pohony l automatizace l převody
Segmentace sítě do logických zón omezuje interní hrozby, které, ačkoliv nejsou
tak běžné, často mají závažné důsledky.
Rozdělení do separátních logických zón
popisované jako „pokročilá segmentace
sítě“ je náročnější na implementaci a údržbu než tradiční lokální segmentace sítě;
ovšem považuje se za nejlepší způsob, jak
ochránit řídicí systém.
Jako minimum musí podniky zajistit bezpečné rozmístění firewallů a segmentaci
tak, aby byla blokována nevyžádaná příchozí komunikace, stejně jako izolovat sítě
tak, aby bylo možné omezit přenos dat
Jaká další opatření zúží prostor
k útoku na systémy s PLC?
d
Uzamčení všech nevyužívaných komunikačních portů a vypnutí všech nepoužívaných služeb jsou jednoduché kroky, které
přitom výrazně zúží prostor, jenž mají
útočníci k dispozici.
Podniky by měly pracovat s dodavateli,
kteří mají pro PLC a PAC uznávané certifikáty, např. Achilles, zahrnující bezpečnostní požadavky na konstrukci řídicích systémů i na inženýrské služby. Certifikáty
umožňují dodavatelům řídicích systémů
formálně doložit shodu svých řídicích
změnu organizace, která přinese lepší zabezpečení řídicích systémů, je důležité
používat výhradně ty nejlepší postupy a
vzdělávat pracovníky v tom, jaké kroky
je třeba učinit pro omezení rizik. Jedním
z největších rizik pro zabezpečení je
volba slabého hesla. Ve světě, kde nejčastější hesla jsou „password“ nebo
„123456“, snad ani nelze dost zdůraznit, jak důležité je instruovat uživatele,
aby si vybírali silná hesla, a nabídnout
jim doporučení, jak to udělat.
Požadavek autentizace mezi klientskou
aplikací (či aplikacemi) a serverem zajistí,
že na server mohou mít přístup jen autentizované aplikace uživatelů. Multifaktorová autentizace a řízení přístupu založené
na rolích jsou nejlepší volbou, pokud váš
systém tuto úroveň zabezpečení podporuje.
Jaký je nejlepší způsob,
jak izolovat síť PLC?
k zařízením, která k tomu nejsou určená.
Ideálním prostředkem pro zvýšení této
schopnosti je použití pokročilých firewallů
nebo firewallů na aplikační vrstvě komunikační sítě.
Jiným způsobem, jak omezit důsledky
prolomení obrany, je využití redundance
nebo využití záložních komponent, takže
systém může pokračovat v činnosti i v případě, že je primární komponenta v důsledku kybernetického útoku vyřazena
z provozu.
Nakonec: jedna z nejdůležitějších věcí
pro omezení dopadu prolomení obrany
je vytvoření efektivních a účelných procesů zachování nebo obnovy kontinuity podnikových procesů a uplatňování
takových pravidel, aby se důsledky prolomení obrany nemohly rozšířit a aby
zkušenosti z jednoho incidentu pomohly vypořádat se s budoucími hrozbami.
systémů s požadavky kybernetické bezpečnosti.
Monitorování komunikace mezi stroji
v závodě je dalším kritickým krokem, který
pomůže odvrátit nebezpečí útoku. Veškerá komunikace musí být zabezpečená
a musí se odehrávat výhradně protokoly
určenými pro průmyslovou automatizaci,
jako je např. OPC UA (OPC Unified Architecture). Součástí OPC UA jsou totiž robustní zabezpečovací mechanismy, které
obsahují autentizaci, autorizaci, šifrování
a kontrolu integrity dat. Jestliže se při monitorování síťové komunikace zjistí, že se
otevřel nový port nebo byl použit neznámý protokol, musí to být vždy varováním
před hrozbou útoku.
Jaký je nejlepší způsob
autentizace uživatele PLC?
d
Největší riziko při přístupu na dálku představuje to, že hackerům umožňuje zvnějšku získat hlubší přístup do organizace.
Když už ho získají, je velmi náročné zabránit neplánovaným odstávkám, ztrátě
kontroly, úniku dat apod. Podniky by si
proto měly nechat své sítě PLC prověřit,
vyhledat zastaralé a možná zapomenuté
možnosti přístupu, které by mohly hackerům posloužit, a pravidelně monitorovat
přístupové body. Podnik může implementovat multifaktorovou autentizaci, která
vyžaduje, aby uživatel v autentizačním
mechanismu k získání přístupu k zařízení,
aplikaci nebo datům úspěšně použil minimálně dva autentizační prvky či faktory.
Nejběžněji se používá dvoufaktorová autentizace, která je součástí širší množiny
autentizací multifaktorových. Ve dvoufaktorové autentizaci se uživatel prokazuje
kombinací dvou různých po sobě následujících faktorů: něčím, co musí znát, např.
heslem, něčím, co musí mít u sebe, což je
přístupová karta nebo softwarový token,
nebo biometrickým znakem – otiskem prstu či snímkem obličeje.
Autorem je Steve Ward je ředitel pro
aplikační engineering pro region EMEA
a má u firmy Emerson na starost řešení pro
automatizaci strojů se zaměřením na řídicí
systémy, operátorská rozhraní, průmyslová
PC a software i hardware pro průmyslový
internet věcí (IIoT) s uplatněním v oblasti
průmyslové automatizace.
p
www.emerson.com/Industrial-Automation-Controls
d
Jednou z největších hrozeb pro každou organizaci je nutnost improvizace. Pro efektivní
www.technikaatrh.cz
29