Väčšina ľudí pri odchode z domu zatvorí dvere. Zdá sa to úplne prirodzené. Ak by sa tak nestalo, bolo by pre každého okoloidúceho ľahké a rýchle vojsť do bytu alebo domu, niečo si odtiaľ odniesť, izby prerobiť, v horšom prípade ich vandalsky poničiť. Takže zatiaľ čo v reálnom svete sa považuje za prirodzené aspoň zavrieť vchodové dvere, vo virtuálnom svete to tak, bohužiaľ, nie je. Mnoho spoločností jednoducho nechá dvere do svojej priemyselnej siete otvorené. To znamená, že zariadenia z celého sveta majú prístup k ich údajom z výroby, môžu si ich prezerať, čítať, kopírovať, meniť alebo ničiť.

Ako to, že veľa ľudí sa vo virtuálnom svete správa úplne inak ako v reálnom svete? Prečo spoločnosti aspoň „nezatvoria dvere“ svojich sieťových buniek, nehovoriac o ich zamknutí? Odpoveď je pomerne jednoduchá: väčšina personálu si neuvedomuje nebezpečenstvo, inak by sa tak nesprávala. Po prvé, existujú ľudia, ktorí nevedia, že vôbec budú potrebovať tie správne dvere pre sieťovú bunku. Po druhé, sú tu ďalší zamestnanci, ktorí dôverujú IT oddeleniu spoločnosti, ktoré má za úlohu kontrolovať dvere do siete. Zároveň sú to práve oni, ktorí doslova nechávajú otvorené vonkajšie dvere do pivnice či na terasu na vstup nepovolaných osôb do výrobnej siete. Obr. 1 ukazuje niektoré potenciálne hrozby, ktoré nemožno znížiť pomocou kancelárskeho IT firewallu. Napokon sú ľudia, ktorí si kupujú drahé a vysoko komplexné bezpečnostné produkty, ale po niekoľkých týždňoch prestanú zamykať nové „bezpečnostné dvere“, pretože sú leniví alebo prepracovaní (obr. 1).

Automatizácia zložitejších nastavení

Dvere do domu možno prirovnať k firewallu priemyselných sietí. Ak chýbajú alebo sú na nesprávnom mieste, prípadne nie sú správne zatvorené, predstavujú bezpečnostné riziko. To je dôvod, prečo musí byť bezpečnostný produkt prispôsobený potrebám každého používateľa, aby poskytoval optimálnu ochranu. V priemysle však nie je veľa používateľov, ktorí sú odborníkmi na IT bezpečnosť. Takíto ľudia potrebujú firewally, ktoré boli optimalizované pre priemyselné aplikácie a zároveň sa s nimi ľahko pracuje. FL mGuard 1100 je určený presne pre túto cieľovú skupinu: používateľov, ktorí majú priemyselnú aplikáciu vyžadujúcu firewall, ale zároveň nemajú hlboké technické know-how o konfigurácii bezpečnostných IT zariadení a čas navštevovať príslušné školenia o produktoch (obr. 2).

Základné bezpečnostné produkty FL mGuard 1100 dopĺňajú existujúcu rodinu produktov FL mGuard 4000 prispôsobenú potrebám bezpečnostných expertov z oblasti IT a OT. Nová séria nie je určená na to, aby nahradila osvedčené zariadenia FL mGuard 4000, ale pridáva do portfólia produktov bezpečnostné routre, ktorých forma, prispôsobenie a funkcia sa líšia od existujúcej ponuky. Pri vývoji produktov rodiny mGuard 1100 sme sa zamerali na redukciu rozsahu funkcií, ako aj na automatizáciu komplexnejších nastavení zabezpečenia. Výsledkom je, že pracovníci s malými znalosťami sieťových technológií môžu aktivovať zariadenia sami, rýchlo a s minimálnym úsilím.

Prideľovanie IP adresy už nie je potrebné

Jednou zo špeciálnych funkcií bezpečnostných routrov FL mGuard série 1100 je okrem vysokej priepustnosti dát aj ich režim Easy Protect. Nastavenie jednoduchého pevne nakáblovaného mostíka na zariadení aktivuje súbor pravidiel brány firewall, ktorý sa používa v mnohých aplikáciách. Špeciálnou výhodou režimu Easy Protect je, že obsluhujúci personál nemusí produktu prideľovať IP adresu. Bezpečnostné smerovače fungujú úplne transparentne ako pasívny ethernetový kábel. Rovnakým spôsobom možno následne chrániť bunky priemyselnej siete – a dá sa to urobiť jednoducho a rýchlo (obr. 3).

Na obr. 3 je možné vidieť, ako sa dá prevádzková sieť jednoducho segmentovať pomocou FL mGuard 1100 spusteného v režime Easy Protect, aby sa zvýšila úroveň ochrany aplikácie. Výrobný server bude mať stále možnosť pristupovať ku všetkým počítačom a získavať hodnoty. Napriek tomu už nebude možný prístup do iných častí výroby cez stroj, notebooky používané servisnými technikmi alebo externý modem, ktorý patrí výrobcovi stroja a je k nemu pripojený. Ak by bol počítač infikovaný malvérom, zlyhal by iba jeden podsegment, nie celá prevádzková sieť. Takto možno jednoducho znížiť riziko pomocou dvoch lacných a rýchlo inštalovateľných komponentov (obr. 4).

Obr. 4 ukazuje ďalší príklad. V tomto prípade sa údaje z rozvádzača prenesú na server. Keď je FL mGuard 1100 v režime Easy Protect, bráni osobám v prístupe zvonku k zabudovaným sieťovým komponentom vnútri rozvádzača. Riadiaca jednotka alebo iné komponenty namontované v rozvádzači však môžu stále vytvoriť bezpečný VPN tunel z rozvádzača do centrálneho servera a podľa toho odosielať aj prijímať údaje. Týmto spôsobom možno úroveň ochrany ľahko a rýchlo zlepšiť inštaláciou FL mGuard 1100 v režime Easy Protect, dokonca aj bez zabudovanej funkcie VPN.

Možnosť mapovania aj zložitých komunikačných sietí

Bezpečnostný smerovač prináša ďalšiu výhodu s integrovaným Firewall Assistant. Táto asistenčná funkcia uľahčuje používateľovi konfiguráciu brány firewall. Nie je potrebné, aby mal zodpovedný personál nejaké zručnosti týkajúce sa topológie, protokolov, portov a podobne. Keď aktivujú Firewall Assistant, na základe prichádzajúcej a odchádzajúcej dátovej prevádzky sa automaticky vytvoria návrhy vhodných pravidiel bezpečnostnej brány. V závislosti od svojich potrieb sa potom používatelia môžu rozhodnúť, či sa budú týmito návrhmi riadiť alebo nie. Týmto spôsobom možno v krátkom čase zmapovať aj zložitejšie komunikačné vzťahy a čo je dôležitejšie, bez podpory IT oddelenia.

Treťou asistenčnou funkciou FL mGuard 1100 je testovací režim. Táto funkcia identifikuje nedefinované komunikačné vzťahy, hlási ich používateľovi a navrhuje doplnkové pravidlá firewallu, ktoré možno neskôr veľmi presne rozšíriť a dostupnosť stroja bude stále zabezpečená.

Kybernetická bezpečnosť

Ochrana priemyselných sietí je už niekoľko rokov nevyhnutnosťou. Nová séria FL mGuard 1100 poskytuje tejto cieľovej skupine tri podporné funkcie brány firewall: režim Easy Protect, Firewall Assistant a režim testu.

Produkty, riešenia a služby

Phoenix Contact ponúka svojim zákazníkom širokú škálu produktov kybernetickej bezpečnosti. Jej služby a školenia umožňujú automatizáciu systémov, ktoré sú navrhnuté tak, aby fungovali bezpečne.

Phoenix Contact je jednou z prvých spoločností v Nemecku, ktorá bola certifikovaná TÜV SÜD v súlade so sériou noriem IEC 62443-4-1 a -2-4 pre bezpečnosť IT. To potvrdzuje, že spoločnosť:

  • vyvíja bezpečné produkty už od návrhu v súlade s procesom IEC 62443-4-1,
  • navrhuje bezpečné automatizačné riešenia v súlade s procesom
    IEC 62443-2-4.

Certifikácie zdôrazňujú stratégiu spoločnosti Phoenix Contact ponúkať štandardizovanú IT bezpečnosť v produktoch, odvetvových riešeniach a konzultačných službách, aby sa zabezpečila prevádzka strojov, systémov a infraštruktúr v budúcnosti.


Tomáš Kura
www.phoenixcontact.sk