Přeskočit na obsah

Jak chránit průmyslovou síťovou infrastrukturu OT a IT systémů

Celosvětově roste počet sjednocených OT a IT systémů, což je nejčastěji vysvětleno nutností zvýšit provozní efektivitu podniku. Například systém SCADA nyní nejen řídí těžbu a přepravu ropy, ale také poskytuje potřebné údaje pro systémy výpočtu cen zboží a fakturace. Sběr a zpracování velkého množství dat umožňuje společnostem s větší přesností předpovídat nejen objem výroby ropy, ale i očekávané výnosy v budoucnu. Integrace OT a IT systémů však přináší nejen výhody. Nevýhody těchto systémů zahrnují zvýšenou pravděpodobnost kyberútoků na zabezpečovací systémy OT.

Tento složitý problém dále zhoršuje používání zastaralého softwaru. To lze zjistit z rozhovoru generálního ředitele IDC Taiwan ve videu Security Talks Episode 3. Hackeři mohou využít zranitelnosti systému Windows a zaútočit na nedostatečně zabezpečené systémy.

Jelikož v systémech OT vyskytuje více případů kybernetické bezpečnosti, majitelé firem a regulační orgány hledají řešení, které zvýší úroveň průmyslové kybernetické bezpečnosti a umožní podnikům dobře fungovat.

V tomto článku budeme hovořit o koncepci Defense-in-depth nebo o vícevrstvé hloubkové ochraně, která umožňuje podnikům využívat stávající síťové infrastruktury k budování ochrany sítě, a také o vlastnostech průmyslových systémů prevence průniků.

Koncept vícevrstvé bezpečnosti

Ke zvýšení úrovně kybernetické bezpečnosti je důležité pochopit, jak různé průmyslové systémy vyměňují data v rámci infrastruktury a jak souvisejí s IT systémy. V nejlepším scénáři musí být každý systém až po samostatný modul oddělen od ostatních a mít vlastní zásady zabezpečení, která poskytují filtrování provozu, ověřování a autorizaci uživatelů. Vytváření takových zásad zabezpečení mezi každým zařízením se však stává neskutečným úkolem, protože vyžaduje značné náklady a často negativně ovlivňuje účinnost síťové komunikace. Proto inženýři v oblasti kybernetické bezpečnosti doporučují rozdělit systém OT do několika hlavních zón s různými zásadami zabezpečení, což umožní najít optimální rovnováhu mezi náklady a přijatelnou úrovní rizika.

Příklad budování vícevrstvé bezpečnostní hranice pro ochranu výrobních linek před kybernetickými zločiny.

Přístup Defense-in-depth je doporučen standardem kybernetické bezpečnosti IEC 62443, který je široce používán v různých průmyslových odvětvích a zajišťuje kontinuitu technologických procesů.

Zabezpečení kritických aktiv je jedním z nejdůležitějších úkolů v podniku, protože plní hlavní roli v podnikání. Na základě toho je účelně přijmout další bezpečnostní opatření, například, nastavit více vrstev ochrany pro lepší zabezpečení kritických aktiv.

Koncept zabezpečení Defense-in-depth je založen na vytvoření více vrstev ochrany pro zvýšení zabezpečení celého systému.

Jak vytvořit vícevrstvé bezpečnostní systém

Existuje několik přístupů k budování víceúrovňového bezpečnostního systému, podíváme se na ty hlavní.

Segmentace sítě na fyzické vrstvě

Při fyzické segmentaci sítě máme 2 fyzicky izolované sítě. To poskytuje dobrou úroveň zabezpečení, organizovat kvůli rostoucím požadavkům podniku a složitosti provozu.

Segmentace kanálů pro přenos dat (OSI vrstva 2/3)

Jelikož průmyslové řídicí systémy mohly být postaveny před několika desítkami let, pak jedním z hlavních požadavků při budování bezpečnostního systému je možnost použití stávající infrastruktury. Jeden z nejčastěji používaných přístupů k rozdělení kanálů pro přenos dat je nastavení virtuální sítě (VLAN), která je jedna z vestavěných funkcí spravovaných ethernetových přepínačů.

Některé Ethernetové přepínače mají vestavěnou funkci pro vytváření seznamů řízení přístupu (ACL) na úrovni portů, což může zvýšit úroveň bezpečnosti sítě VLAN, při příjmu dat na přepínač. Alternativním řešením je nasazení více bran firewall, zvláště když je třeba pracovat s provozem v sítích třetí vrstvy.

Segmentace sítí na úrovni ověřování paketů (OSI vrstva 4-7)

Další segmentace sítě může být založena na hloubkové kontrole paketů (DPI). DPI poskytuje podrobnou kontrolu nad provozem sítě a pomáhá filtrovat průmyslové protokoly podle stanovených požadavků. Například v jedné síti připojeno více zařízení, které mají schopnost komunikovat mezi sebou. Může však existovat takový scénář, kdy kontrolér musí komunikovat s robotickým ramenem pouze v určitém čase. Zde technologie DPI pomůže inženýrům nastavit hloubkové bezpečnostní zásady, umožní provádět příkazy pro čtení/zápis v určitém čase nebo zakázat provoz z jiných směrů.

Mikrosegmentace sítě

V některých situacích je nutná dodatečná ochrana kritických aktiv, a jedním ze způsobů, jak dosáhnout tohoto cíle je použití mikrosegmentace sítě a nastavení systému pro prevenci průniku IPS. Mikrosegmentace sítě je vhodná zejména pro průmyslové sítě, když je potřeba dodatečně chránit malou část podsítě.

Další výhodou tohoto přístupu je přítomnost funkce virtuální opravy zranitelností v IPS, která eliminuje riziko použití již známých zranitelností. Například, některé objekty mohou používat systém Windows XP, pro který společnost Microsoft již nevydává aktualizace zabezpečení. V takovém zařízení, i když existují známé chyby zabezpečení, může být aktualizace bezpečnostního systému neúčelné. Toto video ukazuje, jak funguje oprava virtuálního zabezpečení IPS.

Bezpečný vzdálený přístup

Podle odborníků v oblasti kybernetické bezpečnosti se špatně nastavené protokoly vzdáleného přístupu používají k šíření škodlivého softwaru nebo k provádění neoprávněným aktivitám. Jelikož se vzdálená připojení stávají stále častějšími kvůli potřebě zlepšit efektivitu a potřebě rychlého řešení problémů, není divu, že se o vytváření bezpečnostních hranic mezi objekty mluví stále častěji. Místo použití softwaru pro vytváření vzdáleného přístupu odborníci důrazně doporučují vytvoření VPN tunelů, aby bylo zajištěno spolehlivé fungování mechanismů řízení přístupu.

Průmyslová výroba

Různé výrobní sítě musí být řádně segmentovány, aby byla zajištěna bezpečnost celého systému. Kromě toho, aby byla zajištěna dostupnost a spojitost provozu řídicího systému, musí být zajištěna možnost zálohování sítě. Příklad takového schématu je uveden na obrázku níže.

Bezpečné sledování v rozvodně

Energetický systém, který pokrývá obrovské území, potřebuje VPN řešení certifikovaný podle normy IEC 61850 ke sledování vzdálených inteligentních elektronických zařízení. Navíc by v rozvodně mělo být nasazeno několik úrovní ochrany, aby byla zajištěna kybernetická bezpečnost a zabráněno ztrátě přístupu do zařízení.

Je možné sloučit všechny požadavky do jednoho zařízení?

Jednou z možností takového zařízení lze považovat EDR-G9010. Je to univerzální firewall s funkcemi NAT, VPN, přepínače a směrovače. Použití EDR-G9010 nejen pomůže zvýšit úroveň kybernetické bezpečnosti, ale také umožní využití stávající síťové infrastruktury.

Předchozí článek IPC2U na návštěvě u Winmate: průmyslové tablety a panelové počítače pro dopravu a lehký průmysl
Další článek Globální nedostatek na trhu elektronických součástek. Kdo je vinen a co dělat?