Промислова безпека Наскільки захищене ваше підприємство?

Несправності й віруси, наприклад, з офісного середовища, можуть бути перенесені безпосередньо до зони виробництва.

Рішення: сегментація мережі

Завдяки поділу великих мереж на невеликі сегменти можна контролювати обмін даними між різними зонами, наприклад, між виробництвом і офісом або між різними частинами установки. Поділ окремих сегментів може бути виконано за допомогою віртуальних локальних мереж (VLAN) або міжмережевих екранів (брандмауерів). У такому разі для зв’язку між окремими сегментами мережі потрібно використовувати маршрутизатори або комутатори Layer 3. Ці пристрої вловлюють типові мережеві помилки, захищаючи від їхнього поширення решту мережі.

Часто зловмисні програми намагаються поширитися на сусідні системи й заразити їх також. Прикладом може служити зловмисна програма WannaCry, яка заразила системи Windows, які не мали патчей.

Рішення: розмежування обміну даними

Використання брандмауерів може обмежити або запобігти поширенню відповідних зловмисних програм. Якщо виключити всі можливості зв’язку, які не є технічно необхідними, багато атак стають неможливими. Крім того, моніторинг цілісності промислового рівня (наприклад, CIM) допомагає завчасно виявити й локалізувати зміни та сторонні втручання в системах на базі Windows, таких як контролери, інтерфейси оператора чи ПК.

Злочинці можуть копіювати дані або вносити зміни в систему через відкрите Інтернет-з’єднання.

Рішення: шифрована передача даних

Системи автоматизації мають бути недоступні з Інтернету. Це досягається за допомогою брандмауера на виході в Інтернет, який обмежує весь вхідний і вихідний трафік необхідними й авторизованими з’єднаннями. Всі з’єднання дальнього зв’язку мають бути зашифровані, наприклад, за допомогою VPN із IPsec.

Інфіковане обладнання, таке як USB-накопичувачі чи ноутбуки, може переносити шкідливе ПО в мережу.

Рішення: захист портів

За допомогою функції безпеки порту можна безпосередньо на мережевих компонентах налаштувати заборону небажаним учасникам обмінюватися даними з мережею. Крім того, слід відключати вільні порти, у яких немає потреби. Деякі компоненти додатково пропонують можливість аварійної сигналізації через простий протокол керування мережею (SNMP) і сигнальний контакт у разі реєстрації несанкціонованого доступу до мережі.

Дистанційні зміни помилково вносяться не в ту систему.

Рішення: безпечний віддалений доступ

Безпечний віддалений доступ до однієї або декількох машин може бути реалізований за допомогою різних технологічних рішень. З одного боку, зв’язок із зовнішнім середовищем шифрується, наприклад, через IPsec або OpenVPN. З іншого боку, дистанційне технічне обслуговування може бути ініційоване за допомогою вимикача із ключем на машині.

Це гарантує, що зміни вносяться тільки на ту машину, для якої вони призначені. У той же час, вимикач із ключем може бути використаний для блокування правил зв’язку в мережі на час дистанційного технічного обслуговування.

Неавторизовані смарт-пристрої підключаються через інтерфейс WLAN.

Рішення: безпечне призначенні паролів WLAN

Якщо паролі WLAN відомі й залишаються незмінними протягом тривалого часу, це також дає змогу стороннім особам отримати неконтрольований доступ до мережі машин. Таким чином, компоненти WLAN від компанії Phoenix Contact дозволяють автоматизувати управління ключами за допомогою контролера машини. Це дає змогу легко реалізувати безпечний доступ до обладнання WLAN у вигляді одноразових паролів.

Крім того, зв’язок WLAN може бути захищено за допомогою демілітаризованої зони (DMZ) та ізольовано від решти мережі.