Az ipari automatizálás digitális átalakulása egyre nagyobb követelményeket támaszt az ipari vállalatok operációs technológiája (OT) és számítógépes rendszerei (IT) közötti kommunikációval szemben. Az OT hálózat automatizálási eszközei egyre több adatot szolgáltatnak az IT hálózatnak, amire a hatékony termelésirányításhoz, a termelési költségek minimalizálásához, az állásidő csökkentéséhez vagy a karbantartási beavatkozások prediktív megtervezéséhez van szükség. Az OT és az IT hálózat közötti intenzív adatkommunikáció azonban az egyértelműen pozitív hatások mellett az OT hálózat nagyobb nyitottságát, és ezáltal a kibertámadásokkal szembeni nagyobb sebezhetőségét is hozza magával.

Az OT hálózatokat hagyományosan szinte elszigetelten építették fel a környező kiberkörnyezettől, így minimális volt a külső kibertámadók támadásának lehetősége. Ezért az OT hálózat kiberbiztonságának biztosítására vonatkozó követelmények a múltban alacsonyak voltak. Ha azonban teljes mértékben ki akarjuk használni a digitális átalakulásokban és az IIoT technológiákban rejlő lehetőségeket, ezt a koncepciót meg kell változtatni. A modern OT hálózat egyáltalán nem elszigetelt; Szükséges elemezni a sebezhetőségeit, foglalkozni a teljes hálózat és az egyes eszközök védelmével, monitorozni a hálózati kommunikációt, észlelni a potenciális kiberfenyegetéseket és aktívan reagálni rájuk. A kiberbiztonság szempontja ezért jelentős szerepet játszik a modern automatizálási projektekben.

ThinManager

A ThinManager egy olyan szoftvertermék, amely lehetővé teszi a vékony kliensek használatát ipari hálózatban. A vékony kliens egy operációs rendszer nélküli, vagy akár memória nélküli számítógép. A ThinManager segítségével egyetlen központi szerverről lehet tartalmat (például vizualizációs alkalmazást) biztosítani egy ilyen eszköz számára. Ezenkívül a ThinManager számos egyéb funkciót is kínál - USB-portok blokkolása csak egér- és billentyűzetkapcsolatok esetén, tartalomszolgáltatás helyszín szerint, felhasználók bejelentkezése PIN-kóddal, biometrikus adatokkal vagy QR-kód beolvasásával, felhasználókezelés és hitelesítés stb. A vékony kliensek használata nagyban segíti az összetett kiberbiztonsági megoldások létrehozását az OT hálózatban. A vékony klienseknek nincsenek problémáik a javításkezeléssel, és ezek az eszközök védve vannak a nem kívánt kártevők ellen.

CIP Security

A CIP Security egy hálózati kommunikációs protokoll, amely biztosítja a biztonságos adatátvitelt és az egyes eszközök védelmét az OT hálózatban.

Végpont-hitelesítés – az adatüzenet küldőjét és fogadóját tanúsítványok vagy megosztott kulcsok segítségével hitelesítik. Az eszköz így képes elutasítani a nem megbízható forrásból érkező adatüzeneteket.

Adatintegritás – a TLS üzenethitelesítési kód (HMAC) ellenőrzi, hogy az adatokat nem módosították-e a hálózaton belüli átvitel során. Ez védi az eszközt a közbeavatkozó (MitM) támadások ellen.

Adattitkosítás – a hálózaton belül továbbított adatokat TLS és DTLS kriptográfiai protokollokkal titkosítják. Az adatkommunikáció így védve van a jogosulatlan megfigyelés ellen.

A Rockwell Automation egyes termékeit a CIP biztonsági protokoll natív támogatásával kínáljuk.

Szoftver

• FactoryTalk Policy Manager (6.11-es verziótól)
• FactoryTalk System Services (6.11-es verziótól)
• FactoryTalk Linx (6.11-es verziótól)
• Studio 5000 Logix Designer (31-es verzió 1756-EN4TR kommunikációs modullal, 32-es verzió e modul nélkül is)

Hardver

• ControlLogix 5580 vezérlők
• 1756-EN4TR ControlLogix EtherNet/IP kommunikációs modul
• Kinetix 5300 szervohajtások
• Kinetix 5700 szervohajtások
• PowerFlex 755T frekvenciaváltók
• 1783-CSP – CIP Security Proxy

Ezen hardvertermékek közül az utolsó – a CIP Security Proxy modul – biztonságos kommunikációs szolgáltatóként szolgál olyan eszközök számára, amelyek nem rendelkeznek natív CIP Security támogatással. A CIP Security Proxy kezeli a védett eszköz titkosítási kulcsait és tanúsítványait, és a CIP Security protokoll alapján biztosítja a hálózati kommunikációt.

Claroty CTD – Folyamatos fenyegetés észlelés

A Folyamatos fenyegetés észlelés egy moduláris és skálázható szoftverrendszer, amelyet az OT hálózaton belüli eszközök és kommunikáció folyamatos monitorozására, valamint a potenciális kiberfenyegetések észlelésére terveztek.

Láthatóság – A Claroty CTD teljes körű áttekintést nyújt az OT hálózatról, és központosított, teljesen automatizált leltárt biztosít az összes csatlakoztatott eszközről. A rendszert univerzálisan tervezték minden ipari OT hálózathoz, kiterjedt ipari hálózati protokollkönyvtárral rendelkezik, és képes azonosítani a nehezen látható beágyazott eszközöket és a 0-2 szinten található eszközöket. Minden azonosított eszközhöz a Claroty CTD teljes leltáradatokat biztosít, beleértve a hardverleírást, a modellmegnevezést, az aktuális firmware verziót, a kártyahelymegnevezést, az IP-címet és egyéb részleteket.

Szegmentálás – A Claroty CTD automatikusan feltérképezi a hálózatot, és virtuális zónákba rendezi az egyes eszközöket. A virtuális zónák logikai egységek, amelyek összefogják azokat az eszközöket, amelyek normális esetben kommunikálnak egymással.

Cyber security consulting services

In cooperation with our partners, we provide cyber security consulting, design and project assessment in accordance with IEC 62443 standard. The primary goal of this standard is to ensure the safe operation of industrial automation systems and to protect all components of these systems from unwanted interference. We offer a systematic and practical approach to ensuring the cyber security of industrial systems provided by certified experts in this field.

Cyber security consulting services

• risk analysis
• security analysis of OT network and components
• wireless network security design
• SIS - Safety Instrumented Systems - design and security
• design and provision of accurate documentation of logical and physical infrastructure
• remote access security
• cyber security incidents (management, evaluation, recovery)
• documenting access points
• malware protection, including evaluation, approval, and testing
• installing and management of patches and security patches
• specifications and documentation for managing and performing data and configuration backups