Przejdź do głównej zawartości

6 wskazówek dotyczących zabezpieczania sieci przemysłowych

Belden

Poprawa bezpieczeństwa cybernetycznego sieci przemysłowych to wyzwanie, z którym możesz się zmierzyć.

Z jednej strony procesy produkcyjne prawdopodobnie wykorzystują urządzenia takie jak PLC (programowalne sterowniki logiczne) i DCS (rozproszone systemy sterowania), które zostały zaprojektowane z naciskiem na niezawodność, a nie na bezpieczeństwo.


Z drugiej strony Twoje sieci przemysłowe są już lub wkrótce będą podłączone do sieci firmowej Twojego przedsiębiorstwa i przeniesione do sieci Ethernet.

Zastanawiając się, jak zmniejszyć ryzyko cybernetyczne i chronić aktywa, ważne jest, aby szukać rozwiązań technologicznych zaprojektowanych dla hali produkcyjnej.

Niektóre różnice między sieciami zakładów a sieciami biurowymi to:
·   Różne środowiska - sieci przemysłowe często działają w trudnych warunkach fizycznych
·   Różne umiejętności personelu - możesz być świetny w tworzeniu produktów lub programowaniu sterowników PLC, ale projektowanie rozwiązania bezpieczeństwa cybernetycznego prawdopodobnie nie jest Twoją mocną stroną
·   Różne priorytety - operatorzy elektrowni są najbardziej zainteresowani niezawodnością i bezpieczeństwem, podczas gdy pracownicy IT biura zwykle stawiają poufność jako najwyższy priorytet systemu
·   Różne protokoły - sieci instalacyjne muszą wspierać protokoły przemysłowe wymagane do utrzymania pracy sprzętu i produkcji. Takie protokoły są szczególnie trudne do zabezpieczenia.

Biorąc pod uwagę te czynniki, oto 6 zaleceń dotyczących zabezpieczenia sieci przemysłowych.

1. Wybierz elementy przemysłowe
Po pierwsze, upewnij się, że wszystkie komponenty sieciowe, w tym okablowanie, szafki i sprzęt aktywny, są zastosowania przemysłowego, odporne i mają wysokie wskaźniki średniego czasu między awariami (MTBF). Jak wiadomo, wymagania dotyczące hali fabrycznej są znacznie wyższe niż typowe środowisko IT i wymagają dopasowania sprzętu.

Sercem systemów sieci IT jest często kontrolowane, chronione centrum danych, w którym sprzęt jest zwykle ustandaryzowany i ma mniej niż 10 lat. Natomiast sieci przemysłowe działają w hali fabrycznej, często w niebezpiecznym środowisku, a średnia żywotność sprzętu przekracza 10 lat.
Zdjęcia dzięki uprzejmości Good Health Group.

2. Poszukaj redundancji i solidności
Posiadanie sprzętu, który łatwo jest zakłócić, ułatwia pracę atakującego, a praca personelu pomocniczego jest znacznie trudniejsza. Aktywne komponenty sieci, takie jak przełączniki i routery, muszą obsługiwać technologie redundancji przemysłowej. W ten sposób, jeśli część systemu zostanie zaatakowana przez złośliwe oprogramowanie lub na skutek incydentu sieciowego, będziesz mógł kontynuować działalność.

Istnieje wiele akronimów i szumnych słów w tym obszarze, takich jak "zero-failover", PRP (Parallel Redundancy Protocol) i HSR (High-availability Seamless Redundancy). Ważną rzeczą jest upewnienie się, że sprzęt sieciowy obsługuje poziom redundancji wymagany do Twoich potrzeb produkcyjnych

3. Szukaj technologii, które integrują się z systemami zarządzania siecią przemysłową
Integracja z systemami zarządzania przemysłowego ma kluczowe znaczenie zarówno w monitorowaniu zdarzeń wsparcia, jak i bezpieczeństwa. Korzystanie z takiego systemu ułatwi wykrywanie nietypowej aktywności w sieci, umiejętności, która zwykle jest słabo wykonywana w świecie automatyki przemysłowej.
Użytkownik lub inny członek personelu zakładu powinien zostać natychmiast powiadomiony, jeśli stacja zdalnego sterowania tylko do odczytu nagle spróbuje zaprogramować sterownik PLC. Czekanie, aż zespół IT przeanalizuje wydarzenie następnego ranka, to zdecydowanie za późno.

4. Wdróż zapory sieciowe zabezpieczające protokoły przemysłowe
Zapory sieciowe powinny być zoptymalizowane, aby zabezpieczyć protokoły SCADA, takie jak Modbus i OPC, zamiast poczty e-mail lub ruchu internetowego. Wiadomości internetowe i e-mail po prostu nie mają miejsca w systemie instalacji, a produkty, które sprawdzają te protokoły, po prostu zwiększają koszt i złożoność rozwiązania bezpieczeństwa.

5. Praktykuj Defense in Depth z zabezpieczeniami na poziomie strefy
Korzystając z najlepszej metody Defense in Depth, bezpieczeństwo nie powinno kończyć się zaporą sieciową dla sieci zakładu. Zamiast tego sieci produkcyjne powinny być segmentowane zgodnie ze standardami ISA IEC 62443. Każda strefa urządzeń powinna być chroniona własną zaporą przemysłową, która może zostać wdrożona w sieci działającej na żywo, bez ryzyka dla działalności.

6. Skoncentruj swoje wysiłki
Każdy system kontroli ma jeden lub więcej zasobów, które poważnie wpłyną na produkcję, bezpieczeństwo lub środowisko, jeśli zostaną skutecznie zaatakowane. Może to być SIS (system zintegrowany z bezpieczeństwem) w rafinerii, sterownik PLC kontrolujący poziomy chloru w instalacji do filtrowania wody lub RTU w podstacji elektrycznej.

Ty i inni pracownicy w zakładzie wiecie, co naprawdę ma znaczenie dla działalności. Jeśli aktywa te są agresywnie chronione, szansa na naprawdę poważny incydent cybernetyczny ulega znacznemu zmniejszeniu.

Bezpieczne sieci przemysłowe z rozwiązaniami zaprojektowanymi dla przemysłu
Jeśli nie masz pewności, jak poprawić postawę bezpieczeństwa cybernetycznego w Twoim zakładzie, przestrzeganie powyższych zaleceń skróci czas potrzebny na wprowadzenie ulepszeń.
Dodatkowym narzędziem jest raport "7 kroków do zabezpieczeń ICS i SCADA" (w jęz. angielskim), który podsumowuje najlepsze metody w zakresie zapewniania skutecznego bezpieczeństwa cybernetycznego.

Jeśli posiadasz wskazówki lub zalecenia dotyczące poprawy przemysłowego bezpieczeństwa cybernetycznego, daj mi znać!

Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl

Komentarze

Popularne posty z tego bloga

MPLS-TP: MPLS wychodzi naprzeciw Twoim oczekiwaniom

Howard Linton W ostatnich latach wielu przemysłowych użytkowników sieci szkieletowej znalazło się w sytuacji bez wyjścia. Dobrze znane sieci SONET i SDH z komutacją łączy, z których korzystają od dziesięcioleci, gwałtownie przestają nadążać z zaspokajaniem rosnącego zapotrzebowania na wideo, dane i inne zastosowania wymagające dużej przepustowości. Jednak najczęstszą praktyczną alternatywą - dla wielu, IP/MPLS - jest protokół wyraźnie przeznaczony dla bardziej złożonych operatorów sieci. Okazuje się, że jest to zbyt kosztowne, skomplikowane i mało funkcjonalne dla konkretnych potrzeb przedsiębiorstw użyteczności publicznej, transportu, rurociągów i innych użytkowników przemysłowych działających we własnej sieci szkieletowej. No cóż, są też dobre wieści, ponieważ na szczęście istnieje mniej znany aspekt MPLS, który jest faktycznie przeznaczony do zaspokojenia potrzeb tej dużej bazy użytkowników. Nazywa się MultiProtocol Label Switching-Transport Profile lub MPLS-TP i może po

Ethernet przemysłowy a zwykły Ethernet: dlaczego to ma znaczenie?

Sylvia Feng Środowiska przemysłowe są trudne. Mówię o oleju, kurzu, wodzie i wysokich temperaturach. Środowisko, w którym działa wiele obiektów przemysłowych, znacznie różni się od budynku biurowego lub sklepu detalicznego. Mimo to oczekuje się, że wiele (pozornie) podstawowych funkcji będzie działać płynnie, pomimo tych warunków. Fabryki muszą mieć możliwość przesyłania danych z jednej maszyny do drugiej i muszą mieć możliwość polegania na kablu, aby działał w ekstremalnych warunkach. Jednym z obszarów, który może wywrzeć niesamowity wpływ na producentów, zarówno pozytywnie, jak i negatywnie, jest niezawodność, bezpieczeństwo i siła ich kabla sieciowego. Po prostu użycie dowolnego kabla Ethernet nie będzie działać. Zwykłe urządzenia, które mogą działać dobrze w warunkach biurowych z kontrolowaną temperaturą, nie wytrzymają ekstremów środowiska przemysłowego. Oto świetna analogia: jak niedorzeczne byłoby umieścić pingwina na pustyni? Wszyscy wiemy, że pingwiny nie

Redundancja sieci dla komunikacji dzisiejszych podstacji

Tim Wallaert Czy kiedykolwiek podałeś tylko jeden numer telefonu, pod którym będzie się można z Tobą skontaktować, komuś, kto koniecznie będzie musiał się z Tobą skontaktować w nagłym przypadku? Prawdopodobnie nie. Gdy absolutnie krytyczne znaczenie ma to, żeby wiadomość do Ciebie dotarła, na wszelki wypadek zostawiasz drugi numer jako dodatkowe zabezpieczenie. Twoja sieć przemysłowa nie jest inna. Aby uniknąć ryzyka i kosztów awarii systemu i przestojów, upewnij się, że komunikacja (i operacje) są ciągłe dzięki sieci rezerwowej lub redundantnej. Więc gdzie powinieneś wdrożyć redundantną sieć? Gdyby koszt nie stanowił problemu, zrobiłbyś to wszędzie. Ale miejsce, w którym naprawdę ma to znaczenie, to takie, gdzie pojedynczy punkt awarii może zniszczyć całą komunikację. Liczbę pojedynczych punktów awarii można zminimalizować dzięki odpowiedniej segmentacji sieci. Dzielenie dużych sieci na mniejsze grupy poprawia łatwość zarządzania, niezawodność i obsługę. Pomaga tak