

Функция Port Security (защита портов) позволяет настраивать сетевые компоненты так, чтобы нежелательные участники не могли обмениваться данными с сетью. Кроме того, необходимо отключить свободные порты, в которых нет прямой необходимости. Некоторые компоненты дополнительно предлагают возможность оповещения пользователя посредством протокола SNMP и сигнального контакта о несанкционированном доступе к сети.

Топология: управление системой дистанционного обслуживания при помощи переключателя с блокировкой

Решение: безопасный удаленный доступ

Несанкционированный доступ к установкам

Удаленно вносятся случайные изменения в не предназначенную для этого систему.

Решение: безопасный удаленный доступ

Безопасный удаленный доступ к одной или множеству машин может быть реализован с помощью разных технологических решений. Во-первых, возможно шифрование исходящих данных, например, с помощью IPsec или OpenVPN. Во-вторых, можно использовать переключатель с блокировкой на машине для активации ее дистанционного обслуживания.

Тем самым обеспечивается возможность внесения изменений только в ту машину, для которой они предназначены. В то же время переключатель с блокировкой позволяет блокировать правила обмена данными в сети на время дистанционного обслуживания.

 Топология: безопасное подключение мобильных устройств при помощи одноразовых паролей и DMZ

Решение: задание безопасных паролей WLAN

Мобильные оконечные устройства

Неавторизованные смарт-устройства соединяются с помощью интерфейса WLAN.

Решение: задание безопасных паролей WLAN

Если пароли WLAN известны и долгое время остаются неизменными, это повышает риск неконтролируемого доступа третьих лиц к машинной сети. Поэтому в компонентах WLAN Phoenix Contact реализована функция автоматизированного управления ключами со стороны машинных контроллеров. Это позволяет создавать безопасные соединения с машинами в сети WLAN с применением одноразовых паролей.

Кроме того, можно защитить обмен данными по WLAN с помощью демилитаризованной зоны (DMZ) и изолировать его от остальной сети.

Контур безопасности 360°, состоящий из безопасных продуктов, услуг и решений

Концепция полной безопасности 360°

Безопасность 360° – бескомпромиссное комплексное предложение

Хорошая защита от кибератак может стать удачной только в том случае, если используются согласованные между собой технические и организационные меры. Поэтому мы предлагаем пакет безопасности 360°, который позволяет упростить задачу защиты оборудования со всех сторон:

Услуги в области безопасности
Специально подготовленные и компетентные специалисты в области безопасности проконсультируют вас о способах минимизации рисков безопасности в оборудовании и при необходимости создадут концепцию безопасности (сертификация согласно МЭК 62443-2-4). Кроме того, мы проведем семинары для ваших сотрудников, чтобы передать им знания в области кибербезопасности.

Безопасные решения
Наши концепции в области безопасности обеспечивают защиту критических процессов, например, при помощи концепций зонирования, контроля потока данных и использования усиленных компонентов. Кроме того, выполняется документирование созданных безопасных процессов.

Безопасные изделия
Безопасность является важным компонентом в течение всего жизненного цикла наших продуктов – от процесса разработки (сертификация согласно МЭК 62443-4-1) и интеграции важных функций обеспечения безопасности до регулярных обновлений и патчей системы безопасности.