<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">

Smartere og mer bærekraftig produksjon

- En blogg fra Triple-S

Industrielle brannmurer reduserer risiko i produksjonsnettverket

Industrielle brannmurer er en viktig byggestein i konstruksjonen av et stabilt og sikkert produksjonsnettverk. Denne artikkelen gir deg informasjonen du trenger for å implementere industrielle brannmurer i nettverket ditt i dag.

Industrien står over en enorm omveltning, der automasjon, en ny generasjon av roboter og nye forretningsmuligheter går sammen for å drive frem en smartere produksjon. Denne omveltningen gjør oss utvilsomt mer effektive, men gjør oss samtidig mer sårbare enn noen gang tidligere.

Som et ledd i å redusere denne sårbarheten iverksetter stadig flere industribedrifter risikoreduserende tiltak. Ett av disse tiltakene innebærer å bruke industrielle brannmurer for å styrke nettverkssikkerheten.

Hva er en industriell brannmur?

En brannmur benyttes ofte for å segmentere nettverket i ulike områder eller soner og kontrollere trafikken inn og ut av de ulike områdene eller sonene. Den er et slags trafikkfilter mellom to nettverk, hvor det defineres regler for hva som får lov til å slippe gjennom av datatrafikk. For å styre trafikken mellom de ulike segmentene benyttes brannmurer.

De fleste er kjent med brannmurer mot internett, og de fleste virksomheter har slike brannmurer implementert. En del selskaper har også etablert en brannmur som inngår som en del av en IDMZ-sone, som skiller IT- og OT-miljøene. Men når de ulike anleggsdelene er segmentert i soner, kan det med fordel også benyttes brannmurer for å kontrollere trafikken inn og ut av de ulike sonene.

Segmentering handler om å stenge flere dører, utføre adgangskontroll mellom de ulike sonene og forhindre at problemer i ett område skal forplante seg videre til andre områder. En form for segmentering er å benytte VLAN eller virtuelle nettverk, der vi kan gruppere utstyr med tanke på funksjon og type – for eksempel alle PLSer i ett VLAN og all SCADA i et annet. Trafikken mellom VLAN styres ofte gjennom en brannmur for å heve sikkerheten ytterligere, slik at man struper trafikken fra en sone til en annen.

Det finnes nå industrielle brannmurer som er beregnet på plassering i tavle ute i produksjon sammen med kontrollsystemet. Industrielle brannmurer plasseres ute i produksjons  nettverket for å segmentere og skille de ulike produksjonsområdene fra hverandre. For å krysse fra ett område til et annet må du gjennom brannmuren, som inspiserer trafikken og bestemmer om akkurat den typen datatrafikk får passere.

Les også: Herding av industrielle nettverk beskytter dine verdier

Se vår webinarserie: Cyber Security i industrielle nettverk

Hvilke industrielle brannmurer bør vi velge?

På grunn av de fundamentale forskjellene mellom IT- og OT-miljøer, stiller brannmurene som skal plasseres i produksjonen andre krav til funksjonalitet. I motsetning til IT-baserte brannmurer er industrielle brannmurer laget med industriell utførelse, optimalisert for industriell kommunikasjon og med minimal forsinkelse av trafikken.

Det er hovedsakelig tre viktige forskjeller mellom industrielle brannmurer og brannmurer som benyttes i et IT-miljø:

  • Industrielle brannmurer er først og fremst herdet for å kunne plasseres ute i et tøffere miljø. De tåler støv og vibrasjoner, er vifteløse og har montasje som passer for industrielle tavler.
  • Brannmurene er optimalisert for industriell kommunikasjon. Kontorstøttesystemer som jobber på IT nivå bruker «språk» som http, ftp og lignende, mens OT-nivået baserer seg på industrielle protokoller (språk) som ProfiNet og Ethernet/IP. De industrielle brannmurene forstår på sin side «språkene» i OT-nettverket. Det vil si at de har en «Deep Packet Inspection» (DPI), som er en mer dyptgående analyse av de datapakkene som prøver å passere. Mens en brannmur vanligvis bare sjekker adresseringen (eller til- og fra-lappen) på pakkene, åpner DPI-funksjonen pakken helt opp og inspiserer selve innholdet. På denne måten kan man stanse all data av en forhåndsdefinert karakter, uansett hvor disse dataene er sendt fra. Stratix 5950 er et eksempel på en industriell brannmur med DPI.
  • Industrielle brannmurer har minimal forsinkelse av trafikken, eller «latency». Ettersom brannmuren skal analysere mye av trafikken som kommer inn, kan pakkene  fort forsinkes i en brannmur.  Pakker som går i et OT-nettverk bør ikke forsinkes i vesentlig grad fordi det kan påvirke prosessen negativt. Det er derfor viktig å se etter brannmurer med lav latency.

Les også: Hvordan beskytte et nettverk du ikke kan se?

Hvilke brannmur-regler bør vi etablere?

Brannmurer benytter seg av regler for hva slags trafikk som får lov til å slippe gjennom. Med tanke på at trafikkmønsteret i et OT-miljø er annerledes enn på IT-siden av virksomheten, kan det være en utfordring å sette de riktige reglene. I verste fall kan feil regler føre til stans i produksjonen.

Når en skal etablere regler for industrielle brannmurer, skiller vi gjerne mellom såkalt «blacklisting» og «whitelisting». Førstnevnte definerer kjente ondsinnede enheter – virus, ormer, spionprogramvare eller lignende – og mistenkelig datatrafikk som ikke skal få tilgang til nettverket eller systemer. «Whitelisting» snur denne logikken på hodet. Istedenfor å definere hva slags datatrafikk som ikke får lov til å passere, definerer «whitelisting» hva som får lov til å passere og blokkerer all annen trafikk. Hvilken tilnærming som lønner seg avhenger av de konkrete behovene dine og nettverksstrategien din.

Å konfigurere regler for industrielle brannmurer krever god kjennskap til OT-systemene og prosessene. Når de industrielle brannmurene installeres og reglene defineres, er det gunstig å etablere tverrfaglige team, der IT- og OT-personell kan samarbeide om oppgaven som skal løses.

Om du ønsker mer bistand i å opprette industrielle brannmurer i produksjonsnettet ditt, kan vi hjelpe deg med å skape et stabilt og sikkerhet nettverk. Ta gjerne kontakt med oss, eller ta en kikk på vår webinarserie om cyber security i industrielle nettverk. Der får du informasjon om hvordan du kan komme i gang med cyber security, risikoreduserende tiltak og trusler og sårbarhet i et produksjonsnettverk.

Prat med oss

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering og industriell kommunikasjon rettet mot Olje og Gass, Havbruk, Industri og Offentlig sektor. De siste 5-6 år har han hatt ansvaret for Triple-S sin satsning på Cyber Sikkerhet i OT. Teamet han leder leverer løsninger for trusselovervåking og sårbarhetsanalyse for industrielle kontrollsystemer samt sikker fjerntilkobling og industrielle nettverk. Med kompetanse innen IEC 62443 har han også bistått kunder med rådgivende tjenester for risikoanalyse og kursing innen Cyber sikkerhet i OT. Knut-Erik brenner for sikker og lønnsom produksjon ved økt bruk av automatisering og robotisering.

Topics: Cyber security, Nettverk

Abonnér på bloggen