Print

Nejdůležitější doporučení pro zabezpečený vzdálený přístup k průmyslovým řídicím systémům

-- 24.09.18

17 Hlavních doporučení pro zabezpečený vzdálený přístup

(1)  Dodavatel stroje musí mít přístup ke stroji, nikoli k síti závodu

V ideálním případě by měl mít dodavatel strojů přístup pouze ke strojům v závodě, za něž je odpovědný. Systém proto musí umožňovat konfiguraci pro oddělení sítě strojů od zbytku sítě. Proto nejsou strojní zařízení připojena k síti závodu přímo a musejí být nakonfigurována s odlišnými IP adresami. 

(2)  Vyhněte se používání některého z řídicích zařízení ve stroji (HMI, PC, PLC apod.) jako hostitele VPN pro vzdálený přístup

Používání jakéhokoli zařízení, které je součástí řízení stroje (PC, HMI nebo PLC), jako hostitele VPN může odčerpávat jeho zdroje a tím zhoršovat jeho výkon v rámci jeho hlavního úkolu, kterým je vlastní řízení. Nesmíme také zapomínat, že pro zajištění dostupnosti řídicího systému musí být také schopen fungovat v degradovaném režimu během útoku typu DoS.  Proto bude externí router fungovat jako hraniční ochranné zařízení pro odfiltrování určitých typů paketů za účelem ochrany řídicího systému před přímým ovlivněním útoky typu DoS. Zabrání tím, aby měl jakýkoli externí útok přímý dopad na řídicí systém a zastavil stroj. 

(3)  IP adresa routeru nesmí být viditelná na internetu

IP adresa routeru musí být před veřejným přístupem skrytá, aby hackerům znemožnila snadné skenování cíle. Používejte proto pro připojení k routeru pouze privátní VPN adresy namísto veřejných IP adres. 

(4)  Umožněte pouze odchozí spojení z důvěryhodných do nedůvěryhodných zón

Na internetu nesmí být vystaveny žádné interní firewallové porty a nesmí být vyžadovány žádné statické internetové IP adresy. 

Průmyslový router inicializuje odchozí zabezpečený VPN tunel typu point-to-point s vyhrazeným účtem v cloudu. Tento tunel je autentizován a šifrován prostřednictvím HTTPs a přechází přes podnikovou síť a skrz firewall (pouze odchozí směr). Na internetu pak přechází do cloudové sítě se službami vzdáleného přístupu. 

(5)  Veškerý síťový provoz musí být šifrován

Pracovníci vzdáleného přístupu, kteří se připojují po internetu, musejí využívat šifrovaný protokol, například provozovat klienta připojení VPN, aplikační server nebo přístup přes zabezpečený protokol HTTP a autentizovat se prostřednictvím silného mechanismu, jako je vícefaktorová autentizace na bázi tokenu. 

Pro šifrování je nutno využívat veřejné certifikáty na bázi běžně akceptovaných standardů a pokynů, jako je Internet Engineering Task Force (IETF), Request for Comment (RFC) 3647 pro PKI (Public Key Infrastructure se 2 048 bity) na bázi X.509. 

(6)  Při prvním nastavování zařízení změňte výchozí heslo

Výchozí hesla jsou v komunitě průmyslové automatizace dobře známá a lze je snadno najít na internetu nebo v uživatelské příručce. Když zařízení nebo aplikaci nastavujete poprvé, nezapomeňte toto heslo změnit. Změnou výchozích hesel chráníte systém před neoprávněnými uživateli usilujícími o získání přístupu prostřednictvím výchozích hesel. 

(7)  Zásady používání hesel aplikujte také na PLC

Konečným cílem vzdáleného přístupu je změnit konfiguraci stroje přístupem k zařízením, která stroj přímo ovládají. Přísné zásady pro hesla u PLC poskytují konečnou vrstvu obrany.

(8), (9), (10)… 

 „Chcete-li si prostudovat zbývajících 17 doporučení, kontaktujte nás a my vám rádi poskytneme plnou verzi technického dokumentu ‚Nejdůležitější doporučení pro zabezpečený vzdálený přístup‘ (v angličtině). Poskytovat zákazníkům zabezpečená řešení vzdáleného přístupu je naším hlavním předmětem podnikání, stejně jako spolehlivé služby pro zajištění kontinuity podnikání,“ uvedl Yvan Rudzinski (yvru@hms.se), obchodní ředitel společnosti HMS pro region CEE.

A co cloudová služba Talk2M?

Cloudová služba Talk2M je určena k doplnění VPN routerů eWON společnosti HMS a je první cloudovou službou pro IIoT, která nabízí službu vzdáleného přístupu pro průmyslové řídicí systémy.

Službu Talk2M využívají výrobci strojů, systémoví integrátoři a majitelé výrobních závodů. Ke službě Talk2M je již po celém světě připojeno více než 190 000 routerů eWON.

Prostřednictvím cloudové služby Talk2M může pracovník technického servisu na dálku programovat a odstraňovat problémy u svých PLC, monitorovat instalace přístupem k HMI, IP kamerám, počítačům atd.

Službu Talk2M pravidelně testují nezávislé společnosti (NVISO, Admeritia atd.) pro udržení vysoké míry zabezpečení v dnešním rychle se rozvíjejícím technologickém prostředí. 

Od května 2017 má služba Talk2M certifikaci ISECOM STAR, poté co prošla posuzováním společností Admeritia GmbH, nezávislou německou firmou zaměřenou na kybernetické zabezpečení. Tato společnost se specializuje na posuzování zabezpečení IT (etický hacking) a měření zabezpečení na bázi klíčových výkonnostních ukazatelů (KPI). 

Od konce roku 2017 společnost HMS disponuje pro službu Talk2M certifikátem ISO27001:2013. ISO27001 je široce známým a mezinárodně uznávaným standardem zabezpečení, který zajišťuje dlouhodobou správu zabezpečení a průběžné zlepšování.


 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

SCADA PROMOTIC a vzdialené dáta cez cloudovú platformu Talk2M (eWON)
2018-11-22 - 2018-11-22
Místo: Holiday Inn, Žilina
Automatizace a modernizace pivovarů 2019
2019-01-24 - 2019-01-24
Místo: Hotel Luční bouda, Pec pod Sněžkou
DIAGO 2019
2019-01-29 - 2019-01-30
Místo: Orea Resort Devět Skal ***, Sněžné - Milovy
Roboty 2019
2019-01-30 - 2019-02-01
Místo: Brno, hotel Avanti
AMPER 2019
2019-03-19 - 2019-03-22
Místo: Výstaviště Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

Mitsubishi Electric Europe B.V.
Mitsubishi Electric Europe B.V.
Pekařská 621/7
155 00 Praha 5
tel. +420 251 551 470

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2018 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI