Průmyslové řídicí systémy (ICS) jsou nejen komplexní, ale také kritické pro fungování průmyslové infrastruktury. Propojují digitální a fyzické komponenty a interpretují příkazy, které řídí celý provoz. To s sebou nese i potřebu řízení rizik. Na základě zkušeností svých i našich klientů jsme připravili seznam sedmi nejčastěji se vyskytujících otázek a odpovědí, jak je řešit.

1. „Potřebuji zajistit dostupnost průmyslového provozu“

Pro průmyslová zařízení platí jednoduché pravidlo: musejí být permanentně plně schopné provozu. Přetížená síť, ztráta spojení nebo dokonce DDoS útok mohou způsobit přerušení komunikace v řídicím řetězci a následně kratší i dlouhodobější neplánovaný výpadek.

To může ohrozit provoz, snížit produktivitu a v horším případě způsobit závažnější problémy (dopad na životní prostředí nebo rizika pro člověka). Představte si např. že ve slévárně klesne teplota nádrže naplněné roztaveným kovem pod požadovanou úroveň, což způsobí ztuhnutí jeho obsahu; celou jednotku by pak bylo nutné zničit a nainstalovat znovu. Nebo si v kontextu transportu představte přepravník, který převezme chybný signál a vydá se špatným směrem.

Zajištění dostupnosti sítě

Pro ochranu před takovýmito a obdobnými situacemi nabízí Stormshield Network Security funkce vysoké dostupnosti, které v případě selhání jednoho zařízení zajistí kontinuitu provozu. Průmyslový firewall SNi40 nabízí také režim přemostění, který zaručuje konektivitu i v případě výpadku.

2. „Potřebuji zajistit integritu našich údajů“

Změna v datech může mít v odvětví průmyslu stejně zásadní dopad jako jejich odcizení. To je mimo jiné jedno z ponaučení z viru Stuxnet. Svět průmyslu potřebuje stoprocentní jistotu, co se týče integrity vydaných příkazů a informací zasílaných do různých zařízení.

V roce 2010 počítačový červ Stuxnet pozměnil informace zaslané dohledovým a kontrolním zařízením, což vyvolalo dojem, že centrifugy stále pracují správnou rychlostí. Výsledky toho se zapsaly do historie.

Ochrana průmyslových protokolů

Produkty Stormshield Network Security dokážou chránit a filtrovat různé typy průmyslových protokolů (např. Modbus, IEC104, atd.) pomocí hloubkové kontroly paketů (DPI), VPN IPSec a VPN SSL funkcí a také pokročilého systému správy událostí a alarmů.

Kontrola IT a OT protokolů přes Stormshield SNi40

3. „Potřebuji spolehlivé příchozí připojení k internetu“

Pokud máte vzdáleně spravovaný nebo dohlížený průmyslový provoz, je internetové připojení zásadní – ať už kvůli kamerovému sytému nebo robotům. Všude, kde se používá externí připojení, je třeba zajistit, aby nedošlo k narušení zařízení, které je vzdáleně připojené k průmyslové infrastruktuře, a předcházelo se tak problémům, jako jsou např. útoky smurf.

Kromě zajištění spolehlivého příchozího připojení je v některých případech také potřeba zablokovat všechna spojení. Představte si poruchu v průmyslovém lisu, která je detekována vzdáleně, ale vyžaduje zásah člověka na místě. Odpojením vnějšího připojení je možné vyloučit riziko úrazu při nekontrolovaném spuštění linky.

Filtrování toků informací

Řada Stormshield Network Security umožňuje konfiguraci řady různých tokových (flow) pravidel, která autorizují spojení v závislosti na denní době, zúčastněné osoby (např. identifikace captive portálem), a používá DPI pro analýzu příkazů.

4. „Potřebuji řídit komunikaci mezi mým OT a IT“

Stále častěji vzniká potřeba zabezpečeného spojení mezi systémem provozních technologií (OT) a „tradičním“ IT. To platí zejména v případě, že jde o informace z IT, které mají být vloženy do ERP.

Zabezpečená brána mezi oběma prostředími může snížit náklady na skladování anebo nedostupnost dílů ve výrobním řetězci. Například v továrně na plnění do lahví by bylo možné zajistit, aby kamion dorazil přesně ve správný okamžik po dokončení výroby.

Omezení informačních toků

Pravidla pro datové toky a DPI v řadě Stormshield Network Security dovolují omezit spojení pouze na bezpečné a plánované datové výměny mezi IT a OT.

5. „Chci, aby moje provozní a IT oddělení pracovala společně“

Kybernetická bezpečnost se netýká výhradně jen IT nebo OT. Oba světy musejí být schopny mluvit stejným jazykem, ujistit se, že si navzájem rozumí, a poskytují pravidla konzistentní pro obě oblasti.

Oddělení informačních systémů na straně IT bývá obecně co do zkušeností a úrovně zabezpečení dále. Tyto zkušenost je potřeba sdílet se stranou provozu. Pokud však používají různé nástroje, může být výměna velmi složitá.

Použití stejného jazyka zabezpečení

Řešení Stormshield Management Center umožňuje konfigurovat firewally Stormshield Network Security v oblastech IT i OT. Tento nástroj pro správu poskytuje oběma stranám stejnou informační základnu a umožňuje jim komunikovat pomocí stejných jazykových komponent.

6. „Chci udržet náskok před riziky IoT“

Během posledních několika let přinášejí projekty Industry IoT (IIoT) stále nové technologické pokroky. Jak lze však tyto inovace integrovat, aniž by byste ohrozili stávající provoz?

Ať už přidání senzorů pro predikci selhání nebo využití cloudu pro optimalizaci výroby znamenají nová spojení mezi provozem a vnějším světem. Tyto informační toky se mohou stát branou pro kybernetické útoky.

Řízení informačních toků

Pokaždé, když dochází k výměně datových toků mezi průmyslovou a IT infrastrukturou, dokáže Stormshield Network Security omezit jejich objem a sledovat příkazy a informace, které si předávají pomocí inspekce paketů a toků.

7. „Chci zajistit integritu digitálního dvojčete“

Preventivní a prediktivní údržba, simulace změn, monitorování úrovně spotřeby energie – to jsou jen některé z možností digitálních dvojčat. Odesílaná a přijímaná data jsou však bez integrace k ničemu.

Problém je zde stejný jako u Stuxnetu: pokud je digitální dvojče poškozeno a vrátí závadné informace, může to mít kritické důsledky v produkci.

Zajištění integrity digitálních dvojčat

Cílem je v tomto případě duplikovat zabezpečení produkčního prostředí digitálního dvojčete. Za tímto účelem je k dispozici virtualizovaná varianta Stormshield Network Security, která nabízí stejnou účinnost jako fyzická zařízení.

Chcete se o problematice ochrany IT a provozu dozvědět více?

Přijďte na konferenci IT/OT bezpečnost 2019. Registrace je zdarma.

Na základě textu Roberta Wakima přeložil a zkrátil Jan Mazal.