Industrielle brannmurer er en viktig byggestein i konstruksjonen av et stabilt og sikkert produksjonsnettverk. Denne artikkelen gir deg informasjonen du trenger for å implementere industrielle brannmurer i nettverket ditt i dag.
Industrien står over en enorm omveltning, der automasjon, en ny generasjon av roboter og nye forretningsmuligheter går sammen for å drive frem en smartere produksjon. Denne omveltningen gjør oss utvilsomt mer effektive, men gjør oss samtidig mer sårbare enn noen gang tidligere.
Som et ledd i å redusere denne sårbarheten iverksetter stadig flere industribedrifter risikoreduserende tiltak. Ett av disse tiltakene innebærer å bruke industrielle brannmurer for å styrke nettverkssikkerheten.
En brannmur benyttes ofte for å segmentere nettverket i ulike områder eller soner og kontrollere trafikken inn og ut av de ulike områdene eller sonene. Den er et slags trafikkfilter mellom to nettverk, hvor det defineres regler for hva som får lov til å slippe gjennom av datatrafikk. For å styre trafikken mellom de ulike segmentene benyttes brannmurer.
De fleste er kjent med brannmurer mot internett, og de fleste virksomheter har slike brannmurer implementert. En del selskaper har også etablert en brannmur som inngår som en del av en IDMZ-sone, som skiller IT- og OT-miljøene. Men når de ulike anleggsdelene er segmentert i soner, kan det med fordel også benyttes brannmurer for å kontrollere trafikken inn og ut av de ulike sonene.
Segmentering handler om å stenge flere dører, utføre adgangskontroll mellom de ulike sonene og forhindre at problemer i ett område skal forplante seg videre til andre områder. En form for segmentering er å benytte VLAN eller virtuelle nettverk, der vi kan gruppere utstyr med tanke på funksjon og type – for eksempel alle PLSer i ett VLAN og all SCADA i et annet. Trafikken mellom VLAN styres ofte gjennom en brannmur for å heve sikkerheten ytterligere, slik at man struper trafikken fra en sone til en annen.
Det finnes nå industrielle brannmurer som er beregnet på plassering i tavle ute i produksjon sammen med kontrollsystemet. Industrielle brannmurer plasseres ute i produksjons nettverket for å segmentere og skille de ulike produksjonsområdene fra hverandre. For å krysse fra ett område til et annet må du gjennom brannmuren, som inspiserer trafikken og bestemmer om akkurat den typen datatrafikk får passere.
Les også: Herding av industrielle nettverk beskytter dine verdier
Se vår webinarserie: Cyber Security i industrielle nettverk
På grunn av de fundamentale forskjellene mellom IT- og OT-miljøer, stiller brannmurene som skal plasseres i produksjonen andre krav til funksjonalitet. I motsetning til IT-baserte brannmurer er industrielle brannmurer laget med industriell utførelse, optimalisert for industriell kommunikasjon og med minimal forsinkelse av trafikken.
Det er hovedsakelig tre viktige forskjeller mellom industrielle brannmurer og brannmurer som benyttes i et IT-miljø:
Les også: Hvordan beskytte et nettverk du ikke kan se?
Brannmurer benytter seg av regler for hva slags trafikk som får lov til å slippe gjennom. Med tanke på at trafikkmønsteret i et OT-miljø er annerledes enn på IT-siden av virksomheten, kan det være en utfordring å sette de riktige reglene. I verste fall kan feil regler føre til stans i produksjonen.
Når en skal etablere regler for industrielle brannmurer, skiller vi gjerne mellom såkalt «blacklisting» og «whitelisting». Førstnevnte definerer kjente ondsinnede enheter – virus, ormer, spionprogramvare eller lignende – og mistenkelig datatrafikk som ikke skal få tilgang til nettverket eller systemer. «Whitelisting» snur denne logikken på hodet. Istedenfor å definere hva slags datatrafikk som ikke får lov til å passere, definerer «whitelisting» hva som får lov til å passere og blokkerer all annen trafikk. Hvilken tilnærming som lønner seg avhenger av de konkrete behovene dine og nettverksstrategien din.
Å konfigurere regler for industrielle brannmurer krever god kjennskap til OT-systemene og prosessene. Når de industrielle brannmurene installeres og reglene defineres, er det gunstig å etablere tverrfaglige team, der IT- og OT-personell kan samarbeide om oppgaven som skal løses.
Om du ønsker mer bistand i å opprette industrielle brannmurer i produksjonsnettet ditt, kan vi hjelpe deg med å skape et stabilt og sikkerhet nettverk. Ta gjerne kontakt med oss, eller ta en kikk på vår webinarserie om cyber security i industrielle nettverk. Der får du informasjon om hvordan du kan komme i gang med cyber security, risikoreduserende tiltak og trusler og sårbarhet i et produksjonsnettverk.