Промышленная безопасность Насколько защищена ваша компания?

Неисправности и вирусы, например, из офисной среды, способны напрямую переходить в среду производства.

Решение: сегментирование сети

Разбиение крупных сетей на мелкие сегменты позволяет управлять обменом данными между отдельными зонами, например: производством и офисом, или между отдельными частями установки. Отдельные сегменты можно разделить с помощью виртуальных локальных сетей (VLAN) или межсетевых экранов. Для обмена данными между отдельными сегментами сети в этом случае необходимо использовать маршрутизаторы или коммутаторы 3-го уровня. Эти устройства останавливают типичные сетевые ошибки, не давая им распространяться в остальной части сети.

Часто вредоносная программа устроена таким образом, что пытается распространиться на соседние системы и также заразить их. В качестве примера можно привести вредоносную программу WannaCry, которая заражала системы на базе Windows, на которых не был установлен соответствующий патч.

Решение: локализация обмена данными

Использование межсетевых экранов позволяет ограничить и предотвратить распространение соответствующих вредоносных программ. При блокировке всех возможностей обмена данными, которые не имеют технической необходимости, многие атаки становятся невозможными физически. Промышленная проверка целостности (например, CIM) дополнительно помогает своевременно выявлять и подавлять изменения и посторонние вмешательства в системах на базе Windows, таких как контроллеры, блоки управления и ПК.

Злоумышленники могут использовать открытое интернет-соединение для копирования данных или внесения изменений в конфигурацию оборудования.

Решение: передача данных с шифрованием

Системы автоматизации должны исключать возможность постороннего доступа через Интернет. Это достигается применением межсетевого экрана, который ограничивает весь входящий и исходящий трафик только необходимыми и разрешенными соединениями. Вся дальняя связь должна осуществляться с шифрованием, например, с помощью VPN и IPsec.

Вредоносная программа может проникать в сети через зараженные аппаратные средства, такие как USB-накопители или ноутбуки.

Решение: защита портов

Функция Port Security (защита портов) позволяет настраивать сетевые компоненты так, чтобы нежелательные участники не могли обмениваться данными с сетью. Кроме того, необходимо отключить свободные порты, в которых нет прямой необходимости. Некоторые компоненты дополнительно предлагают возможность оповещения пользователя посредством протокола SNMP и сигнального контакта о несанкционированном доступе к сети.

Удаленно вносятся случайные изменения в не предназначенную для этого систему.

Решение: безопасный удаленный доступ

Безопасный удаленный доступ к одной или множеству машин может быть реализован с помощью разных технологических решений. Во-первых, возможно шифрование исходящих данных, например, с помощью IPsec или OpenVPN. Во-вторых, можно использовать переключатель с блокировкой на машине для активации ее дистанционного обслуживания.

Тем самым обеспечивается возможность внесения изменений только в ту машину, для которой они предназначены. В то же время переключатель с блокировкой позволяет блокировать правила обмена данными в сети на время дистанционного обслуживания.

Неавторизованные смарт-устройства соединяются с помощью интерфейса WLAN.

Решение: задание безопасных паролей WLAN

Если пароли WLAN известны и долгое время остаются неизменными, это повышает риск неконтролируемого доступа третьих лиц к машинной сети. Поэтому в компонентах WLAN Phoenix Contact реализована функция автоматизированного управления ключами со стороны машинных контроллеров. Это позволяет создавать безопасные соединения с машинами в сети WLAN с применением одноразовых паролей.

Кроме того, можно защитить обмен данными по WLAN с помощью демилитаризованной зоны (DMZ) и изолировать его от остальной сети.