V našej fiktívnej firme Chrum&Chrum vyrábame. Nejde o aplikácie, nejde o dáta. Proteínové tyčinky, ktoré musia ísť von z linky každý deň. A ak linka stojí, firma stojí. Preto sme sa tento mesiac zamerali na operačné technológie a zabezpečenie výroby. Ako my hovoríme – na OT.
Čo tu máme
Zoberme si príklad našej fabriky, že nájdeme viac ako tridsať OT komponentov pripojených do siete – PLC jednotky, HMI panely, SCADA moduly a meracie systémy. Kolegovia z výroby vedia o čo ide, pre vašu predstavu sú to priemyselné počítače, dotykové panely a monitory, systémy pre dohľad, riadenie a zber dát a meracie zariadenia.
Viaceré sú dostupné výrobcom cez internet či technickým správcom a to cez nástroje na vzdialenú správu. A tie teda nie sú vždy príliš bezpečné.
Tak ako na to?
Mapovanie OT prostredia
Začnime tak, že bezpečáci a tím OT prevádzky urobia mapu OT komponentov. Kto čo používa, ako sú prepojené, kde sa nachádzajú v sieti a kto k nim má prístup. Každé zariadenie má svojho vlastníka.
Segmentácia OT siete
OT časť treba fyzicky oddeliť od zvyšku siete. Kde sa to nedá, treba nasadiť segmentáciu, firewall a monitoring. Všetky kritické spojenia tak prechádzajú kontrolovaným rozhraním. V OT prostredí treba rešpektovať, že sa používajú špecifické komunikačné protokoly. A komunikácia s hlavným ERP systémom je pod kontrolou a riadená.
Zálohovanie konfigurácií
Každé dôležité zariadenie má zálohované svoje nastavenia mimo systému, offline. Kolegovia z výroby vedia, kde zálohy sú, ako sa obnova robí. Všetko musí byť otestované.
Riadený vzdialený prístup
Dodávatelia majú prístup len cez schválený kanál, v schválenom čase a za prítomnosti nášho človeka. Každé pripojenie sa loguje.
Spoločný workshop
Spolupráca s výrobou je kľúčová. Kybernetická bezpečnosť a prevádzka OT si musia vzájomne vysvetliť, čo kto potrebuje. A až potom môže vzniknúť spoločný plán - oni budú aktívni hráči bezpečnosti, my im nebudeme kaziť výrobu. Zhodujeme sa, že dostupnosť je vo výrobe najdôležitejší parameter.
A nekončíme
Ako prvé nastavíme minimálne štandardy pre nové OT zariadenia. Súbor opatrení, čo má spĺňať nový stroj pred nasadením a ako ho bezpečne pripojiť do siete. Zavedieme pravidelné kontroly a revízie konfigurácií.
Pre prípad incidentu pripravíme krízové postupy izolácie výroby od IT časti. Scenáre výpadkov a reakčných plánov vypracujeme a nacvičíme aj pre časť operačné technológie.
Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený manažér kybernetickej bezpečnosti. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov
Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium