Қымбат жабдықтарды ауыстырмай-ақ ескі PLC жүйелерін қалай нығайтуға болады?
Өнеркәсіптік басқару жүйелері қазіргі өндіріс ортасының жүрегі болып қала береді. Көптеген кәсіпорындар заманауи қауіпсіздік функциялары жоқ ескі PLC-лермен жұмыс істейді. Бұл ескірген контроллерлер көбінесе маңызды өндіріс желілерін басқарады, сондықтан оларды ауыстыру қаржылық тұрғыдан қымбат және операциялық тұрғыдан қиындық тудырады. Жақсы жаңалық? Бірде-бір контроллерді ауыстырмай-ақ кешенді қорғаныс стратегияларын енгізуге болады. Бұл әдіс өндірістің үздіксіздігін сақтай отырып, өнеркәсіптік автоматтандыру инфрақұрылымына бағытталған дамып жатқан киберқатерлерді азайтады.
Қазіргі өндірістегі қауіп-қатерлерді бағалау
Ескі PLC-лер қауіпсіздікке қарағанда жұмыс сенімділігін бірінші орынға қойған. Олар әдетте шифрлау, пайдаланушы аутентификациясы немесе негізгі қолжетімділік бақылаулары жоқ. Сондықтан олар қауіп-қатер жасаушылар үшін тартымды нысан болып табылады. Соңғы салалық зерттеулерге сәйкес, өндіріс орындарының шамамен 65%-ы он екі жылдан астам жұмыс істеп келе жатқан басқару жүйелерін пайдаланады. Бұл ескі активтер заманауи IT желілеріне қосылғандықтан, үлкен қауіпсіздік осалдықтарын тудырады. Сондықтан бұл осалдықты тану тиімді қорғанысқа алғашқы қадам болып табылады.
Желіні сегменттеу: DCS орталарында қорғаныс шекараларын орнату
Ең тиімді тәсіл – ескі жабдықтарды кең корпоративтік инфрақұрылымнан бөлу. Өнеркәсіптік деңгейдегі брандмауэрлерді пайдаланып, ақпараттық технологиялар мен операциялық технологиялар желілері арасында демилитаризацияланған аймақтар құруға болады. Мысалы, Бавариядағы автокөлік зауыты қатаң желі бөлуді енгізгеннен кейін рұқсатсыз кіру оқиғаларын 76%-ға азайтты. Бұл стратегия корпоративтік жүйелер бұзылған жағдайда да өндіріс алаңының қорғалған және функционалды түрде оқшауланған күйде қалуын қамтамасыз етеді.
Өнеркәсіптік протоколдарға арналған терең пакет тексеруін енгізу
Дәстүрлі IT брандмауэрлері Modbus TCP немесе EtherNet/IP сияқты өнеркәсіптік коммуникация стандарттарын түсіне алмайды. Арнайы өнеркәсіптік шабуылдарды болдырмау жүйелері трафикті протокол деңгейінде тексереді. Бұл шешімдер зиянды ниетті көрсететін қалыптан тыс командаларды анықтайды. Орта батыстағы азық-түлік өңдеу зауыты алғашқы тоқсанында 1,800-ден астам күдікті протоколды өзгерту әрекеттерін бөгеді. Нәтижесінде олар бар болған PLC конфигурацияларын өзгертпей өндірістің тоқтауын болдырмады.
Жұмыс ортасын қорғау үшін қолданбаларды ақ тізімге енгізу
Дәстүрлі антивирус бағдарламалары ескі жабдықтарда өңдеу шектеулеріне байланысты жиі қиындыққа ұшырайды. Қолданбаларды ақ тізімге енгізу жеңіл баламалы стратегия болып табылады. Бұл әдіс өнеркәсіптік жұмыс станцияларында тек алдын ала мақұлданған бағдарламалардың орындалуына мүмкіндік береді. Мексика шығанағындағы химиялық зауыт 175 оператор интерфейсінде ақ тізім енгізді. Нәтижесінде олар төрт жыл бойы зиянды бағдарламалардан зардап шекпей, жүйенің толық жұмысын сақтады.
Жеткізушілердің қолдау қызметтері үшін қашықтан қолжетімділікті қорғау
Жабдық жеткізушілері жиі ақауларды жою және микробағдарламаларды жаңарту үшін қашықтан қосылуды қажет етеді. Алайда қорғалмаған байланыстар рұқсатсыз кіру жолдарын ашады. Көпфакторлы аутентификациясы бар секіру серверлерін енгізу жеткізушілердің қауіпсіз қолжетімділігін қамтамасыз етеді. Еуропалық су шаруашылығы компаниясы басқарылатын қашықтан қолжетімділік шешімдерін енгізгеннен кейін сыртқы қауіп-қатерлерді 94%-ға азайтты. Сонымен қатар, олар барлық жеткізуші әрекеттерінің толық аудит жазбаларын сақтап, нормативтік талаптарға сай болды.
Үздіксіз мониторинг және мінез-құлықтағы аномалияларды анықтау
Қауіптерді оқиғаға айналмай тұрып анықтау үшін көрінушілік маңызды. Пассивті мониторинг құралдары желі трафигін өнімділікке әсер етпей ұстайды. Бұл жүйелер операциялық базалық көрсеткіштерді орнатып, ауытқулар туралы қызметкерлерге хабарлайды. Мысалы, Тынық мұхиты солтүстігіндегі целлюлоза зауыты оператор интерфейсінің бұзылғанын бірнеше минут ішінде анықтады. Бұл жылдам анықтау дигастер ыдығының басқару жүйесінің апатты сәтсіздігін болдырмады.
Практикалық қолдану: Оңтүстік-шығыс электр энергиясын өндіру кәсіпорны
1980-жылдардың соңындағы Modicon 984 контроллерлерін пайдаланатын электр станциясы сенімділік реттеушілерінен киберқауіпсіздік бойынша күшейтілген бақылауға ұшырады. Толық жабдықты жаңарту шығындары 3,1 миллион доллардан асып, 22 айлық үзілістерді талап ететін еді. Оның орнына олар біржақты деректерді беру үшін бір бағытты шлюздер, инженерлік жұмыс станцияларында қолданбаларды ақ тізімге енгізу және протоколды танитын брандмауэрлерді қамтитын кешенді қорғаныс стратегиясын енгізді. Жалпы инвестиция 245,000 долларды құрады және іске асыру жоспарлы техникалық қызмет көрсету кезеңінде аяқталды. Шешім барлық нормативтік талаптарға сай келіп, іске асыру кезінде 100% жұмыс қабілеттілігін сақтады.
Сала тенденцияларын талдау: Виртуалды патчтау стратегияларының пайда болуы
Көптеген өндірушілер ескі басқару жабдықтарына арналған қауіпсіздік жаңартуларын тоқтатты. Бұл жағдай зауыт басшыларына баламалы қорғаныс әдістерін іздеуге мәжбүр етеді. Шабуылдарды болдырмау жүйелері арқылы виртуалды патчтау танымал тәсілге айналды. Бұл шешімдер трафикті тексеріп, белгілі осалдықтарға бағытталған шабуылдарды бөгейді. Нью-Джерсидегі фармацевтикалық зауыт FDA тексерісі кезінде осы әдісті пайдаланып, 63 қолдаусыз PLC-ді қорғады. Бұл стратегия оларға капиталдық жоспарлау мен жүйені көшіру үшін тағы төрт жыл уақыт берді.
Практикалық енгізу бойынша ұсыныстар
Қауіпсіздік шараларын таңдаудан бұрын толық активтер тізімін жасаудан бастаңыз. Барлық ескі жүйелерге бірдей қорғаныс деңгейі қажет емес. Өндірістің маңыздылығы мен желіге қосылу осалдығына қарай басымдық беріңіз. Жоспарлау кезінде IT қауіпсіздік мамандары мен OT инженерлерін тарту маңызды. Олардың бірлескен тәжірибесі техникалық талаптарды қанағаттандырып, операцияларды бұзбайтын шешімдерді қамтамасыз етеді. Алдымен маңызды емес желілерде пилоттық енгізулерден бастап, кейін негізгі өндіріс аймақтарына кеңейтіңіз.
