Zabezpečenie priemyselných sietí je v súčasnej dobe pre firmy zásadnou témou, a preto mu venujú viac pozornosti. Dobre vedia, že kybernetické útoky na priemyselné technológie (OT, niekedy tiež ICS) sú stále častejšie a sofistikovanejšie, čo zvyšuje nielen riziko napadnutí a straty dát, ale predovšetkým výpadkov vo výrobe, ktoré môže spoločnosť stáť aj stovky tisíc eur.
V minulosti boli OT primárne zamerané na riadenie a automatizáciu priemyselných technológií a procesov. Systémy boli navrhnuté pre spracovanie veľkého množstva dát v reálnom čase a dôraz sa kládol predovšetkým na to, aby boli spoľahlivé a odolné voči poruchám. Preto je stále dôležitejšie integrovať OT s IT a vytvoriť tak bezpečné prepojenie medzi oboma systémami. To priemyselným firmám umožňuje lepšie riadiť svoje procesy a zlepšiť produktivitu.
Už v roku 1990 bol v USA vyvinutý tzv. Purdue model (známy ako PERA). Dodnes je považovaný za jeden z najrozšírenejších architektonických modelov v oblasti prevádzkovej technológie.
Purdue model poskytuje ucelený rámec pre riadenie a automatizáciu priemyselných procesov a umožňuje oddeliť (segmentovať) funkcie a zodpovednosti medzi rôznymi úrovňami riadenia a automatizácií. Kybernetické hrozby sa neustále vyvíjajú a prepojenie továrenských IT a OT systémov útočníkom nahráva do kariet – mnoho výrobných a priemyselných firiem sa stalo terčom napr. plošných ransomvérových útokov práve z dôvodu nedodržania riadnej segmentácie. Preto je potrebné priemyselné siete segmentovať, neustále monitorovať a aktualizovať bezpečnostné opatrenia v súlade s najnovšími hrozbami a trendmi v oblasti kybernetickej bezpečnosti.
Existuje niekoľko základných bezpečnostných princípov a pilierov, ktoré sú účinné a dôležité pre zaistenie kybernetickej bezpečnosti v priemysle. Nie je novinkou, že vďaka fúzii IT sveta do sveta OT, sú tieto piliere prevzaté práve z IT sveta (avšak doplnené o špecifiká OT – napr. proprietárne ICS protokoly atď.) Medzi hlavné princípy a piliere patrí:
Viditeľnosť – nie je možné chrániť to, o čom sa nevie. Preto je vhodné udržiavať aktuálny zoznam všetkých zariadení pripojených k sieti a robiť behaviorálnu analýzu ich komunikácie. Ďalším predpokladom je pravidelné skenovanie stavu a verzií (OT/IT) zariadení. Objavené zraniteľnosti je treba zaplátať.
Segmentácia – ďalším pilierom je izolácia, filtrovanie a inšpekcia sieťovej prevádzky. Predpokladom je nasadenie NGFW (OT) pre riadnu (mikro)segmentáciu a filtráciu sieťovej prevádzky. Využívať by sa mali funkcie IPS/IDS (OT) a virtuálnej záplaty. Nesmie sa zabudnúť ani na zabezpečenie e-mailovej a internetovej prevádzky a kontrolu neznámych súborov.
Endpointy – EDR/XDR riešenia umožnia zbierať informácie o tom, čo sa na zariadeniach deje (vrátane správy USB zariadení).
Access Management – rovnakojevhodná centralizovaná správa užívateľských/strojových identít, avšak za predpokladu prísne oddelenej priemyselnej a korporátnej identity. Na správu siete a riadenie zariadení by mali byť použité Jump Servery (+MFA) a implementované systémy určené k riadeniu prístupu do siete (NAC, 802.1x).
Audit, zálohy, compliance, IRP, riadenie rizík, SIEM/SOC – je vhodné centralizovať a vyhodnocovať bezpečnostné logy. Robustnou stratégiou zálohovania sa je možné pripraviť na neočakávané situácie. Zabúdať by sa nemalo ani na pravidelné školenie administrátorov a zamestnancov. Určite nepodceňujte analýzu rizík, čo je možné vyriešiť zavedením alebo aspoň inšpirovaním sa normou IEC 62443. A samozrejmosťou je vyžadovať dodržiavanie bezpečnostných zásad od dodávateľov.
Priemyselné riadiace systémy kombinujú mnoho zložitého hardvéru a softvéru, mnohokrát žiaľ aj veľmi zastaralého. Aby si výrobné spoločnosti udržali najvyššiu úroveň pripravenosti na kybernetickú bezpečnosť v OT, musia byť pri implementácii ochrany ako proaktívni, tak aj reaktívni. S tým môžu pomôcť špecializované tímy. Preto nečakajte, dohodnite si konzultáciu a zistite, ako je na tom vaša firma.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
