Промислова безпека Наскільки захищене ваше підприємство?
В епоху оцифрування немає нічого важливішого за захист даних — ваших особистих і, перш за все, даних вашої компанії. Близько 66 % малих і середніх промислових підприємств у всьому світі вже ставали об’єктами кібератак. Хоча багато компаній знають про загрозу, яка виходить від кіберзлочинів, але вони недооцінюють величину можливих збитків для своїх машин і установок. Промислова ІТ-безпека може запобігати збоям, саботажу або втраті даних і захистити ваше виробництво від значних економічних збитків.
Порівняння вимог ICS- і IT-безпеки
Поєднання IT і OT
Безпека вашої компанії розділена між двома сферами: IT (інформаційні технології) і OT (операційні технології). Щоб забезпечити захист ваших мереж і установок в епоху Industrie 4.0, потрібно брати до уваги обидві ці сфери, а також розробити цілісну концепцію безпеки.
Це пов’язано з тим, що заходи, визначені сферою ІТ, потрібно розширювати додатковими рішеннями з безпеки OT, а також потрібно зважати на різні цілі захисту.
Захист даних стосується всіх галузей Натискайте на активні точки, щоб дізнатися більше
Мережева взаємодія надає широкі можливості, але й має також деякі недоліки
Зростання масштабів мережевої взаємодії має очевидні переваги, такі як підвищення продуктивності чи гнучкості. Однак зростання масштабів мережевої взаємодії і, як наслідок, швидке злиття інформаційних технологій (ІТ) і операційних технологій (ОТ) створюють дедалі більше можливостей для атак у корпоративних мережах. Це означає, що критично важливі інфраструктури (KRITIS) також все частіше стають мішенню кібератак всіх видів: зловмисникам неодноразово вдавалося використовувати можливі уразливості у промисловому Інтернеті речей (IIoT) і таким чином отримувати доступ до компаній і інфраструктур. У зв’язку з цим виникає питання про те, як можна об’єднати в мережу великомасштабні середовища автоматизації і одночасно захистити промислові підприємства і KRITIS від хакерських атак і зловмисних програм.
У наведених далі пунктах перелічено найбільші загрози і можливі заходи захисту.
Рішення: сегментація мережі
Несправності з офісу
Несправності й віруси, наприклад, з офісного середовища, можуть бути перенесені безпосередньо до зони виробництва.
Рішення: сегментація мережі
Завдяки поділу великих мереж на невеликі сегменти можна контролювати обмін даними між різними зонами, наприклад, між виробництвом і офісом або між різними частинами установки. Поділ окремих сегментів може бути виконано за допомогою віртуальних локальних мереж (VLAN) або міжмережевих екранів (брандмауерів). У такому разі для зв’язку між окремими сегментами мережі потрібно використовувати маршрутизатори або комутатори Layer 3. Ці пристрої вловлюють типові мережеві помилки, захищаючи від їхнього поширення решту мережі.
Рішення: розмежування обміну даними
Зараження зловмисним програмним забезпеченням
Часто зловмисні програми намагаються поширитися на сусідні системи й заразити їх також. Прикладом може служити зловмисна програма WannaCry, яка заразила системи Windows, які не мали патчей.
Рішення: розмежування обміну даними
Використання брандмауерів може обмежити або запобігти поширенню відповідних зловмисних програм. Якщо виключити всі можливості зв’язку, які не є технічно необхідними, багато атак стають неможливими. Крім того, моніторинг цілісності промислового рівня (наприклад, CIM) допомагає завчасно виявити й локалізувати зміни та сторонні втручання в системах на базі Windows, таких як контролери, інтерфейси оператора чи ПК.
Рішення: шифрована передача даних
Хакерські атаки
Злочинці можуть копіювати дані або вносити зміни в систему через відкрите Інтернет-з’єднання.
Рішення: шифрована передача даних
Системи автоматизації мають бути недоступні з Інтернету. Це досягається за допомогою брандмауера на виході в Інтернет, який обмежує весь вхідний і вихідний трафік необхідними й авторизованими з’єднаннями. Всі з’єднання дальнього зв’язку мають бути зашифровані, наприклад, за допомогою VPN із IPsec.
Рішення: захист портів
Інфіковане апаратне забезпечення
Інфіковане обладнання, таке як USB-накопичувачі чи ноутбуки, може переносити шкідливе ПО в мережу.
Рішення: захист портів
За допомогою функції безпеки порту можна безпосередньо на мережевих компонентах налаштувати заборону небажаним учасникам обмінюватися даними з мережею. Крім того, слід відключати вільні порти, у яких немає потреби. Деякі компоненти додатково пропонують можливість аварійної сигналізації через простий протокол керування мережею (SNMP) і сигнальний контакт у разі реєстрації несанкціонованого доступу до мережі.
Рішення: безпечний віддалений доступ
Несанкціонований доступ до установок
Дистанційні зміни помилково вносяться не в ту систему.
Рішення: безпечний віддалений доступ
Безпечний віддалений доступ до однієї або декількох машин може бути реалізований за допомогою різних технологічних рішень. З одного боку, зв’язок із зовнішнім середовищем шифрується, наприклад, через IPsec або OpenVPN. З іншого боку, дистанційне технічне обслуговування може бути ініційоване за допомогою вимикача із ключем на машині.
Це гарантує, що зміни вносяться тільки на ту машину, для якої вони призначені. У той же час, вимикач із ключем може бути використаний для блокування правил зв’язку в мережі на час дистанційного технічного обслуговування.
Рішення: безпечне призначенні паролів WLAN
Мобільні термінали
Неавторизовані смарт-пристрої підключаються через інтерфейс WLAN.
Рішення: безпечне призначенні паролів WLAN
Якщо паролі WLAN відомі й залишаються незмінними протягом тривалого часу, це також дає змогу стороннім особам отримати неконтрольований доступ до мережі машин. Таким чином, компоненти WLAN від компанії Phoenix Contact дозволяють автоматизувати управління ключами за допомогою контролера машини. Це дає змогу легко реалізувати безпечний доступ до обладнання WLAN у вигляді одноразових паролів.
Крім того, зв’язок WLAN може бути захищено за допомогою демілітаризованої зони (DMZ) та ізольовано від решти мережі.
Наша комплексна концепція безпеки 360°
Безпека 360° — наша комплексна пропозиція без компромісів
Досягти ефективного захисту від кібератак можна лише за умови використання узгоджених між собою технічних і організаційних заходів. Тому ми пропонуємо пакет повної безпеки 360°, який спрощує захист обладнання з усіх боків:
Безпечні послуги
Наші навчені й компетентні фахівці з безпеки порадять, як мінімізувати індивідуальні ризики безпеки на вашому підприємстві і, якщо потрібно, розроблять концепцію безпеки (сертифіковану відповідно до IEC 62443-2-4). Крім того, ми ділимося своїми знаннями на навчальних курсах, щоб підготувати ваших співробітників до реалізації кібербезпеки.
Безпечні рішення
Наші концепції безпеки захищають ваші критично важливі процеси, наприклад, за допомогою концепції різних зон, контролю потоку даних і використання захищених компонентів. Крім того, здійснюється реалізація й документування безпечних процесів.
Безпечні вироби
Безпека закладена у всьому життєвому циклі наших виробів — від безпечного процесу розробки (сертифікованого відповідно до IEC 62443-4-1) і інтеграції важливих функцій безпеки до регулярних оновлень і виправлень безпеки.
LinkedIn: Промисловий зв’язок і кібербезпека Приєднайтеся до нашої спільноти просто зараз!
Промислові комунікаційні мережі дають нам змогу надійно передавати дані з польового рівня на рівень керування та у хмарне середовище. На нашій сторінці в LinkedIn Промисловий зв’язок і кібербезпека ви знайдете цікаву інформацію про доступність мережі, кібербезпеку, дистанційне технічне обслуговування та багато іншого. Приєднуйтесь до нашої спільноти!