6 wskazówek dotyczących zabezpieczania sieci przemysłowych

Belden

Poprawa bezpieczeństwa cybernetycznego sieci przemysłowych to wyzwanie, z którym możesz się zmierzyć.

Z jednej strony procesy produkcyjne prawdopodobnie wykorzystują urządzenia takie jak PLC (programowalne sterowniki logiczne) i DCS (rozproszone systemy sterowania), które zostały zaprojektowane z naciskiem na niezawodność, a nie na bezpieczeństwo.

Z drugiej strony Twoje sieci przemysłowe są już lub wkrótce będą podłączone do sieci firmowej Twojego przedsiębiorstwa i przeniesione do sieci Ethernet.

Zastanawiając się, jak zmniejszyć ryzyko cybernetyczne i chronić aktywa, ważne jest, aby szukać rozwiązań technologicznych zaprojektowanych dla hali produkcyjnej.

Niektóre różnice między sieciami zakładów a sieciami biurowymi to:

·   Różne środowiska - sieci przemysłowe często działają w trudnych warunkach fizycznych

·   Różne umiejętności personelu - możesz być świetny w tworzeniu produktów lub programowaniu sterowników PLC, ale projektowanie rozwiązania bezpieczeństwa cybernetycznego prawdopodobnie nie jest Twoją mocną stroną

·   Różne priorytety - operatorzy elektrowni są najbardziej zainteresowani niezawodnością i bezpieczeństwem, podczas gdy pracownicy IT biura zwykle stawiają poufność jako najwyższy priorytet systemu

·   Różne protokoły - sieci instalacyjne muszą wspierać protokoły przemysłowe wymagane do utrzymania pracy sprzętu i produkcji. Takie protokoły są szczególnie trudne do zabezpieczenia.

Biorąc pod uwagę te czynniki, oto 6 zaleceń dotyczących zabezpieczenia sieci przemysłowych.

1. Wybierz elementy przemysłowe

Po pierwsze, upewnij się, że wszystkie komponenty sieciowe, w tym okablowanie, szafki i sprzęt aktywny, są zastosowania przemysłowego, odporne i mają wysokie wskaźniki średniego czasu między awariami (MTBF). Jak wiadomo, wymagania dotyczące hali fabrycznej są znacznie wyższe niż typowe środowisko IT i wymagają dopasowania sprzętu.

Sercem systemów sieci IT jest często kontrolowane, chronione centrum danych, w którym sprzęt jest zwykle ustandaryzowany i ma mniej niż 10 lat. Natomiast sieci przemysłowe działają w hali fabrycznej, często w niebezpiecznym środowisku, a średnia żywotność sprzętu przekracza 10 lat.

Zdjęcia dzięki uprzejmości Good Health Group.

2. Poszukaj redundancji i solidności

Posiadanie sprzętu, który łatwo jest zakłócić, ułatwia pracę atakującego, a praca personelu pomocniczego jest znacznie trudniejsza. Aktywne komponenty sieci, takie jak przełączniki i routery, muszą obsługiwać technologie redundancji przemysłowej. W ten sposób, jeśli część systemu zostanie zaatakowana przez złośliwe oprogramowanie lub na skutek incydentu sieciowego, będziesz mógł kontynuować działalność.

Istnieje wiele akronimów i szumnych słów w tym obszarze, takich jak "zero-failover", PRP (Parallel Redundancy Protocol) i HSR (High-availability Seamless Redundancy). Ważną rzeczą jest upewnienie się, że sprzęt sieciowy obsługuje poziom redundancji wymagany do Twoich potrzeb produkcyjnych

3. Szukaj technologii, które integrują się z systemami zarządzania siecią przemysłową

Integracja z systemami zarządzania przemysłowego ma kluczowe znaczenie zarówno w monitorowaniu zdarzeń wsparcia, jak i bezpieczeństwa. Korzystanie z takiego systemu ułatwi wykrywanie nietypowej aktywności w sieci, umiejętności, która zwykle jest słabo wykonywana w świecie automatyki przemysłowej.

Użytkownik lub inny członek personelu zakładu powinien zostać natychmiast powiadomiony, jeśli stacja zdalnego sterowania tylko do odczytu nagle spróbuje zaprogramować sterownik PLC. Czekanie, aż zespół IT przeanalizuje wydarzenie następnego ranka, to zdecydowanie za późno.

4. Wdróż zapory sieciowe zabezpieczające protokoły przemysłowe

Zapory sieciowe powinny być zoptymalizowane, aby zabezpieczyć protokoły SCADA, takie jak Modbus i OPC, zamiast poczty e-mail lub ruchu internetowego. Wiadomości internetowe i e-mail po prostu nie mają miejsca w systemie instalacji, a produkty, które sprawdzają te protokoły, po prostu zwiększają koszt i złożoność rozwiązania bezpieczeństwa.

5. Praktykuj Defense in Depth z zabezpieczeniami na poziomie strefy

Korzystając z najlepszej metody Defense in Depth, bezpieczeństwo nie powinno kończyć się zaporą sieciową dla sieci zakładu. Zamiast tego sieci produkcyjne powinny być segmentowane zgodnie ze standardami ISA IEC 62443. Każda strefa urządzeń powinna być chroniona własną zaporą przemysłową, która może zostać wdrożona w sieci działającej na żywo, bez ryzyka dla działalności.

6. Skoncentruj swoje wysiłki

Każdy system kontroli ma jeden lub więcej zasobów, które poważnie wpłyną na produkcję, bezpieczeństwo lub środowisko, jeśli zostaną skutecznie zaatakowane. Może to być SIS (system zintegrowany z bezpieczeństwem) w rafinerii, sterownik PLC kontrolujący poziomy chloru w instalacji do filtrowania wody lub RTU w podstacji elektrycznej.

Ty i inni pracownicy w zakładzie wiecie, co naprawdę ma znaczenie dla działalności. Jeśli aktywa te są agresywnie chronione, szansa na naprawdę poważny incydent cybernetyczny ulega znacznemu zmniejszeniu.

Bezpieczne sieci przemysłowe z rozwiązaniami zaprojektowanymi dla przemysłu

Jeśli nie masz pewności, jak poprawić postawę bezpieczeństwa cybernetycznego w Twoim zakładzie, przestrzeganie powyższych zaleceń skróci czas potrzebny na wprowadzenie ulepszeń.

Dodatkowym narzędziem jest raport "7 kroków do zabezpieczeń ICS i SCADA" (w jęz. angielskim), który podsumowuje najlepsze metody w zakresie zapewniania skutecznego bezpieczeństwa cybernetycznego.

Jeśli posiadasz wskazówki lub zalecenia dotyczące poprawy przemysłowego bezpieczeństwa cybernetycznego, daj mi znać!

Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.

Tel: +48 32 256 25 33

E-mail: info@pf-electronic.pl