GFI
facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Dialog 3000Skylla
IT SYSTEMS 9/2017 , Plánování a řízení výroby , IT Security

Postupy pro zabezpečení ICT ve výrobních firmách

Jiří Malíček


RockwellVyšší míra automatizace a digitalizace výroby s sebou přináší také zvýšenou míru kybernetických hrozeb i pro výrobní závody a další průmyslová zařízení. Jejich provozovatelé se musí připravit nejen na cílené pokusy o průnik a útoky škodlivého softwaru, ale také na hrozby související s duševním vlastnictvím stejně jako s neúmyslnými zásahy, způsobenými obsluhou, údržbou či dodavatelem technologií, které mohou mít na výrobu stejně devastující dopad jako cílený útok.


Tak, jak se v poslední době proměnil (a v rámci iniciativy „Průmysl 4.0“ dále proměňuje) charakter výroby a provozu průmyslových organizací, proměňují se i rizika s tímto spojená. Zapojení různých „chytrých zařízení“ spolu s „internetem věcí“ umožňují různým uživatelům (provoz, údržba, management) vytvářet nové nástroje, které mohou posunout produktivitu, kvalitu (či její dlouhodobou udržitelnost) nebo řadu dalších výrobních ukazatelů na dříve nepředstavitelnou úroveň. Kompetentní investiční rozhodnutí založená na reálných datech o skutečném využití výrobních prostředků nebo možnost na základě výrobních dat v reálném čase rozhodnout o nejlepším možném scénáři při neplánovaném výpadku výroby (srovnejte s dnes běžným „standardem“ na pondělních provozních poradách: „minulý týden jsme stáli...“, tedy bez možnosti jakkoliv ovlivnit tento nežádoucí stav) – to jsou jen dva příklady z řady možností a výhod, které automatizace, ale především digitalizace výroby přináší. Na pozadí se však při tom odehrávají zásadní změny v organizaci řízení a vnímání informačních technologií. Dochází k prolínání dříve oddělených systémů informačních a provozních technologií, zapojování cloudových řešení, nových analytických nástrojů, zvyšuje se mobilita. Tento vývoj podstatným způsobem zlepšuje provozní operace, ale vytváří rovněž více potenciálních vstupních bodů pro bezpečnostní hrozby.

Je oprávněné předpokládat, že jakýkoliv ojedinělý, izolovaný prvek zabezpečení může být (a s největší pravděpodobností i bude) překonán. Proto by mělo být zabezpečení řešeno vždy komplexně na více úrovních. Z našeho pohledu tedy na úrovni následujících šesti hlavních komponent systému zabezpečení:

  • Pravidla a postupy
  • Fyzické zabezpečení
  • Zabezpečení sítě
  • Zabezpečení počítačů
  • Kontrola aplikací
  • Ostatní zařízení

Pravidla a postupy

Pravidla a postupy, které firmy uplatňují, zásadním způsobem ovlivňují chování zaměstnanců (a subdodavatelů). Například pravidla pro řízení lidské interakce s výrobními prostředky a podnikovými informačními systémy pomohou v prevenci před odcizením důležitých firemních dat. Klíčovou roli v této oblasti hraje pravidelné proškolování zaměstnanců a stálá kontrola dodržování nastavených pravidel.

Fyzické zabezpečení

Zatímco dříve bylo fyzické zabezpečení průmyslových objektů vnímáno především ve smyslu ošetření vstupu (ne)autorizovaných osob do různých prostor, dnes je třeba jej vidět v daleko širších souvislostech. Podniky musí mít ošetřen fyzický přístup ke vstupním bodům své síťové infrastruktury, jako jsou různé ovládací panely, síťová zařízení i vedení kabelových svazků.

Ke klasickým vstupním kartám, pomocí kterých lze kontrolovat vstup zaměstnanců do objektů a konkrétních místností, se stále více využívají i kamerové systémy. Kromě sledování pohybu osob po areálu se nasazují i systémy pro pokročilou analýzu videa, včetně například i rozpoznávání tváří osob a registračních značek vozů.

Proti neoprávněným zásahům, odposlechu nebo poškození je nutné chránit i fyzické komponenty síťové infrastruktury, jako jsou switche, routery i brány do internetu. Pro ochranu před vynášením podnikových dat a zavlečením virové nákazy je klíčové omezení přístupu k USB portům počítačů a dalších zařízení. Pod kontrolou je třeba mít přípojná místa síťových kabelů, aby nemohla být do sítě zapojena neautorizovaná zařízení nebo narušen její nepřetržitý provoz odpojením kabelů.

Zabezpečení sítě

Ochrana podnikové sítě před kybernetickými hrozbami vyžaduje intenzivní kooperaci mezi správci informačních a provozních technologií, včetně diskusí o technologiích a pravidlech potřebných pro zajištění bezpečnosti provozu, ovšem při zachování dostatečné flexibility a možnosti dále inovovat.

Mezi v současnosti často diskutované a využívané technologie patří průmyslová demilitarizovaná zóna (industrial demilitarized zone, IDMZ), která tvoří bariéru mezi „business systémy“ a provozem/výrobou. IDMZ omezuje přímý síťový provoz mezi těmito dvěma zónami a pomůže lépe řídit přístup k síti prostřednictvím vynucení autentikace nebo monitorování síťového provozu na výskyt známých typů bezpečnostních hrozeb.

Osvědčenou praktikou pro zabezpečení sítě je zřízení oddělených virtuálních lokálních sítí (virtual local area network, VLAN) pro různé provozní/výrobní zóny. Menší VLAN sítě lze snadněji řídit a v případě útoku s jejich pomocí rychle ochránit důležitá zařízení a izolovat je od těch, která byla kompromitována. Případný úspěšný pokus o útok pak ohrozí jen zařízení v rámci jedné VLAN a nemusí mít zásadní dopad na celý provoz/výrobu.

Dalším důležitým bezpečnostním prvkem jsou firewally s technologiemi na detekci a prevenci bezpečnostních hrozeb (intrusion detection and prevention systems, IDS/IPS). Umisťují se v rámci průmyslové sítě, aby řídily a limitovaly síťový provoz. S pomocí funkce na hloubkovou inspekci paketů (deep packet inspection, DPI) identifikují, autentikují a přesměrovávají data, nejen s cílem zvýšení celkového výkonu podnikové sítě, ale také v zájmu posílení ochrany před útoky.

Velké bezpečnostní riziko představují také bezdrátová zařízení, proto je třeba dodržovat pravidla jejich připojení a provozu v síti, včetně striktní autentikace zařízení a spolehlivého šifrování přenášených dat v souladu se standardem IEEE 802.11

Zabezpečení počítačů

Hlavním prostředkem kybernetických útočníků při průniku do systémů podnikové automatizace jsou neošetřené zranitelnosti softwaru. Proto je třeba zavést systém pro správu aktualizací a bezpečnostních záplat, určený ke sledování, posuzování a instalaci softwarových záplat. Zabezpečení posílí rovněž instalace spolehlivého antivirového softwaru, sestavení seznamu (whitelistu) povolených aplikací a nasazení řešení pro detekci narušení bezpečnosti. Dále je vhodné odinstalovat nepoužívané programy, zakázat nepotřebné protokoly a služby a rovněž ošetřit USB, paralelní i sériová rozhraní počítačů.

Kontrola aplikací

Součástí průmyslového zabezpečení je rovněž kontrola přístupu k důležitým aplikacím. Omezení přístupu se řeší na základě rolí konkrétních zaměstnanců, kteří se musí ke kriticky důležitým aplikacím přihlašovat uživatelským jménem a heslem či jinou formou autentikace. Je třeba rovněž chránit fyzický přístup k zařízením, na kterých podnikové aplikace běží, a rovněž i omezit a monitorovat přístup k aplikacím a protokolovat všechny prováděné změny.

Ostatní zařízení

Do podnikových sítí se připojuje stále větší množství (především bezdrátových) zařízení, a je tedy velmi důležité nastavit systém autentifikace zařízení s oprávněním přístupu do sítě a neautorizovaná zařízení striktně blokovat. Dále je třeba se zaměřit na výchozí konfiguraci nových zařízení, která často nesplňuje ani základní požadavky na zabezpečení. Jelikož se výchozí konfigurace různých typů zařízení často značně liší, je nutno počítat s různou časovou náročností při úpravě jejich nastavení pro maximální úroveň zabezpečení.

Základní kroky zabezpečení

Při zabezpečení je třeba uplatňovat celostní přístup. Na úrovni celé firmy, přes jednotlivé výrobní jednotky až po koncová zařízení. Zohlednit rizika související s činností lidí, uplatňovanými procesy a použitou technologií. Dobré zabezpečení by tedy mělo být založeno na:

  • Vyhodnocení současného stavu zabezpečení: s cílem identifikovat rizikové oblasti a potenciální hrozby.
  • Víceúrovňovém zabezpečení: aplikace všech šesti výše uvedených komponent systému zabezpečení, který vytvoří vícenásobnou obrannou linii.
  • Schválených „trusted“ dodavatelích: ověřování, že vaši dodavatelé automatizačních technologií při navrhování svých produktů dodržují základní principy zabezpečení.

Bezpečnostní hrozby pro průmyslové organizace se budou nadále měnit a vyvíjet. Proto se musí vyvíjet také váš způsob, jak těmto hrozbám čelit. Tři výše uvedené kroky pomohou v budování takového zabezpečení, které povede k ochraně vašeho duševního vlastnictví, k zabezpečení vašich výrobních zařízení, technologií i vašich zaměstnanců, jinými slovy – k zabezpečení toho, co je zdrojem vaší konkurenční výhody.

Jiří Malíček Jiří Malíček
Autor článku je obchodním ředitelem Rockwell Automation.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Kde snižují náklady firmy se správně nastavenými ERP systémy?

Tématem poslední doby se stávají úspory, které přináší společnostem správně zvolené a implementované ERP systémy. Nejde jen o často zmiňované zvýšení efektivity výroby nebo zlepšení poskytované služby. Podnikové systémy přináší i spoustu skrytých úspor v nákladech.

Helios
- inzerce -