Adwertorial
Realizowana zdalnie obsługa punktów ujęcia i uzdatniania wody czy przepompowni ścieków może być podatna na cyberataki. Remedium na zabezpieczenie przedsiębiorstw wodociągowych jest system bezpieczeństwa wykorzystujący firewalle i separację sieci.
Specjaliści Stormshield w ramach systemu zabezpieczeń, który wdrożono w jednym z działających w Polsce przedsiębiorstw wodociągowych, ustanowili bezpieczne, monitorowane i oddzielne środowisko sieciowe IT oraz rozwiązania mające na celu ochronę operacji prowadzonych w sieciach OT, działających m.in. z wykorzystaniem sterowników logicznych (PLC) do zarządzania krytycznymi procesami.
– Wyzwaniem przy wdrażaniu zabezpieczeń jest konieczność utrzymania ciągłości procesów produkcyjnych, przy jednoczesnym zapewnieniu bezpieczeństwa i zgodności sieci – skomentował przedsięwzięcie Aleksander Kostuch, inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru IT.
Nieustanne monitorowanie
Do budowy systemu użyto urządzeń firewall. Zostały one umieszczone jak najbliżej urządzeń automatyki przemysłowej, często montowano je na tej samej szynie DIN co sterowniki PLC. Takie rozwiązanie bowiem ułatwia szybkie wykrywanie zagrożeń i reagowanie na nie, minimalizując powierzchnię ataku i maksymalizując ochronę infrastruktury przemysłowej.
Duże znaczenie we wdrożonym systemie bezpieczeństwa ma autoryzacja pracowników z użyciem istniejących mechanizmów Active Directory i integracji poprzez mechanizm SSO (Single Sign-On). Monitorowane i zapisywane są wszystkie działania systemów i użytkowników w ramach protokołów przemysłowych, które zostały przepuszczone przez firewalle. Zdarzenia rejestrowane są w centralnym systemie SIEM (Security Information and Event Management).
Do zarządzania rozproszoną infrastrukturą firewalli instalowanych w przepompowniach i przy ujęciach wody służy centralny system Stormshield Management Center.
W zgodzie z prawem
Implementując system, uwzględniono aspekt zgodności wdrażanych rozwiązań z przepisami w zakresie przetwarzania danych. Nazwy użytkowników, źródłowe adresy IP, adresy MAC i nazwy hostów nie są jawnie prezentowane w dziennikach i raportach. Zostały zanonimizowane, aby spełnić wytyczne rodo.
– Konwergencja sieci IT i OT naraża organizację na ryzyko. Strategia obejmowała wdrożenie firewalli na obrzeżach każdej z sieci OT. Aby sprostać wyzwaniu bezprzerwowego wdrożenia w istniejącej sieci, zaproponowane zostało rozwiązanie obejmujące jej segmentację z wykorzystaniem funkcji bridge, przy jednoczesnym zminimalizowaniu zmian w istniejącej infrastrukturze sieciowej. Ponadto funkcja bypass pozwala na bezprzerwowe działanie nawet w momencie restartu urządzenia podczas wymiany oprogramowania układowego na nowsze, tzw. upgrade’u firmware’u – podsumowuje Aleksander Kostuch.
Więcej informacji
Piotr Zielaskiewicz, menedżer rozwiązań Stormshield w DAGMA Bezpieczeństwo IT
zielaskiewicz.p@dagma.pl
stormshield.pl
