Zabezpečení průmyslových sítí je v současné době pro firmy zásadním tématem, a proto mu věnují více pozornosti. Dobře vědí, že kybernetické útoky na průmyslové technologie (OT, někdy též ICS) jsou stále častější a sofistikovanější, což zvyšuje nejen riziko napadnutí a ztráty dat, ale především výpadek ve výrobě, který může společnosti stát i desítky milionů korun.
V minulosti byly OT primárně zaměřeny na řízení a automatizaci průmyslových technologií a procesů. Systémy byly navrženy pro zpracování velkého množství dat v reálném čase a důraz se kladl především na to, aby byly spolehlivé a odolné vůči poruchám. Proto je stále důležitější integrovat OT s IT a vytvořit tak bezpečné propojení mezi oběma systémy. To průmyslovým firmám umožňuje lépe řídit své procesy a zlepšit produktivitu.
Moderní OT musí být schopny řídit a chránit průmyslové systémy v reálném čase a zároveň být odolné proti kybernetickým hrozbám. Proto je stále důležitější integrovat OT s IT a vytvořit tak bezpečné propojení mezi oběma systémy. To průmyslovým firmám umožňuje lépe řídit své procesy a zlepšit produktivitu. Ačkoliv to zní jako pohádka a fúze těchto dvou světů nám přináší jen samá pozitiva, tak je třeba dodat, že fúzí „IT světa“ do „OT světa“ poodkrýváme problematiku bezpečnosti z pohledu standardizace a možných plošných útoků. Běžné zranitelnosti OT světa, které jsou tu s námi od věku věků, se ve velkém tak často nezneužívaly, jako dnes. Propojením obou světů vzniká nový vektor útoku, kdy přes nezabezpečenou IT infrastrukturu můžeme napadnout zranitelnosti již zmiňovaného OT světa a proto je natolik nutné, se průmyslovou kybernetickou bezpečností o to více zabývat.
Už v roce 1990 byl v USA vyvinut tzv. Purdue model (známý jako PERA). Dodnes je považován za jeden z nejrozšířenějších architektonických modelů v oblasti provozní technologie.
Purdue model poskytuje ucelený rámec pro řízení a automatizaci průmyslových procesů a umožňuje oddělit (segmentovat) funkce a odpovědnosti mezi různými úrovněmi řízení a automatizací. Kybernetické hrozby se neustále vyvíjejí a propojení továrních IT a OT systémů útočníkům nahrává do karet – mnoho výrobních a průmyslových firem se stalo terčem např. plošných ransomwarových útoků právě z důvodu nedodržení řádné segmentace. Proto je nutné průmyslové sítě segmentovat, neustále monitorovat a aktualizovat bezpečnostní opatření v souladu s nejnovějšími hrozbami a trendy v oblasti kybernetické bezpečnosti.
Existuje několik základních bezpečnostních principů a pilířů, které jsou účinné a důležité pro zajištění kybernetické bezpečnosti v průmyslu. Není novinkou, že díky fúzi IT světa do světa OT, jsou tyto pilíře převzaty právě z IT světa (avšak doplněny o specifika OT – např. proprietární ICS protokoly atp.) Mezi hlavní principy a pilíře patří:
Viditelnost – nelze chránit to, o čem se neví. Proto je vhodné udržovat aktuální seznam všech zařízení připojených k síti a provádět behaviorální analýzu jejich komunikace. Dalším předpokladem je pravidelné skenování stavu a verzí (OT/IT) zařízení. Objevené zranitelnosti je nutné záplatovat.
Segmentace – dalším pilířem je izolace, filtrování a inspekce síťového provozu. Předpokladem je nasazení NGFW (OT) pro řádnou (micro)segmentaci a filtraci sítového provozu. Využívat by se měly funkce IPS/IDS (OT) a virtuální záplatování. Zapomenout se nesmí ani na zabezpečení e-mailového a internetového provozu a kontrolu neznámých souborů.
Endpointy – EDR/XDR řešení umožní sbírat informace o tom, co se na zařízeních děje (včetně správy USB zařízení).
Access Management – vhodná je rovněž centralizovaná správa uživatelských/strojových identit, avšak za předpokladu striktně oddělené průmyslové a korporátní identity. S tím souvisí, že vzdálené přístupy by měly být zabezpečené pomocí MFA. Ke správě sítě a řízení zařízení by měly být využity Jump Servery a implementovány systémy určené k řízení přístupu k síti (NAC, 802.1x).
Auditing, Backup, Compliance, Response, Risk, SIEM/SOC – po zapojení sběru dat je vhodné centralizovat a vyhodnocovat bezpečnostní logy. Robustní backup strategií lze připravit na neočekávané situace. Zapomínat by se nemělo ani na pravidelné školení administrátorů a zaměstnanců. Stejně tak nepodceňovat analýzu rizik, což lze vyřešit zavedením nebo alespoň inspirováním se normou IEC 62443. A samozřejmostí je vyžadovat dodržování bezpečnostních zásad po dodavatelích.
Průmyslové řídicí systémy kombinují mnoho složitého hardwaru a softwaru (mnohdy bohužel i velice zastaralého). Aby si výrobní společnosti udržely nejvyšší úroveň připravenosti na kybernetickou bezpečnost v OT, musí být při implementaci ochrany proaktivní. S tím mohou pomoci specializované týmy. Proto nečekejte, domluvte si konzultaci a zjistěte, jak je na tom vaše firma.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
