OSTATNÍ ČLÁNKY

Ostatní články

Cybersecurity a vzdálená správa – přístup na PLC přes internet bezpečně

Digitalizace procesů, data v cloudu nebo přístupy na dálku přes internet jsou dnes novým standardem. Stále ale přetrvávají, a po některých nepříjemných zkušenostech ještě vzrůstají, obavy z digitálních hrozeb, a tudíž i požadavky na kyberbezpečnost. Hackerskými útoky už nejsou ohrožené jen bankovní instituce nebo velké korporace, ale i střední výrobní firmy.

routery banner

Nejde přitom jen o data finančního oddělení nebo citlivé personální údaje. Čím víc je vaše řízení závislé na práci s výrobními a technologickými daty, tím víc musíte dbát na IT bezpečnost. V ohrožení může být vaše know-how i plynulost výroby.

Připojení různých prvků, např. senzorů, HMI panelů nebo PLC, musí být dostatečně zabezpečené, aby k nim nikdo neoprávněný nemohl získat přístup a spravovat je. To ale neznamená se konektivity vzdát, stačí si dobře nastavit bezpečnostní standardy.

Proč IT nepovolí jednoduchá řešení

Ukažme si na příkladu vzdálené správy, jak to má vypadat.

Obecně pro přístup na vzdálený počítač samozřejmě můžete použít nějaký jednoduchý free program. Pro domácí užití je vám to možná jedno, ale znamená to nebezpečné otevření brány vaší sítě do nekonečných internetových vod, tedy i všem potenciálním hrozbám z vnějšku.

Ve firmě vám to proto žádné soudné IT oddělení nepovolí. Bude po právu vyžadovat dodržení bezpečnostních standardů, bez kterých do sítě nikoho nepustí.

smelik obrazek do clanku

5 prvků bezpečného vzdáleného přístupu na PLC

Proto když vybíráte nástroj pro vzdálenou správu řídicích systémů ve výrobě, zaměřte se na několik bezpečnostních prvků – příslušné certifikace, možnost vícefaktorového ověřování uživatelských účtů, pokročilou správu hesel (a jejich poctivé používání), cílení na konkrétní IP adresy a zpětnou dohledatelnost jednotlivých logů.

Všechny tyto bezpečnostní prvky si popíšeme v následujících kapitolách na konkrétním příkladu routerů Ewon a jejich cloudové službě Talk2M (pokud jste se s nimi ještě nesetkali, na webu jsme popsali, jak to celé funguje).

„Pro naše zákazníky jsme už před lety hledali bezpečné, a přitom uživatelsky přívětivé nástroje pro vzdálený přístup na PLC. Nakonec jsme vybrali routery Ewon, protože jsou velmi jednoduché a rychlé na zprovoznění, vysoce bezpečné pro IT infrastrukturu, a přitom cenově dostupné i pro malé a střední podniky,“ vysvětluje Jaromír Peterka, majitel firmy FOXON.

O tom, jak jednoduché je s routery pracovat i bez aktivní pomoci IT, jsme už psali vícekrát. Vlastně stačí, aby vám IT zařízení povolilo a připravilo vám pro něj schválené připojení k internetu. Zbytek práce s routerem hravě zvládnete na úrovni výroby nebo údržby.

Teď se ale pojďme zaměřit na to, jaké prvky zajistí dostatečnou kyberbezpečnost (a tedy to schválení od IT).

1. Bezpečnostní certifikace

Základem by rozhodně měla být certifikace ISO 27001, která garantuje minimální standard informační bezpečnosti daného výrobku.

Routery Ewon mají nejen toto ISO. Jejich výrobce HMS úzce spolupracuje s nezávislou firmou zabývající se kybernetickou bezpečností. Společně vytvořili standard bezpečného ověřování NVISO.

Víc o bezpečnosti produktů Ewon najdete na stránkách výrobce.

2. Správa účtů a vícefaktorové ověřování

Velmi propracovaný je v cloudové službě Talk2M Pro systém uživatelských účtů. Administrátor Talk2M (a tím nemusí být nikdo z IT, ale klidně manažer údržby nebo programátor PLC) může nejen vytvořit každému uživateli samostatný účet, ale také podrobně nastavit jeho jméno, pravidla pro tvorbu hesel, ale také omezit práva jednotlivých uživatelů.

uzivatel 2

Bezpečnostní dvoufázové ověřování, tzn. pomocí uživatelského hesla a potvrzovací SMS, která je unikátní pro každé přihlášení, efektivně předchází zneužití jednotlivých uživatelských účtů.

3. Dohledatelnost jednotlivých logů

Díky dobrému systému uživatelských účtů lze také poměrně podrobně zpětně dohledávat jednotlivé logy a datové toky, tzn. kdy, kdo a jak dlouho byl přes Ewon připojený na konkrétní IP adresu. Snadno tak najdete původce změn či všechny, kteří měli k zařízení přístup.

ecatcher log 2

4. Komplexní firewall a omezení přístupů

Velká výhoda je, že správce Talk2M (administrátor) má plně pod kontrolou, kdo a kam se připojuje. V placené verzi Talk2M Pro totiž každému uživateli na míru připravuje přístupy na konkrétní IP adresy, porty či protokoly.

Znamená to, že když máte na lince zařízení od deseti různých výrobců, můžete je pomocí jednoho Ewonu připojit na linku všechny, ale každého pustit jen na jeho zařízení.

ecatcher IP 2

5. Pokročilá správa hesel

A když už se bavíme o informatické bezpečnosti, nemůžeme nezopakovat pravidla pro tvorbu bezpečných hesel. Ta by měla být unikátní, dostatečně dlouhá, složená z různých typů znaků (malá a velká písmena, interpunkční znaménka, číslice), a navíc byste je měli pravidelně měnit.

I Talk2M Pro na dostatečně bezpečná hesla pamatuje. Nejen že vám při nastavování hesla hlásí, jak je vaše zamýšlené heslo bezpečné. Administrátor může přímo nastavit pravidla pro tvorbu hesel, jeho délku i komplikovanost, kterou vyžaduje. Případně může i nastavit jeho omezenou životnost, pokud někoho na vzdálený přístup pouští jednorázově. Nemusí pak myslet na to, že má externistovi přístup později zase zakázat.

Zajímá vás vzdálená správa řídicích systémů a kyberbezpečnost víc? Podívejte se na náš e-shop.

Související produkty

{foxonstore id="44353,44361,32357,32358,32359,62749"}

Novinky
z naší firmy

Stačí 2 e-maily měsíčně a neunikne vám nic podstatného. 
Přihlaste se a každou druhou středu čtěte přímo ve své poště.

Váš e-mail je u nás v bezpečí. Vždy ctíme Zásady zpracován osobních údajů.

Rychlý dotaz


Typ vašeho dotazu



Společnost FOXON je držitelem certifikátu ISO 9001:2015

Sledujte nás i na sociálních sítích.

Made by FOXON s.r.o. © 2022