Przejdź do głównej zawartości

6 wskazówek dotyczących zabezpieczania sieci przemysłowych

Belden

Poprawa bezpieczeństwa cybernetycznego sieci przemysłowych to wyzwanie, z którym możesz się zmierzyć.

Z jednej strony procesy produkcyjne prawdopodobnie wykorzystują urządzenia takie jak PLC (programowalne sterowniki logiczne) i DCS (rozproszone systemy sterowania), które zostały zaprojektowane z naciskiem na niezawodność, a nie na bezpieczeństwo.


Z drugiej strony Twoje sieci przemysłowe są już lub wkrótce będą podłączone do sieci firmowej Twojego przedsiębiorstwa i przeniesione do sieci Ethernet.

Zastanawiając się, jak zmniejszyć ryzyko cybernetyczne i chronić aktywa, ważne jest, aby szukać rozwiązań technologicznych zaprojektowanych dla hali produkcyjnej.

Niektóre różnice między sieciami zakładów a sieciami biurowymi to:
·   Różne środowiska - sieci przemysłowe często działają w trudnych warunkach fizycznych
·   Różne umiejętności personelu - możesz być świetny w tworzeniu produktów lub programowaniu sterowników PLC, ale projektowanie rozwiązania bezpieczeństwa cybernetycznego prawdopodobnie nie jest Twoją mocną stroną
·   Różne priorytety - operatorzy elektrowni są najbardziej zainteresowani niezawodnością i bezpieczeństwem, podczas gdy pracownicy IT biura zwykle stawiają poufność jako najwyższy priorytet systemu
·   Różne protokoły - sieci instalacyjne muszą wspierać protokoły przemysłowe wymagane do utrzymania pracy sprzętu i produkcji. Takie protokoły są szczególnie trudne do zabezpieczenia.

Biorąc pod uwagę te czynniki, oto 6 zaleceń dotyczących zabezpieczenia sieci przemysłowych.

1. Wybierz elementy przemysłowe
Po pierwsze, upewnij się, że wszystkie komponenty sieciowe, w tym okablowanie, szafki i sprzęt aktywny, są zastosowania przemysłowego, odporne i mają wysokie wskaźniki średniego czasu między awariami (MTBF). Jak wiadomo, wymagania dotyczące hali fabrycznej są znacznie wyższe niż typowe środowisko IT i wymagają dopasowania sprzętu.

Sercem systemów sieci IT jest często kontrolowane, chronione centrum danych, w którym sprzęt jest zwykle ustandaryzowany i ma mniej niż 10 lat. Natomiast sieci przemysłowe działają w hali fabrycznej, często w niebezpiecznym środowisku, a średnia żywotność sprzętu przekracza 10 lat.
Zdjęcia dzięki uprzejmości Good Health Group.

2. Poszukaj redundancji i solidności
Posiadanie sprzętu, który łatwo jest zakłócić, ułatwia pracę atakującego, a praca personelu pomocniczego jest znacznie trudniejsza. Aktywne komponenty sieci, takie jak przełączniki i routery, muszą obsługiwać technologie redundancji przemysłowej. W ten sposób, jeśli część systemu zostanie zaatakowana przez złośliwe oprogramowanie lub na skutek incydentu sieciowego, będziesz mógł kontynuować działalność.

Istnieje wiele akronimów i szumnych słów w tym obszarze, takich jak "zero-failover", PRP (Parallel Redundancy Protocol) i HSR (High-availability Seamless Redundancy). Ważną rzeczą jest upewnienie się, że sprzęt sieciowy obsługuje poziom redundancji wymagany do Twoich potrzeb produkcyjnych

3. Szukaj technologii, które integrują się z systemami zarządzania siecią przemysłową
Integracja z systemami zarządzania przemysłowego ma kluczowe znaczenie zarówno w monitorowaniu zdarzeń wsparcia, jak i bezpieczeństwa. Korzystanie z takiego systemu ułatwi wykrywanie nietypowej aktywności w sieci, umiejętności, która zwykle jest słabo wykonywana w świecie automatyki przemysłowej.
Użytkownik lub inny członek personelu zakładu powinien zostać natychmiast powiadomiony, jeśli stacja zdalnego sterowania tylko do odczytu nagle spróbuje zaprogramować sterownik PLC. Czekanie, aż zespół IT przeanalizuje wydarzenie następnego ranka, to zdecydowanie za późno.

4. Wdróż zapory sieciowe zabezpieczające protokoły przemysłowe
Zapory sieciowe powinny być zoptymalizowane, aby zabezpieczyć protokoły SCADA, takie jak Modbus i OPC, zamiast poczty e-mail lub ruchu internetowego. Wiadomości internetowe i e-mail po prostu nie mają miejsca w systemie instalacji, a produkty, które sprawdzają te protokoły, po prostu zwiększają koszt i złożoność rozwiązania bezpieczeństwa.

5. Praktykuj Defense in Depth z zabezpieczeniami na poziomie strefy
Korzystając z najlepszej metody Defense in Depth, bezpieczeństwo nie powinno kończyć się zaporą sieciową dla sieci zakładu. Zamiast tego sieci produkcyjne powinny być segmentowane zgodnie ze standardami ISA IEC 62443. Każda strefa urządzeń powinna być chroniona własną zaporą przemysłową, która może zostać wdrożona w sieci działającej na żywo, bez ryzyka dla działalności.

6. Skoncentruj swoje wysiłki
Każdy system kontroli ma jeden lub więcej zasobów, które poważnie wpłyną na produkcję, bezpieczeństwo lub środowisko, jeśli zostaną skutecznie zaatakowane. Może to być SIS (system zintegrowany z bezpieczeństwem) w rafinerii, sterownik PLC kontrolujący poziomy chloru w instalacji do filtrowania wody lub RTU w podstacji elektrycznej.

Ty i inni pracownicy w zakładzie wiecie, co naprawdę ma znaczenie dla działalności. Jeśli aktywa te są agresywnie chronione, szansa na naprawdę poważny incydent cybernetyczny ulega znacznemu zmniejszeniu.

Bezpieczne sieci przemysłowe z rozwiązaniami zaprojektowanymi dla przemysłu
Jeśli nie masz pewności, jak poprawić postawę bezpieczeństwa cybernetycznego w Twoim zakładzie, przestrzeganie powyższych zaleceń skróci czas potrzebny na wprowadzenie ulepszeń.
Dodatkowym narzędziem jest raport "7 kroków do zabezpieczeń ICS i SCADA" (w jęz. angielskim), który podsumowuje najlepsze metody w zakresie zapewniania skutecznego bezpieczeństwa cybernetycznego.

Jeśli posiadasz wskazówki lub zalecenia dotyczące poprawy przemysłowego bezpieczeństwa cybernetycznego, daj mi znać!

Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl

Komentarze

Popularne posty z tego bloga

Jak wybrać odpowiedni kabel VFD?

Peter Cox
W części 1 mojego wpisu na temat żywotności kabla i silnika VFD wyjaśniłem, w jaki sposób użycie kabla THHN lub innego niespecjalistycznego kabla do połączenia VFD z silnikami prowadzi do przedwczesnej awarii silnika i szumu elektronicznego, który sieje spustoszenie w czujnikach procesowych i obniża bezpieczeństwo na hali produkcyjnej. Specyfikacja wyspecjalizowanego kabla VFD może pomóc w uniknięciu tych problemów, ale niestety nie ma żadnych standardów dla funkcji i konstrukcji kabla VFD, więc na pewno weryfikacja pozostaje w interesie kupującego. Tutaj, w części 2, omówimy, czego szukać w kablu VFD, abyś mógł podjąć bardziej świadomą decyzję.
Unikaj awarii i nie tylko - lista kontrolna W wielu zakładach niemal „spodziewano się” częstych wyłączeń napędów i/lub awarii silnika podłączonego do VFD co kilka lat, szczególnie w wyniku uszkodzenia łożyska lub izolacji. Jeśli tak się dzieje, specyfikacja dobrze zaprojektowanego kabla VFD może wyeliminować awarie i znacznie wydłużyć c…

Kiedy należy używać kabla VFD?

Peter Cox
Biorąc pod uwagę korzyści płynące z wydajności procesu i oszczędności energii, jakie oferują napędy o zmiennej częstotliwości (VFD) środowisku produkcyjnemu, nic dziwnego, że to na nich polegają wszelkiego rodzaju operacje. W rzeczywistości niektóre zakłady korzystają z setek urządzeń VFD, które pomagają im precyzyjnie kontrolować prawie każdy używany silnik.

Biorąc pod uwagę zalety kabli VFD związane z żywotnością silnika i czasem pracy bez przestojów, zaskakuje fakt, że nie wszyscy używają ich na każdym VFD. W rzeczywistości, według moich szacunków, robi to tylko około 20% zastosowań, które powinny korzystać z kabli VFD. Chociaż użycie kabla VFD gwałtownie wzrosło w ciągu ostatnich kilku lat, wciąż jest znacznie niższe niż powinno, a szkoda.
Niewłaściwy kabel VFD może prowadzić do przedwczesnej awarii silnika – a nawet gorzej Faktem jest, że użycie niewłaściwego kabla powoduje przedwczesne awarie wielu silników, co z kolei prowadzi do znacznych przestojów i utraty wydajności, …

MPLS-TP: MPLS wychodzi naprzeciw Twoim oczekiwaniom

Howard Linton
W ostatnich latach wielu przemysłowych użytkowników sieci szkieletowej znalazło się w sytuacji bez wyjścia. Dobrze znane sieci SONET i SDH z komutacją łączy, z których korzystają od dziesięcioleci, gwałtownie przestają nadążać z zaspokajaniem rosnącego zapotrzebowania na wideo, dane i inne zastosowania wymagające dużej przepustowości. Jednak najczęstszą praktyczną alternatywą - dla wielu, IP/MPLS - jest protokół wyraźnie przeznaczony dla bardziej złożonych operatorów sieci. Okazuje się, że jest to zbyt kosztowne, skomplikowane i mało funkcjonalne dla konkretnych potrzeb przedsiębiorstw użyteczności publicznej, transportu, rurociągów i innych użytkowników przemysłowych działających we własnej sieci szkieletowej.

No cóż, są też dobre wieści, ponieważ na szczęście istnieje mniej znany aspekt MPLS, który jest faktycznie przeznaczony do zaspokojenia potrzeb tej dużej bazy użytkowników. Nazywa się MultiProtocol Label Switching-Transport Profile lub MPLS-TP i może pomóc użytkowni…