Kybernetická bezpečnosť | Rockwell Automation distributor | ControlTech

Naše riešenia

 

 

S postupujúcou digitalizáciou v priemyselnej automatizácii rastú požiadavky na vzájomnú komunikáciu operačnej technológie (OT) s výpočtovými systémami priemyselných podnikov (IT). Automatizačné zariadenia v OT sieti poskytujú do IT siete stále väčšie množstvo dát, ktoré sú potrebné k efektívnemu riadeniu výroby, minimalizácii výrobných nákladov, optimalizácii prestojov či prediktívnemu plánovaniu zásahov údržby. Intenzívna dátová komunikácia medzi OT a IT sieťou však prináša vedľa jednoznačne pozitívnych efektov aj väčšiu otvorenosť OT siete, a tím aj jej vyššiu zraniteľnosť voči kybernetickým útokom.

Pripomeňme, že tradične boli OT siete budované ako takmer izolované od okolitého kybernetického prostredia, možnosť ich napadnutia kybernetickým útočníkom zvonku teda bola minimálna. Preto aj požiadavky na zaistenie kybernetickej bezpečnosti OT siete boli v minulosti nízke. Ak však chceme naplno využiť potenciál, ktorý prinášajú digitálne transformácie a IIoT technológie, je treba tento koncept zmeniť. Moderná OT sieť skrátka izolovaná nie je, je treba kvalitne analyzovať jej zraniteľnosti, zaoberať sa ochranou celej siete rovnako ako jednotlivých zariadení, monitorovať sieťovú komunikáciu a detegovať v nej prípadné kybernetické hrozby a aktívne týmto hrozbám čeliť. Aspekt kybernetickej bezpečnosti tak zohráva v moderných automatizačných projektoch svoju nezastupiteľnú úlohu. 

 

 

ThinManager

ThinManager je softwarový produkt, ktorý umožňuje využitie tzv. „tenkých klientov“ v priemyselnej sieti. Tenkým klientom rozumieme počítač bez operačného systému, prípadne aj bez vlastného pamäťového úložiska. Pomocou ThinManageru je možné takému zariadeniu poskytovať obsah (napríklad vizualizačnú aplikáciu) z jedného centrálneho serveru. ThinManager naviac ponúka radu ďalších funkcionalít – zablokovanie USB portov iba pre pripojenie myši a klávesnice, poskytnutie obsahu podľa lokalizácie, prihlásenie užívateľov pomocou PINu, biometrických údajov, alebo scanom QR kódu, správu užívateľov a ich oprávnení, atď. Využitie tenkých klientov výrazne napomáha komplexnému riešeniu kybernetickej bezpečnosti v OT sieti. U tenkých klientov odpadajú problémy so správou patchov, tieto zariadenia sú zabezpečené proti vstupu nežiadúceho malware.

 

 

CIP Security

CIP Security je protokol sieťovej komunikácie, ktorý zabezpečuje bezpečný prenos dát a ochranu jednotlivých zariadení v OT sieti.

Overovanie koncových bodov – odosielateľ aj príjemca dátovej správy sú overovaný pomocou certifikátov, alebo zdieľaných kľúčov. Zariadenie je tak schopné odmietnuť dátovú správu, ktorá by pochádzala z neovereného zdroja.

Integrita dát – pomocou TLS message authentication code (HMAC) sa overuje, že dáta neboli pozmenené pri ich prenose v sieti. Tým je zabezpečená ochrana zariadení proti útokom typu Man-in-the-Middle (MitM)

Kryptovanie dát – dáta prenášané v sieti sú kryptované pomocou TLS a DTLS kryptografických protokolov. Dátová komunikácia je tak chránená proti neoprávnenému monitoringu.

Ponúkame produkty Rockwell Automation s natívnou podporou CIP Security protokolu.

 

Software

  • FactoryTalk Policy Manager (verzia 6.11 +)
  • FactoryTalk Systém Services (verzia 6.11 +)
  • FactoryTalk Linx (verzia 6.11 +)
  • Studio 5000 Logix Designer (verzia 31 s využitím 1756-EN4TR komunikačného modulu, verzia 32 + aj bez tohto modulu)

 

Hardware

Posledné z uvedených hardwarových produktov – modul CIP Security Proxy – slúži ako sprostredkovateľ zabezpečenej komunikácie pre zariadenia, ktoré nedisponujú natívnou podporou CIP Security. CIP Security Proxy spravuje kryptovacie kľúče a certifikáty pre chránené zariadenia a zaisťuje tak jeho sieťovú komunikáciu na báze CIP Security protokolu.

 

 

Claroty CTD – Continuous Threat Detection

Continuous Threat Detection je modulárny a škálovateľný softwarový systém, určený k trvalému monitoringu zariadení a komunikácie vo vnútri OT siete a k detekcii potenciálnych kybernetických hrozieb.

  • viditeľnosť – Claroty CTD poskytuje kompletný prehľad OT siete a centralizovanú, plne automatizovanú inventarizáciu všetkých pripojených zariadení. Systém bol navrhnutý univerzálne pre všetky priemyslové OT siete, disponuje rozsiahlou knižnicou priemyslových sieťových protokolov a je schopný identifikovať aj ťažko viditeľné vnorené zariadenia a zariadenia umiestnené na úrovniach 0-2. O každom identifikovanom zariadení poskytuje Claroty CTD kompletné inventarizačné dáta, vrátane popisu hardwaru, modelového označenia, aktuálnej verzie firmwaru, označenia slotu, IP adresy a ďalších podrobností.
  • segmentácie – Claroty CTD automaticky mapuje sieť a usporadúva jednotlivé zariadenia do tzv. virtuálnych zón. Virtuálne zóny sú logické celky združujúce zariadenia, ktoré spolu za normálnych okolností bežne komunikujú. Táto virtuálna segmentácia zjednodušuje detekciu anomálneho chovania v sieťovej komunikácii, zvyšuje efektivitu dátovej analýzy sieťovej komunikácie a môže byť podkladom aj pre budúce rozhodnutia o fyzickej segmentácii OT siete.
  • management rizík a zraniteľností – Claroty CTD poskytuje prehľad o všetkých zraniteľnostiach jednotlivých zariadení v OT sieti. Systém tak upozorňuje na neštandardné konfigurácie, nezabezpečené protokoly, nechránené komunikačné porty a ďalšie zistené riziká. Pre identifikáciu rizík je využívaná priebežne aktualizovaná vlastná databáza zraniteľností, spravovaná výrobcom systému, firmou Claroty, rovnako ako Národná databáza zraniteľností, ktorá slúži ako verejný zdroj informácií o kybernetických zraniteľnostiach v USA.
  • detekce anomálií a možných kybernetických útoků – Claroty CTD monitoruje síťovou komunikaci a pomocí algoritmů umělé inteligence si automaticky vytváří model běžného provozu v síti. Dále obsahuje pět různých detekčních nástrojů pro zjištění anomálního chování v síti. Díky těmto nástrojům je systém schopen okamžitě upozornit uživatele na možný kybernetický útok.

 

 

Poradenstvo v kybernetickej bezpečnosti

V spolupráci s našimi partnermi zaisťujeme poradenstvo v kybernetickej bezpečnosti, návrhy a posudzovanie projektov podľa normy IEC 62443. Primárnym cieľom tejto normy je zaistenie bezpečnej prevádzky priemyselných automatizačných systémov a ochrana všetkých komponentov týchto systémov pred nežiadúcimi zásahmi. Ponúkame systematický a praktický prístup k zaisteniu kybernetickej bezpečnosti priemyselných systémov poskytovaných certifikovanými expertmi v tomto odbore.

 

Poradenské služby v oblasti kybernetickej bezpečnosti

  • analýza rizík
  • analýza zabezpečenia OT siete a komponentov
  • návrh zaistenia zabezpečenia bezdrôtových sietí
  • SIS – Safety Instrumented Systems – návrh a ich zabezpečenie
  • návrh a poskytovanie presnej dokumentácie logickej a fyzickej infraštruktúry
  • zabezpečenie vzdialeného prístupu
  • kybernetické bezpečnostné incidenty (zvládnutie, vyhodnotenie, náprava)
  • dokumentovanie prístupových bodov
  • ochrana pred malware vrátane vyhodnotenia, schválenia a testovania
  • inštalácia a správa patchov a bezpečnostných záplat
  • špecifikácia a dokumentácia k správe a prevádzke zálohovania dát a konfiguráciív