Jak zapewnić bezpieczeństwo sieci przemysłowych?

From |

Cyfryzacja oferuje wiele możliwości, ale też wiąże się z ryzykiem. Na przykład sieć fabryczna może być przedmiotem niechcianych ataków, takich jak:

  • nieautoryzowany dostęp,
  • złośliwe oprogramowanie,
  • nieprawidłowe działanie lub awaria.

W odpowiedzi na te zagrożenia bezpieczeństwo cybernetyczne proponuje rozwiązania mające na celu zapobieganie lub przynajmniej minimalizację szkód. Zasadniczo są to metody ograniczania dostępu. Poniżej poruszone zostaną niektóre aspekty związane z bezpieczeństwem sieci przemysłowych, takie jak ochrona przed nieautoryzowanym dostępem czy bezpieczny zdalny dostęp.

Please accept statistics, marketing cookies to watch this video.

Ochrona przed nieautoryzowanym dostępem

Niezależnie od tego, czy należy zapobiegać atakowi ukierunkowanemu, czy nadużyciom wewnętrznym, ochrona dostępu jest prawdopodobnie najważniejszym instrumentem cyberbezpieczeństwa. Proces rozpoczyna się fizyczną ochroną przed nieuprawnionym dostępem.

Router – FL MGUARD 1102 – 1153079

Przykładem takiego rozwiązania jest np. router FL MGUARD 1102. Jeśli atakujący nie uzyska dostępu do sieci, potencjalne szkody są oczywiście znacznie mniejsze.

Sprawdź parametry techniczne

Bezpieczeństwo na poziomie sieciowym

Zapory sieciowe to pierwsza linia obrony zapobiegająca nieautoryzowanym włamaniom za pośrednictwem łączy komunikacyjnych. Filtrują one połączenia komunikacyjne, dzięki czemu można utworzyć tylko dozwolone połączenia. Filtrowanie to może być zintegrowane w urządzeniu lub realizowane przez dedykowaną zaporę sieciową. Wbudowana zapora sieciowa jest korzystna pod względem kosztów, ale jest bardziej podatna na ataki w zależności od jakości implementacji głównego systemu. Jeśli ma być używanych wiele różnych urządzeń ze zintegrowaną zaporą sieciową, wszystkie warianty muszą być zarządzane. Jeśli więc główny system zostanie zaatakowany, zaporę sieciową można również zinfiltrować. Ponadto konfiguracja każdej wbudowanej w urządzeniu zapory sieciowej wymaga wiedzy.

Dedykowana zapora sieciowa jako urządzenie zewnętrzne pozwala na wybór zabezpieczenia niezależnego od innych komponentów automatyki. Ponadto można zrealizować zarządzanie centralne. Niezależne urządzenie zabezpieczające okazuje się być odporne na słabe punkty w porównaniu do innych komponentów automatyki. Można też je aktualizować bez wpływu na pracę całego systemu. W przypadku przeciążenia sieci zapora sieciowa zapewnia ochronę, ponieważ sama może przejąć obciążenie, chroniąc w ten sposób elementy automatyki znajdujące się za nią.

Bezpieczny zdalny dostęp

Zdalne połączenia przez Internet, jak na przykład VPN, powinny być zawsze szyfrowane. Protokoły stosowane w tym celu na ogół nie tylko chronią przed przechwyceniem i podsłuchaniem informacji, ale również zawierają mechanizmy chroniące przed manipulacją. Integracja zabezpieczenia poprzez oprogramowanie lub jako już wbudowana funkcja daje korzyści finansowe, natomiast wykonanie jako dedykowany komponent ma pozytywny wpływ na jakość wdrożenia i zarządzania.

Router – FL MGUARD RS4000 TX/TX VPN

Dlatego funkcje VPN i zapory sieciowej są w wielu rozwiązaniach połączone (rysunek poniżej, jak np. w routerze FL MGUARD RS4000 TX/TX VPN.

Sprawdź parametry techniczne

Szyfrowana transmisja danych

Bezpieczeństwo na poziomie użytkownika

Jeżeli komunikacja została dopuszczona przez zaporę sieciową lub jest możliwa poprzez dostęp lokalny, należy ją zabezpieczyć przez logowania użytkownika. Zarządzanie użytkownikami może odbywać się lokalnie, ale jest wtedy trudne do zarządzania. Bardziej praktyczne okazują się systemy centralnego zarządzania. Jeśli system nie obsługuje kontroli dostępu, pomóc może dedykowana zapora sieciowa. Zapora ta pozwoli na wstępnie zdefiniowane połączenia tylko wtedy, gdy użytkownik zalogował się już do zapory.

Centralne zarządzanie użytkownikami

Ochrona przed złośliwym oprogramowaniem

Wiele szkód jest spowodowanych przez złośliwe oprogramowanie, którego negatywny efekt pojawia się dopiero po uruchomieniu. Aby zapobiec działaniu złośliwego oprogramowania, antywirus jest klasycznym produktem zabezpieczającym. Jednak jego jakość zależy od szybkości wykrywania i regularnych aktualizacji. Ponadto zapotrzebowanie na moc obliczeniową i sporadyczne wykrywanie błędów prowadzą do nieprawidłowego działania aplikacji automatyki. Bardziej odpowiednie są rozwiązania, które bezpośrednio uniemożliwiają uruchomienie nieznanego oprogramowania, a także komponenty automatyki z wbudowaną ochroną. Istotnym elementem jest tutaj bezpieczny proces aktualizacji, który umożliwia instalację tylko oryginalnego oprogramowania.

Wniosek

Porównanie zintegrowanych funkcji bezpieczeństwa z wyspecjalizowanymi produktami zabezpieczającymi jasno pokazuje, że obie koncepcje mają swoje mocne strony i powinny w najlepszym przypadku się wzajemnie uzupełniać.

Wbudowane funkcje okazują się szczególnie przydatne, jeśli np. cała aplikacja jest obsługiwana przez jedną jednostkę sterującą, która jest używana również do łączenia się z Internetem. Bardziej złożone systemy składające się z kilku urządzeń łączące funkcje wyspecjalizowanej zapory sieciowej i VPN są lepszym rozwiązaniem. Jednoczesne korzystanie z funkcji zabezpieczeń zintegrowanych z komponentami może dodatkowo zwiększyć poziom bezpieczeństwa.


Autor: Mateusz Pustułka – Specjalista ds. Szkoleń i Wsparcia Technicznego

Share

Share

Tell your friends about us!

Contact

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.