Herding av industrielle nettverk beskytter dine verdier

Mye er investert i eksisterende infrastruktur, men potensialet i den eksisterende infrastrukturen er sjelden utnyttet fullt ut. For å møte morgendagens krav til økt lønnsomhet, må et stabilt og sikkert industrielt nettverk etableres og herding av nettverket er et «must» om du skal lykkes.

Nå som Industri 4.0 og smarte fabrikker blir stadig mer aktuelle temaer, blir det viktig å etablere et solid nettverk i bunnen. Morgendagens fabrikker og produksjonsanlegg krever at maskiner og utstyr er koblet opp i et nettverk slik at de kan snakke sammen og levere verdifulle data for analyse og kontroll. Slik sett blir produksjonsnettverket selve nervesystemet i virksomheten din.

Og dette nettverket må beskyttes og kontrolleres. Sikkerhetspolicyer bør etableres, sikkerhetstiltak bør gjennomføres og sikkerhetsovervåking bør implementeres. Med andre ord må det etableres et sikkerhetsstyringssystem som følges opp kontinuerlig for å sikre at man til enhver tid har kontroll på risiko.

Les også: Produksjonsnettverket: Nervesystemet i en moderne produksjon

Viktigheten av en sikkerhetspolicy

Som et utgangspunkt bør du etablere en sikkerhetspolicy, det vil si et sett med regler for hva som er lov og ikke lov til å gjøre i virksomheten med tanke på nettverkssikkerhet.

En sikkerhetspolicy er en sammenfatning av alle lover, regler og rutiner virksomheten din benytter for å sikre fysiske og ikke-fysiske ressurser. En policy omfatter teknologi, mennesker og prosesser og den sørger for at du er godt forberedt på alle tenkelige hendelser og evner å redusere risikoen til et akseptabelt nivå.

Følgende momenter er eksempler på det en sikkerhetspolicy bør omfatte:

• Passordbruk: Det kan virke banalt, men vi nordmenn har en tendens til å gjøre oss selv til enkle bytter for hackere og nettkriminelle gjennom dårlige rutiner for passordbruk. Usikre og svake passord vil kunne få store konsekvenser for produksjonen, enten fordi uvedkommende får tilgang applikasjoner og kan ta kontroll over produksjonen eller fordi de endrer programvaren.
  
  
• Tilgangskontroll: Etter hvert som utstyret på produksjonsgulvet kobles sammen med bedriftens produksjonsnettverk, i det som kalles Industrial Internet of Things (IIoT), får vi tilgang til en helt ny verden av informasjon som vi kan nyttiggjøre oss av i den daglige driften. Men denne sammenkoblingen introduserer samtidig nye sikkerhetsrisikoer og tilgangspunkter som uvedkommende kan benytte seg av for å få tilgang til kritiske systemer og kritisk utstyr. Derfor blir det viktigere å bestemme hvem som skal ha tilgang til hva og etablere regler og rutiner for tilgangsautorisasjon og -kontroll.
  
  
• Trafikkflyt: Nettverkssikkerhet går i bunn og grunn ut på å stenge nettverket for brukere og trafikk som ikke hører hjemme der. Det gjør man ved å plassere ut barrierer som forhindrer fri flyt, som regel i form av industrielle brannmurer som inspiserer trafikken og bestemmer hva slags datatrafikk som får passere. Du bør definere regler for hva som får lov til å slippe gjennom og inkludere det i virksomhetens sikkerhetspolicy og nettverksstrategi.

Les også: Hvordan beskytte et nettverk du ikke kan se?

7 herdingsteknikker for switchene i nettverket ditt

Vi beskriver gjerne effektiv beskyttelse av produksjonsbedrifter med en «løkmodell», eller «Defence in Depth» som det også blir kalt. Denne modellen har flere nivåer, eller lag. Hvert av lagene er like viktige for den totale sikkerheten, men jo lenger inn i modellen en inntrenger kommer, jo mer kritisk vil det være for bedriften ettersom det er her fabrikkens kjerneoppgaver styres.

Noe av det første du bør gjøre, er å ta for deg ett av disse lagene, fokusere på switchene og gjennomføre konkrete tiltak for å heve sikkerheten og herde det industrielle nettverket ditt. Følgende syv tiltak er lavthengende frukter og fornuftige herdingsteknikker du kan gjennomføre allerede i dag:

1. Bytt passord: Hvis du ikke har etablert regler for å bytte passord på switchene dine, er sannsynligheten stor for at de benytter et standardpassord etablert av leverandøren. Det er et betydelig sikkerhetshull som bør tettes igjen så raskt som mulig.
2. Oppdater til siste firmware: Inne i alle enheter finner vi kjernesoftware, eller firmware. Slik firmware må beskyttes. For eksempel kan det være at den har et kjent sikkerhetshull som må tettes eller at det har kommet nye funksjoner som gjør den sikrere. Husk at switchen er en del at et produksjonssystem. En oppgradering av firmware vil kunne forårsake stans i produksjon.  Oppgradering må som regel planlegges nøye og avtales med drift.
   
   
3. Slå av ubenyttede porter: En switch har mange tilkoblingspunkter hvorav mange av dem ikke er i bruk. Disse står gjerne åpne og tilgjengelige for alle som har fysisk tilgang til enheten. For å gjøre det vanskeligere for uvedkommende å få tilgang, kan man slå av de portene som ikke er i bruk i konfigurasjonsprogramvaren. Da sperrer du tilgangen til switchene og forhindrer mulighet for utilsiktet stopp i nettverket.

4. Bruk nettverkssegmentering (VLAN): En switch er en enhet som fungerer som et koblingspunkt mellom utstyr i produksjon og som styrer trafikken i nettverket. Switchen er utstyrt med intelligens som bestemmer hvem som kan kommunisere med hvem. I tillegg til fysisk segmentering i ulike soner, kan switchene også konfigureres med virtuelle nettverk (VLAN). For eksempel kan alle PLSer plasseres i ett VLAN, mens alle visualiseringsenheter ligger i et annet. Skulle det oppstå et problem i ett VLAN, vil det ikke forstyrre de andre.  Det blir vanskeligere for en inntrenger å bevege seg rundt i nettverket. Det blir litt som å låse alle dørene i et hus. Selv om uvedkommende kommer inn hoveddøra, kommer de seg ikke inn i noen av de andre rommene.

5. Implementere VLAN for management: Som en forlengelse av det forrige punktet, kan du lage et eget virtuelt rom for styringen av switchene, et rom som kun administratoren har tilgang til. VLAN for management er et mindre nettverk som befinner seg i det industrielle nettverket ditt, noe som sørger for at all styringstrafikk foregår på et separat VLAN. En slik løsning gjør det langt vanskeligere for uautoriserte brukere å gjøre endringer i nettverket ditt eller overvåke nettverkstrafikken din.

6. Deaktiver usikrede protokoller: Når en switch pakkes ut av esken og installeres i anlegget er det mange funksjoner og protokoller som er tilgjengelige. Noen av disse er å betrakte som store sikkerhetshull.  Gamle protokoller som Telnet og SNMP1 og 2 er uten sikkerhet og bør deaktiveres. Bruk heller krypterte protokoller som SSH, SNMP3 eller HTTPS for management.

7. Port Security med MAC filtrering: Dersom du vil øke sikkerheten ytterligere kan du begrense tilgangen pr. port på switchen til kun å tillate en bestemt MAC adresse. Det er da kun utstyr med angitt MAC adresse som får tilgang.

Disse tiltakene er enkle, men effektive. Det finnes naturligvis mer sofistikerte sikkerhetstiltak, men dette er et godt sted å starte for å heve sikkerheten i nettverket. Om du ønsker mer informasjon om «løkmodellen», og flere tips og råd til hvordan du kan beskytte nettverket ditt, kan du ta en kikk på vår e-bok om nettverksstrategi.

Les også: Slik hindrer du hackere i å komme inn på produksjonsnettet ditt

Switcher må overvåkes gjennom automasjonssystemet

Om produksjonsnettverket er nervesystemet i organisasjonen din, vil switchene være organisasjonens nerveceller, som styrer produksjonens totale atferd og kobler de ulike delene av nettverket sammen. Switchene blir dermed en helt sentral del av kontrollsystemet i virksomheten, og det er kritisk at de overvåkes kontinuerlig. Et moderne kontrollsystem vil ikke kunne fungere uten switcher.

I dag ser vi imidlertid at mange virksomheter ikke har en kobling mellom switchene og selve kontrollsystemet, men heller benytter seg av overvåking koblet opp mot IT-avdelingen.  Overvåking og styring av produksjon foregår normalt fra et kontrollrom hvor den første aksjon tas når et problem oppstår. Når et nettverksproblem inntreffer kan det være en utfordring for drift å lokalisere feilen raskt. IT må ofte tilkalles for feilsøking og utbedring.

Ideelt sett burde switchene overvåkes gjennom kontrollsystemet, slik at driftsoperatørene kan få varsler døgnet rundt om noen av switchene får problemer.  Feilen kan da raskere lokaliseres og drift kan ev. tilpasse produksjon i forhold til dette. På den måten er det ikke bare IT-avdelingen som overvåker switchene i produksjonsmiljøet, men også OT-avdelingen.

I dag finnes det muligheter for å sende informasjon om tilstanden på switchene til SCADA systemene i kontrollrommet, ved å integrere switchene med kontrollerne. Det gjør det lettere å identifisere hvor eventuelle problemer oppstår og hvilke switcher som er påvirket. Skulle det oppstå en stopp i produksjonen, gjør denne integrasjonen det enklere å lokalisere feilen og utberde problemet.

Les også: Overvåking av nettverkstrafikk er kritisk for cyber security i industrielle nettverk

Summa summarum hjelper disse tiltakene deg til å stramme inn sikkerheten. Men ikke bare det, de fungerer også som tiltak for å øke oppetiden i produksjonen. Det er med andre ord ikke bare en forsikring mot cybertrusler, men en måte å skaffe seg mer kontroll og dermed forbedret økonomi gjennom høy oppetid.