Замок перед об’єднаною в мережу картою світу

Промислова безпека Наскільки захищене ваше підприємство?

В епоху оцифрування немає нічого важливішого за захист даних — ваших особистих і, перш за все, даних вашої компанії. Близько 66 % малих і середніх промислових підприємств у всьому світі вже ставали об’єктами кібератак. Хоча багато компаній знають про загрозу, яка виходить від кіберзлочинів, але вони недооцінюють величину можливих збитків для своїх машин і установок. Промислова ІТ-безпека може запобігати збоям, саботажу або втраті даних і захистити ваше виробництво від значних економічних збитків.

Огляд різних властивостей IT- і ICS-безпеки

Порівняння вимог ICS- і IT-безпеки

Поєднання IT і OT

Безпека вашої компанії розділена між двома сферами: IT (інформаційні технології) і OT (операційні технології). Щоб забезпечити захист ваших мереж і установок в епоху Industrie 4.0, потрібно брати до уваги обидві ці сфери, а також розробити цілісну концепцію безпеки.

Це пов’язано з тим, що заходи, визначені сферою ІТ, потрібно розширювати додатковими рішеннями з безпеки OT, а також потрібно зважати на різні цілі захисту.

Захист даних стосується всіх галузей Натискайте на активні точки, щоб дізнатися більше

Інтерактивна карта зображення: огляд галузей промислової безпеки
Виробник обладнання
Кібербезпека підвищує надійність і експлуатаційну готовність ваших машин. Безпечне віддалене з’єднання також є необхідною умовою для дистанційного технічного обслуговування на території замовника.
Автомобільна галузь
Механізми промислової безпеки забезпечують експлуатаційну готовність ваших виробничих ліній і можуть її навіть підвищити.
Оператор установку
Системи промислової безпеки не тільки забезпечують доступність і надійну роботу ваших промислових установок і процесів, але й захищають ваші виробничі ноу-хау.
Енергія
Компанії енергетичної галузі відіграють важливу роль у базовому забезпеченні людей. З цієї причини законодавство багатьох країн зобов’язує операторів об’єктів критичної інфраструктури захищати свої об’єкти від несанкціонованого доступу.
Водопостачання/водовідведення
Для забезпечення безперебійного постачання питної води й очищення стічних вод забезпечте дистанційний доступ до віддалених насосних і підйомних станцій, захистивши свої системи автоматизації від дедалі частіших кібератак з Інтернету.
Нафтогазова промисловість
Зламана зловмисниками система може швидко призвести не тільки до фінансових втрат, але і стати загрозою безпеці ваших співробітників. У вибухонебезпечних і легкозаймистих зонах промислову безпеку слід розглядати як передумову фізичної безпеки.

Мережева взаємодія надає широкі можливості, але й має також деякі недоліки

Зростання масштабів мережевої взаємодії має очевидні переваги, такі як підвищення продуктивності чи гнучкості. Однак зростання масштабів мережевої взаємодії і, як наслідок, швидке злиття інформаційних технологій (ІТ) і операційних технологій (ОТ) створюють дедалі більше можливостей для атак у корпоративних мережах. Це означає, що критично важливі інфраструктури (KRITIS) також все частіше стають мішенню кібератак всіх видів: зловмисникам неодноразово вдавалося використовувати можливі уразливості у промисловому Інтернеті речей (IIoT) і таким чином отримувати доступ до компаній і інфраструктур. У зв’язку з цим виникає питання про те, як можна об’єднати в мережу великомасштабні середовища автоматизації і одночасно захистити промислові підприємства і KRITIS від хакерських атак і зловмисних програм.

У наведених далі пунктах перелічено найбільші загрози і можливі заходи захисту.

Топологія сегментованої мережі

Рішення: сегментація мережі

Несправності з офісу

Несправності й віруси, наприклад, з офісного середовища, можуть бути перенесені безпосередньо до зони виробництва.

Рішення: сегментація мережі

Завдяки поділу великих мереж на невеликі сегменти можна контролювати обмін даними між різними зонами, наприклад, між виробництвом і офісом або між різними частинами установки. Поділ окремих сегментів може бути виконано за допомогою віртуальних локальних мереж (VLAN) або міжмережевих екранів (брандмауерів). У такому разі для зв’язку між окремими сегментами мережі потрібно використовувати маршрутизатори або комутатори Layer 3. Ці пристрої вловлюють типові мережеві помилки, захищаючи від їхнього поширення решту мережі.

Топологія: моніторинг цілісності CIFS виявляє зміни в контролерах системи і припиняє їх на ранній стадії

Рішення: розмежування обміну даними

Зараження зловмисним програмним забезпеченням

Часто зловмисні програми намагаються поширитися на сусідні системи й заразити їх також. Прикладом може служити зловмисна програма WannaCry, яка заразила системи Windows, які не мали патчей.

Рішення: розмежування обміну даними

Використання брандмауерів може обмежити або запобігти поширенню відповідних зловмисних програм. Якщо виключити всі можливості зв’язку, які не є технічно необхідними, багато атак стають неможливими. Крім того, моніторинг цілісності промислового рівня (наприклад, CIM) допомагає завчасно виявити й локалізувати зміни та сторонні втручання в системах на базі Windows, таких як контролери, інтерфейси оператора чи ПК.

Топологія: безпечне дистанційне технічне обслуговування із брандмауерами на доступ в Інтернет

Рішення: шифрована передача даних

Хакерські атаки

Злочинці можуть копіювати дані або вносити зміни в систему через відкрите Інтернет-з’єднання.

Рішення: шифрована передача даних

Системи автоматизації мають бути недоступні з Інтернету. Це досягається за допомогою брандмауера на виході в Інтернет, який обмежує весь вхідний і вихідний трафік необхідними й авторизованими з’єднаннями. Всі з’єднання дальнього зв’язку мають бути зашифровані, наприклад, за допомогою VPN із IPsec.

Комутатор із відключеними портами

Рішення: захист портів

Інфіковане апаратне забезпечення

Інфіковане обладнання, таке як USB-накопичувачі чи ноутбуки, може переносити шкідливе ПО в мережу.

Рішення: захист портів

За допомогою функції безпеки порту можна безпосередньо на мережевих компонентах налаштувати заборону небажаним учасникам обмінюватися даними з мережею. Крім того, слід відключати вільні порти, у яких немає потреби. Деякі компоненти додатково пропонують можливість аварійної сигналізації через простий протокол керування мережею (SNMP) і сигнальний контакт у разі реєстрації несанкціонованого доступу до мережі.

Топологія: керування дистанційним технічним обслуговуванням за допомогою вимикача з ключем

Рішення: безпечний віддалений доступ

Несанкціонований доступ до установок

Дистанційні зміни помилково вносяться не в ту систему.

Рішення: безпечний віддалений доступ

Безпечний віддалений доступ до однієї або декількох машин може бути реалізований за допомогою різних технологічних рішень. З одного боку, зв’язок із зовнішнім середовищем шифрується, наприклад, через IPsec або OpenVPN. З іншого боку, дистанційне технічне обслуговування може бути ініційоване за допомогою вимикача із ключем на машині.

Це гарантує, що зміни вносяться тільки на ту машину, для якої вони призначені. У той же час, вимикач із ключем може бути використаний для блокування правил зв’язку в мережі на час дистанційного технічного обслуговування.

 Топологія: Безпечна інтеграція мобільних кінцевих пристроїв з одноразовими паролями і демілітаризованої зони

Рішення: безпечне призначенні паролів WLAN

Мобільні термінали

Неавторизовані смарт-пристрої підключаються через інтерфейс WLAN.

Рішення: безпечне призначенні паролів WLAN

Якщо паролі WLAN відомі й залишаються незмінними протягом тривалого часу, це також дає змогу стороннім особам отримати неконтрольований доступ до мережі машин. Таким чином, компоненти WLAN від компанії Phoenix Contact дозволяють автоматизувати управління ключами за допомогою контролера машини. Це дає змогу легко реалізувати безпечний доступ до обладнання WLAN у вигляді одноразових паролів.

Крім того, зв’язок WLAN може бути захищено за допомогою демілітаризованої зони (DMZ) та ізольовано від решти мережі.

Коло безпеки 360°, що складається з безпечних виробів, безпечних послуг і безпечних рішень

Наша комплексна концепція безпеки 360°

Безпека 360° — наша комплексна пропозиція без компромісів

Досягти ефективного захисту від кібератак можна лише за умови використання узгоджених між собою технічних і організаційних заходів. Тому ми пропонуємо пакет повної безпеки 360°, який спрощує захист обладнання з усіх боків:

Безпечні послуги
Наші навчені й компетентні фахівці з безпеки порадять, як мінімізувати індивідуальні ризики безпеки на вашому підприємстві і, якщо потрібно, розроблять концепцію безпеки (сертифіковану відповідно до IEC 62443-2-4). Крім того, ми ділимося своїми знаннями на навчальних курсах, щоб підготувати ваших співробітників до реалізації кібербезпеки.

Безпечні рішення
Наші концепції безпеки захищають ваші критично важливі процеси, наприклад, за допомогою концепції різних зон, контролю потоку даних і використання захищених компонентів. Крім того, здійснюється реалізація й документування безпечних процесів.

Безпечні вироби
Безпека закладена у всьому життєвому циклі наших виробів — від безпечного процесу розробки (сертифікованого відповідно до IEC 62443-4-1) і інтеграції важливих функцій безпеки до регулярних оновлень і виправлень безпеки.