
Trade Media International nejen ve své mediální nabídce denně dokazuje svou snahu naplnit hlavní slogan společnosti: INspirujeme INterakci INženýrů!
Použití veřejných sítí pro přístup k průmyslovým závodům nebo strojům vede k potenciálním hrozbám v podobě kybernetických útoků na aktiva uživatele vystavená na internetu. Útok na průmyslový řídicí systém může mít nežádoucí důsledky, jako je narušení operací procesu, neoprávněná změna programu PLC, odeslání falešných informací operátorům nebo potlačení alarmových stavů apod.
Proto když využíváte jednoznačných výhod vzdálené podpory poskytované dodavateli strojů, je také naprosto nezbytné zajistit konfiguraci s adekvátními protiopatřeními pro omezení rizika a důsledků případného kybernetického útoku. O tom však více v samostatném článku... V tomto dalším Vám prozradíme několik hlavních doporučení pro zabezpečení tohoto vzdáleného přístupu
V ideálním případě by měl mít dodavatel strojů přístup pouze ke strojům v závodě, za něž je odpovědný. Systém proto musí umožňovat konfiguraci pro oddělení sítě strojů od zbytku sítě. Proto nejsou strojní zařízení připojena k síti závodu přímo a musejí být nakonfigurována s odlišnými IP adresami.
Používání jakéhokoli zařízení, které je součástí řízení stroje (PC, HMI nebo PLC), jako hostitele VPN může odčerpávat jeho zdroje a tím zhoršovat jeho výkon v rámci jeho hlavního úkolu, kterým je vlastní řízení. Nesmíme také zapomínat, že pro zajištění dostupnosti řídicího systému musí být také schopen fungovat v degradovaném režimu během útoku typu DoS. Proto bude externí router fungovat jako hraniční ochranné zařízení pro odfiltrování určitých typů paketů za účelem ochrany řídicího systému před přímým ovlivněním útoky typu DoS. Zabrání tím, aby měl jakýkoli externí útok přímý dopad na řídicí systém a zastavil stroj.
IP adresa routeru musí být před veřejným přístupem skrytá, aby hackerům znemožnila snadné skenování cíle. Používejte proto pro připojení k routeru pouze privátní VPN adresy namísto veřejných IP adres.
Na internetu nesmí být vystaveny žádné interní firewallové porty a nesmí být vyžadovány žádné statické internetové IP adresy.
Průmyslový router inicializuje odchozí zabezpečený VPN tunel typu point-to-point s vyhrazeným účtem v cloudu. Tento tunel je autentizován a šifrován prostřednictvím HTTPs a přechází přes podnikovou síť a skrz firewall (pouze odchozí směr). Na internetu pak přechází do cloudové sítě se službami vzdáleného přístupu.
Pracovníci vzdáleného přístupu, kteří se připojují po internetu, musejí využívat šifrovaný protokol, například provozovat klienta připojení VPN, aplikační server nebo přístup přes zabezpečený protokol HTTP a autentizovat se prostřednictvím silného mechanismu, jako je vícefaktorová autentizace na bázi tokenu.
Pro šifrování je nutno využívat veřejné certifikáty na bázi běžně akceptovaných standardů a pokynů, jako je Internet Engineering Task Force (IETF), Request for Comment (RFC) 3647 pro PKI (Public Key Infrastructure se 2 048 bity) na bázi X.509.
Výchozí hesla jsou v komunitě průmyslové automatizace dobře známá a lze je snadno najít na internetu nebo v uživatelské příručce. Když zařízení nebo aplikaci nastavujete poprvé, nezapomeňte toto heslo změnit. Změnou výchozích hesel chráníte systém před neoprávněnými uživateli usilujícími o získání přístupu prostřednictvím výchozích hesel.
Konečným cílem vzdáleného přístupu je změnit konfiguraci stroje přístupem k zařízením, která stroj přímo ovládají. Přísné zásady pro hesla u PLC poskytují konečnou vrstvu obrany.
„Chcete-li si prostudovat zbývajících 17 doporučení, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. ‚Nejdůležitější doporučení pro zabezpečený vzdálený přístup‘ (v angličtině). Poskytovat zákazníkům zabezpečená řešení vzdáleného přístupu je naším hlavním předmětem podnikání, stejně jako spolehlivé služby pro zajištění kontinuity podnikání,“ uvedl Yvan Rudzinski (Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.), obchodní ředitel společnosti HMS pro region CEE.
Společnost HMS vyvíjí a vyrábí software a hardware pro průmyslovou komunikaci. Její produkty po celém světě spojují miliony automatizačních zařízení – roboty, senzory, řídicí systémy a motory – do různých průmyslových sítí a řídicích systémů, a umožňují tak zákazníkům rozšířit svůj trh a zlepšit jejich podnikání.HMS nabízí komplexní řešení od vývoje produktů až po výrobu a podporu. S miliony dodávaných produktů jsou dnes její technologie nedílnou součástí továren na celém světě. To s sebou přináší vysoké nároky na kvalitu, přizpůsobivost a schopnost dodání.
www.hms-networks.com