služby l podpora výroby

Segmentace sítě do logických zón omezuje interní hrozby, které, ačkoliv nejsou

tak běžné, často mají závažné důsledky.

Rozdělení do separátních logických zón

popisované jako „pokročilá segmentace

sítě“ je náročnější na implementaci a údržbu než tradiční lokální segmentace sítě;

ovšem považuje se za nejlepší způsob, jak

ochránit řídicí systém.

Jako minimum musí podniky zajistit bezpečné rozmístění firewallů a segmentaci

tak, aby byla blokována nevyžádaná příchozí komunikace, stejně jako izolovat sítě

tak, aby bylo možné omezit přenos dat

Jaká další opatření zúží prostor

k útoku na systémy s PLC?

d

Uzamčení všech nevyužívaných komunikačních portů a vypnutí všech nepoužívaných služeb jsou jednoduché kroky, které

přitom výrazně zúží prostor, jenž mají

útočníci k dispozici.

Podniky by měly pracovat s dodavateli,

kteří mají pro PLC a PAC uznávané certifikáty, např. Achilles, zahrnující bezpečnostní požadavky na konstrukci řídicích systémů i na inženýrské služby. Certifikáty

umožňují dodavatelům řídicích systémů

formálně doložit shodu svých řídicích

změnu organizace, která přinese lepší zabezpečení řídicích systémů, je důležité používat výhradně ty nejlepší postupy a vzdělávat pracovníky v tom, jaké kroky je třeba

učinit pro omezení rizik. Jedním z největších rizik pro zabezpečení je volba slabého

hesla. Ve světě, kde nejčastější hesla jsou

„password“ nebo „123456“, snad ani nelze dost zdůraznit, jak důležité je instruovat

uživatele, aby si vybírali silná hesla, a nabídnout jim doporučení, jak to udělat.

Požadavek autentizace mezi klientskou

aplikací (či aplikacemi) a serverem zajistí,

že na server mohou mít přístup jen autentizované aplikace uživatelů. Multifaktorová autentizace a řízení přístupu založené

na rolích jsou nejlepší volbou, pokud váš

systém tuto úroveň zabezpečení podporuje.

Jaký je nejlepší způsob,

jak izolovat síť PLC?

k zařízením, která k tomu nejsou určená.

Ideálním prostředkem pro zvýšení této

schopnosti je použití pokročilých firewallů

nebo firewallů na aplikační vrstvě komunikační sítě.

Jiným způsobem, jak omezit důsledky

prolomení obrany, je využití redundance

nebo využití záložních komponent, takže

systém může pokračovat v činnosti i v případě, že je primární komponenta v důsledku kybernetického útoku vyřazena

z provozu.

Nakonec: jedna z nejdůležitějších věcí

pro omezení dopadu prolomení obrany

je vytvoření efektivních a účelných procesů zachování nebo obnovy kontinuity podnikových procesů a uplatňování

takových pravidel, aby se důsledky prolomení obrany nemohly rozšířit a aby

zkušenosti z jednoho incidentu pomohly vypořádat se s budoucími hrozbami.

systémů s požadavky kybernetické bezpečnosti.

Monitorování komunikace mezi stroji

v závodě je dalším kritickým krokem, který

pomůže odvrátit nebezpečí útoku. Veškerá komunikace musí být zabezpečená

a musí se odehrávat výhradně protokoly

určenými pro průmyslovou automatizaci,

jako je např. OPC UA (OPC Unified Architecture). Součástí OPC UA jsou totiž robustní zabezpečovací mechanismy, které

obsahují autentizaci, autorizaci, šifrování

a kontrolu integrity dat. Jestliže se při monitorování síťové komunikace zjistí, že se

otevřel nový port nebo byl použit neznámý protokol, musí to být vždy varováním

před hrozbou útoku.

d

Největší riziko při přístupu na dálku představuje to, že hackerům umožňuje zvnějšku získat hlubší přístup do organizace.

Když už ho získají, je velmi náročné zabránit neplánovaným odstávkám, ztrátě kontroly, úniku dat apod. Podniky by si proto

měly nechat své sítě PLC prověřit, vyhledat

zastaralé a možná zapomenuté možnosti

přístupu, které by mohly hackerům

posloužit, a pravidelně monitorovat přístupové body. Podnik může implementovat

multifaktorovou autentizaci, která vyžaduje, aby uživatel v autentizačním mechanismu k získání přístupu k zařízení, aplikaci

nebo datům úspěšně použil minimálně dva

autentizační prvky či faktory.

Nejběžněji se používá dvoufaktorová autentizace, která je součástí širší množiny

autentizací multifaktorových. Ve dvoufaktorové autentizaci se uživatel prokazuje

kombinací dvou různých po sobě následujících faktorů: něčím, co musí znát, např.

heslem, něčím, co musí mít u sebe, což je

přístupová karta nebo softwarový token,

nebo biometrickým znakem – otiskem prstu či snímkem obličeje.

Autorem je Steve Ward je ředitel pro

aplikační engineering pro region EMEA

a má u firmy Emerson na starost řešení pro

automatizaci strojů se zaměřením na řídicí

systémy, operátorská rozhraní, průmyslová

PC a software i hardware pro průmyslový

internet věcí (IIoT) s uplatněním v oblasti

průmyslové automatizace.

p

www.emerson.com/Industrial-Automation-Controls

Jaký je nejlepší způsob

autentizace uživatele PLC?

d

Jednou z největších hrozeb pro každou organizaci je nutnost improvizace. Pro efektivní

www.technikaatrh.cz

53