Print

Osm způsobů kybernetického zabezpečení ICS v ultrapropojeném světě

-- 23.07.18

Implementace strategie kybernetického zabezpečení proti interním a externím hrozbám je klíčovým krokem k zabezpečení průmyslového řídicího systému (Industrial Control System – ICS).

U průmyslových řídicích systémů (ICS) lze snížit kybernetické riziko vytvořením plánu kybernetického zabezpečení na bázi hloubkové obrany a dodržováním níže uvedených osmi doporučení.

V moderním věku chytré výroby přináší internet věcí (IoT) a Průmysl 4.0 významné konkurenční výhody – konektivita je tou správnou cestou pro budoucnost. Některé firmy iniciativně zavádějí kybernetické zabezpečení, jiné to však berou na lehkou váhu, dokud nezaznamenají hrozbu nebo narušení. Vybudování robustní strategie kybernetického zabezpečení pro ochranu před kybernetickými útoky vyžaduje holistický a vícevrstevný přístup. Uvádíme několik doporučení, která jsou klíčem k vypracování robustního plánu kybernetického zabezpečení systému ICS. 

Plán kybernetického zabezpečení na bázi hloubkové obrany

„Hloubková obrana“ je pojem používaný k označení strategie plánování pro zabezpečení systému ICS. Popisuje ideální stav s mnoha vrstvami systému zabezpečení a kontrolou přístupu. Začněte identifikací interních, externích, fyzických a virtuálních hrozeb pro řídicí systém. Vyhodnoťte, jak velké riziko každá hrozba představuje, a podle toho rozdělte rozpočet pro úspěšný plán  kybernetického zabezpečení. Vypracujte komplexní plán pro zmírnění těchto rizik na „přijatelnou“ úroveň (která bude pro každý subjekt odlišná). Následně vypracujte postupy, jak řešit jednotlivé hrozby nebo narušení, pokud k nim dojde. Naplánujte monitorování systému a výstrahy upozorňující uživatele na probíhající nebo proběhlé narušení.

1. Segmentace

Segmentace je strategií hloubkové obrany využívající princip rozdělení sítě za účelem omezení rozsahu škody, k níž by mohlo v případě narušení dojít. Segmentace vytváří samostatné izolované sítě (segmenty) v rámci větší sítě pro zabránění nežádoucímu přístupu a omezení zranitelnosti systému. Segmentaci lze vytvořit fyzicky pomocí doplňkového hardwaru, jako je kabeláž a přepínače, ale tento postup je časově náročný a dražší, než kdyby se realizoval virtuálně.

Izolované sítě v rámci většího systému se obvykle vytvářejí prostřednictvím místních virtuálních sítí (Virtual Local Area Networks – VLAN). Segmentace může být velmi jednoduchá, například oddělení výrobní sítě od obchodní sítě, nebo složitější, která vzniká vytvořením různých segmentů pro každou výrobní buňku.

Kupříkladu ve farmaceutickém průmyslu může být od sebe vzájemně izolována každá výrobní buňka nebo balicí linka. Pokud síťové segmenty potřebují komunikovat, dodatečnou ochranu může poskytnout firewall. Firewall je samostatným zařízením, které rozhoduje, zda povolí průchod síťového provozu nebo jej zablokuje.

Pokud má závod regionální rozsah, rozdělení na segmenty podle jednotlivých lokalit může chránit před potenciálně katastrofickým selháním celého systému. Je-li požadováno další oddělování, lze v každém závodě vytvořit segmenty pro systémy, jako jsou přístrojové, řídicí a vizualizační sítě.

2. Demilitarizovaná zóna

Zvláštním případem segmentace je demilitarizovaná zóna (DMZ). Ačkoli obecně není DMZ v systémech ICS implementována, v určitých situacích je důležitá. Správně navržená DMZ neumožňuje přechod síťového provozu přímo přes DMZ z obchodní sítě nebo internetu do sítě ICS. Uvnitř DMZ vystupují servery nebo zařízení jako prostředníci pro komunikaci napříč zónou DMZ.

3. Pravidelné zálohy a aktualizace

Zajistěte, aby byly systémy pravidelně zálohované. Vytvořte obrazy všech pevných disků, zálohujte virtuální počítače a uložte konfiguraci a programy na ukládací zařízení, jako je síťový disk NAS (Network Attached Storage). Pro posílení ochrany by měly být zálohy duplikovány na další zařízení mimo lokalitu. Bez ohledu na to, jak moc zabezpečená obrana může být, nikdy to není na 100 %. Zálohy jsou klíčovým nástrojem pro rychlé a bezproblémové obnovení.

Udržujte systémy aktualizované pomocí nejnovějších záplat a aktualizujte počítače, na nichž běží již nepodporované operační systémy. Zranitelná místa těchto zastaralých platforem jsou často veřejně známá, ačkoli výrobce již nenabízí žádné záplaty.

Přihlaste se k odběru e-mailových zpravodajů výrobců automatizačních zařízení, abyste dostávali relevantní bulletiny týkající se zabezpečení. Dále se přihlaste k odběru oznámení ICS-CERT amerického Ministerstva národní bezpečnosti.

4. Specializovaná zařízení pro zabezpečení

Několik výrobců vyrábí produkty kybernetického zabezpečení speciálně pro systémy ICS. Nástroje pro zabezpečení na bázi firewallu mají hardware a software přizpůsobené pro systémy ICS. Tyto nástroje umožňují definování pravidel a rozhodují, která zařízení smí komunikovat se systémem a které porty a protokoly mohou využívat. Firewall omezí komunikaci pouze na stávající zařízení, aby zajistil náležitý tok síťového provozu. Firewall pozná, když komunikace nevypadá tak, jak má, a síťový provoz zablokuje. Kromě zablokování síťového provozu lze nastavit také oznámení nebo alarmy.

5. Vytvořte robustní firemní kulturu dodržování zabezpečení

Kybernetické zabezpečení vyžaduje kombinaci zdravého rozumu a informovanosti. Mnoho hrozeb a útoků vzniká interně a nedopatřením, což podtrhuje nutnost angažovat pracovníky v tomto úsilí a zajistit jejich bdělost. Vytvořte průběžný plán vzdělávání a zaveďte proces vyškolení pro budoucí zaměstnance. Vyškolte zaměstnance v oblasti obvyklé taktiky sociálního inženýrství. Sociální inženýrství je umění manipulovat s lidmi tak, aby poskytli důvěrné informace – phishingové e-maily, které vypadají jako z legitimního zdroje, nebo telefonní hovory, které mají lidi lstí přimět poskytnout informace. Vysvětlete zaměstnancům, čeho si mají všímat, na co nemají klikat a jak se mají vyhnout dalším obvyklým nástrahám.

6. Využívejte omezený přístup a unikátní hesla

Využívejte strategii „co nejmenších privilegií“ a poskytněte zaměstnancům přístup výhradně jen k tomu, co potřebují ke své práci. Požadujte po uživatelích, aby měli unikátní hesla, a nikdy neponechávejte systém nastavený na výchozí heslo. Uživatelé si také nesmějí zapisovat hesla na místa dostupná veřejnosti, v blízkosti zařízení ani nikam jinam. Všude, kde je to možné, zaveďte dvoufaktorovou autentizaci prostřednictvím technologie, jako je plovoucí kód (rolling code), biometrický údaj apod. Dvoufaktorová autentizace by měla být povinná u všech zařízení poskytujících vzdálený přístup k internímu systému. 

7. Obrana fyzického přístupu

Náležitá opatření fyzického zabezpečení se často přehlížejí. U obrany fyzického přístupu začněte zabezpečením vstupu do závodu. Zvažte zavedení ochranky, systému pro kontrolu přístupu, oplocených perimetrů a zamykání dveří systému kritické infrastruktury, jako jsou servery a řídicí místnosti systému SCADA (Supervisory Control And Data Acquisition). Odstraňte klíč u programovatelných automatů (PLC), který umožňuje pozměnit program, pokud je dostupný, a uzamkněte řídicí skříně, abyste zabránili v přístupu neoprávněným osobám. Rovněž deaktivujte nebo uzamkněte porty USB řídicího systému.

Prostřednictvím těchto portů USB je možno vnášet viry nebo odcizit data. Zaměstnanci mohou neúmyslně narušit zabezpečení také tím, že si skrze tyto porty nabíjejí své mobilní telefony.

8. Udržujte dobrý vztah se systémovým integrátorem

Mít k dispozici další pár očí, který zná nazpaměť automatizační systémy firmy, je neocenitelným aktivem. Například v loňském roce se spustila série útoků ransomwaru cílená proti firmám. Systémový integrátor, kterému důvěřujete, může pomoci v průběhu kybernetického útoku nebo po něm a je schopen rychle zajistit obnovení, pokud má důvěrnou znalost aplikací a procesů systému ICS zákazníka a podrobnou dokumentaci softwarových programů, včetně nedávných záloh.

Implementace strategie kybernetického zabezpečení na bázi hloubkové obrany nemusí být nákladná ani časově náročná.

Zavedení několika vrstev obrany výrazně zvýší míru zabezpečení systému ICS. Integrátoři řídicího systému spolupracují přímo s oddělením IT zákazníka na návrhu a instalaci požadovaných technologií kybernetického zabezpečení výroby a zajistí vyškolení.

Integrátoři pracují ruku v ruce se zákazníky nebo mohou působit v případě potřeby jako poradci.


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

PROMOTIC Semináře
2018-10-23 - 2018-10-23
Místo: Trnava
ÚDRŽBA 2018
2018-10-24 - 2018-10-25
Místo: Liblice
PROMOTIC Semináře
2018-10-24 - 2018-10-24
Místo: Praha
Školení pro uživatele kalibrátorů a kalibračního software Beamex
2018-10-30 - 2018-10-31
Místo: Jelínkova vila, Třebíčská 342/10, 594 01 Velké Meziříčí
Bezpečnost v průmyslu
2018-10-31 - 2018-10-31
Místo: Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

Mitsubishi Electric Europe B.V.
Mitsubishi Electric Europe B.V.
Pekařská 621/7
155 00 Praha 5
tel. +420 251 551 470

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2018 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI