Industrial Security Hur säkert är ditt företag?

Störningar och virus, t.ex. från Office-miljön, kan överföras direkt till produktionsområdet.

Lösning: nätverkssegmentering

Genom att dela upp stora nätverk i mindre segment kan datautbytet styras mellan de olika zonerna, t.ex. mellan produktion och Office eller mellan olika delar av anläggningen. De enskilda segmenten kan separeras med VLAN eller brandväggar. Därför måste en router eller Layer-3-switchar användas för kommunikationen mellan de enskilda nätverkssegmenten. Dessa enheter fångar upp typiska nätverksfel så att de inte kan sprida sig i det övriga nätverket.

Skadlig programvara är ofta designad så att den försöker att sprida sig till intilliggande system och även infektera dessa. Ett exempel på detta är den skadliga programvaran WannaCry som infekterade opatchade Windows-system.

Lösning: en avgränsning av kommunikationen

Genom användning av brandväggar kan spridningen av liknande skadlig programvara begränsas eller förhindras. Om alla kommunikationsmöjligheter som inte är tekniskt nödvändiga hindras, är många angrepp inte längre möjliga. Dessutom används en industrikompatibel integrity monitoring (t.ex. CIM) för att snabbt detektera och blockera förändringar och manipulation av Windows-baserade system som t.ex. styrsystem, operatörsenheter eller PC.

Kriminella personer kan kopiera data via en öppen internetförbindelse, eller utföra ändringar på anläggningen.

Lösning: krypterad dataöverföring

Automationssystem bör inte vara tillgängliga via internet. Detta förhindras genom en brandvägg för internetåtkomsten, som begränsar all ingående samt utgående trafik till nödvändiga och godkända förbindelser. Alla långdistansförbindelser bör genomföras krypterat, t.ex. via VPN med IPsec.

Infekterad maskinvara, som USB-minnen eller bärbara datorer, kan överföra skadlig programvara till nätverket.

Lösning: säkra portarna

Via funktionen Port Security kan du direkt på nätverkskomponenterna ställa in att oönskade enheter inte får utbyta data med nätverket. Dessutom ska lediga portar som inte behövs kopplas från. Några komponenter ger även möjlighet till larmning via SNMP och signalkontakter vid registrering av obehörig åtkomst till nätverket.

På distans genomförs av misstag ändringar i fel system.

Lösning: säker fjärråtkomst

En säker fjärråtkomst till en eller flera maskiner kan realiseras med olika tekniska lösningar. Kommunikationen krypteras utåt t.ex. via IPsec eller OpenVPN. Och fjärrövervakningen initieras via en nyckelbrytare på maskinen.

På så sätt säkerställer man att det endast utförs ändringar på den avsedda maskinen. Samtidigt kan nätverkets kommunikationsreglage blockeras via nyckelbrytaren under tidpunkten för fjärrövervakningen.

Ej auktoriserade smarta enheter förbinds via WLAN-gränssnitt.

Lösning: säker WLAN-lösenordstilldelning

Om WLAN-lösenorden är kända och om de inte ändrats under en längre tid, möjliggör detta även okontrollerad åtkomst till maskinnätverket för tredje part. WLAN-komponenter från Phoenix Contact möjliggör därför en automatiserad nyckelhantering genom maskinstyrning. På så sätt realiseras säkra WLAN-maskinåtkomster enkelt i form av engångslösenord.

Dessutom säkras WLAN-kommunikation via en demilitariserad zon (DMZ) och isoleras från det övriga nätverket.