17 hlavních doporučení pro zabezpečený vzdálený přístup

17 hlavních doporučení pro zabezpečený vzdálený přístup

Použití veřejných sítí pro přístup k průmyslovým závodům nebo strojům vede k potenciálním hrozbám v podobě kybernetických útoků na aktiva uživatele vystavená na internetu. Útok na průmyslový řídicí systém může mít nežádoucí důsledky, jako je narušení operací procesu, neoprávněná změna programu PLC, odeslání falešných informací operátorům nebo potlačení alarmových stavů apod. 

Proto když využíváte jednoznačných výhod vzdálené podpory poskytované dodavateli strojů, je také naprosto nezbytné zajistit konfiguraci s adekvátními protiopatřeními pro omezení rizika a důsledků případného kybernetického útoku. O tom však více v samostatném článku... V tomto dalším Vám prozradíme několik hlavních doporučení pro zabezpečení tohoto vzdáleného přístupu

(1)  Dodavatel stroje musí mít přístup ke stroji, nikoli k síti závodu

V ideálním případě by měl mít dodavatel strojů přístup pouze ke strojům v závodě, za něž je odpovědný. Systém proto musí umožňovat konfiguraci pro oddělení sítě strojů od zbytku sítě. Proto nejsou strojní zařízení připojena k síti závodu přímo a musejí být nakonfigurována s odlišnými IP adresami. 

(2)  Vyhněte se používání některého z řídicích zařízení ve stroji (HMI, PC, PLC apod.) jako hostitele VPN pro vzdálený přístup

Používání jakéhokoli zařízení, které je součástí řízení stroje (PC, HMI nebo PLC), jako hostitele VPN může odčerpávat jeho zdroje a tím zhoršovat jeho výkon v rámci jeho hlavního úkolu, kterým je vlastní řízení. Nesmíme také zapomínat, že pro zajištění dostupnosti řídicího systému musí být také schopen fungovat v degradovaném režimu během útoku typu DoS.  Proto bude externí router fungovat jako hraniční ochranné zařízení pro odfiltrování určitých typů paketů za účelem ochrany řídicího systému před přímým ovlivněním útoky typu DoS. Zabrání tím, aby měl jakýkoli externí útok přímý dopad na řídicí systém a zastavil stroj. 

(3)  IP adresa routeru nesmí být viditelná na internetu

IP adresa routeru musí být před veřejným přístupem skrytá, aby hackerům znemožnila snadné skenování cíle. Používejte proto pro připojení k routeru pouze privátní VPN adresy namísto veřejných IP adres. 

(4)  Umožněte pouze odchozí spojení z důvěryhodných do nedůvěryhodných zón

Na internetu nesmí být vystaveny žádné interní firewallové porty a nesmí být vyžadovány žádné statické internetové IP adresy. 

Průmyslový router inicializuje odchozí zabezpečený VPN tunel typu point-to-point s vyhrazeným účtem v cloudu. Tento tunel je autentizován a šifrován prostřednictvím HTTPs a přechází přes podnikovou síť a skrz firewall (pouze odchozí směr). Na internetu pak přechází do cloudové sítě se službami vzdáleného přístupu. 

(5)  Veškerý síťový provoz musí být šifrován

Pracovníci vzdáleného přístupu, kteří se připojují po internetu, musejí využívat šifrovaný protokol, například provozovat klienta připojení VPN, aplikační server nebo přístup přes zabezpečený protokol HTTP a autentizovat se prostřednictvím silného mechanismu, jako je vícefaktorová autentizace na bázi tokenu. 

Pro šifrování je nutno využívat veřejné certifikáty na bázi běžně akceptovaných standardů a pokynů, jako je Internet Engineering Task Force (IETF), Request for Comment (RFC) 3647 pro PKI (Public Key Infrastructure se 2 048 bity) na bázi X.509. 

(6)  Při prvním nastavování zařízení změňte výchozí heslo

Výchozí hesla jsou v komunitě průmyslové automatizace dobře známá a lze je snadno najít na internetu nebo v uživatelské příručce. Když zařízení nebo aplikaci nastavujete poprvé, nezapomeňte toto heslo změnit. Změnou výchozích hesel chráníte systém před neoprávněnými uživateli usilujícími o získání přístupu prostřednictvím výchozích hesel. 

(7)  Zásady používání hesel aplikujte také na PLC

Konečným cílem vzdáleného přístupu je změnit konfiguraci stroje přístupem k zařízením, která stroj přímo ovládají. Přísné zásady pro hesla u PLC poskytují konečnou vrstvu obrany.

(8), (9), (10)… 

 „Chcete-li si prostudovat zbývajících 17 doporučení, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. ‚Nejdůležitější doporučení pro zabezpečený vzdálený přístup‘ (v angličtině). Poskytovat zákazníkům zabezpečená řešení vzdáleného přístupu je naším hlavním předmětem podnikání, stejně jako spolehlivé služby pro zajištění kontinuity podnikání,“ uvedl Yvan Rudzinski (Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.), obchodní ředitel společnosti HMS pro region CEE.

HMS Industrial Networks

Společnost HMS vyvíjí a vyrábí software a hardware pro průmyslovou komunikaci. Její produkty po celém světě spojují miliony automatizačních zařízení – roboty, senzory, řídicí systémy a motory – do různých průmyslových sítí a řídicích systémů, a umožňují tak zákazníkům rozšířit svůj trh a zlepšit jejich podnikání.HMS nabízí komplexní řešení od vývoje produktů až po výrobu a podporu. S miliony dodávaných produktů jsou dnes její technologie nedílnou součástí továren na celém světě. To s sebou přináší vysoké nároky na kvalitu, přizpůsobivost a schopnost dodání.

www.hms-networks.com