Industrial care implică o serie sistematică de reacții chimice, fenomene fizice, procese electrice și operațiuni mecanice sunt, de obicei, protejate de sisteme tradiționale, învechite, care nu au fost niciodată concepute pentru a face față amenințărilor moderne din domeniul securității cibernetice.
În industria de producție a energiei și în cea de rafinare, aceste procese vizează transformarea materiilor prime în energie, la scară largă. Diversele echipamente OT utilizate în rafinăriile de petrol trebuie să comunice între ele pentru ca procesele tehnice să funcționeze.
Și aici apare vulnerabilitatea critică.
Sistemele de control, precum PLC-urile, DCS-urile și SCADA, pornesc, în general, de la premisa că orice entitate care comunică cu ele este de încredere. Prin urmare, acestea pot să nu dispună de mecanisme de autentificare, criptare sau de validare a comenzilor.
Dacă sistemele OT sunt conectate la aceeași rețea cu sistemele IT (instrumente de acces la distanță, conexiuni ale contractorilor sau laptopuri de întreținere), orice breșă de securitate în aceste zone mai puțin sigure poate afecta direct mediul de control. În consecință, un incident de securitate care își are originea în sistemele IT se poate propaga lateral către sistemele OT fără prea mare rezistență.
Atacurile DoS/DDoS, software-ul configurat incorect sau utilizatorii cu intenții răuvoitoare pot comunica direct cu sistemele de control, putând modifica valorile proceselor, opri producția, avaria echipamentele sau crea condiții de funcționare nesigure.
Mediile OT acordă prioritate disponibilității și stabilității. Nu este vorba de sisteme care pot fi remediate rapid, ceea ce înseamnă că vulnerabilitățile rămân exploatabile pe perioade îndelungate. Într-o rețea cu arhitectură plată sau slab segmentată, un singur incident se poate agrava rapid și poate afecta mai multe resurse sau locații.
Clientul nostru, una dintre cele mai mari companii din lume din sectorul energetic și chimic, cotată la bursă, și-a conștientizat expunerea la riscuri și a decis să remedieze vulnerabilitățile legate de sistemele vechi prin segmentare.
Odată implementată o segmentare adecvată, rețelele sunt separate în funcție de risc și de rol. Astfel, resursele critice OT sunt accesibile numai prin căi strict controlate, iar comunicarea este definită și restricționată în mod explicit, fără a se presupune că este sigură în mod implicit.
Întrucât firewall-urile IT tradiționale s-au dovedit ineficiente în gestionarea protocoalelor de comunicare specifice, organizația a apelat la MetaDefender Industrial Firewall OPSWATFirewall crea o segmentare securizată între activele critice OT și zonele mai puțin securizate.
Când securitatea cibernetică devine o chestiune de securitate națională
În calitate de operator european important din sectorul petrolier și al gazelor naturale, procesele clientului se bazau pe o infrastructură răspândită în mai multe rafinării, platforme de foraj offshore și centre de control al conductelor.
Această infrastructură se baza în mare măsură pe sisteme industriale vechi, precum PLC-uri, platforme SCADA și interfețe om-mașină (HMI).
Aceste sisteme au fost concepute inițial pentru a asigura fiabilitatea și disponibilitatea, nu pentru securitatea cibernetică. Ele nu dispuneau de funcții integrate de autentificare, criptare și înregistrare detaliată a activităților.
Firewall-urile IT tradiționale utilizate s-au dovedit ineficiente în gestionarea protocoalelor de comunicație specifice utilizate în mediile OT și CPS, lăsând sistemele expuse la:
- Traficul de rețea inutil și riscurile legate de deplasarea laterală
- Puncte de intrare potențiale pentru ransomware și atacuri cibernetice țintite
- Dificultăți în aplicarea unui control detaliat asupra protocoalelor industriale
Acestea nu sunt riscuri pe care o organizație care își desfășoară activitatea în sectoarele producției și rafinării energiei le poate ignora pur și simplu: atacurile asupra sistemelor energetice pot pune în pericol siguranța publică, pot perturba serviciile esențiale și pot submina securitatea națională.
În loc să aștepte ca cel mai rău scenariu să se întâmple, clientul a decis să rezolve situația precară cu care se confrunta organizația, prin implementareaFirewall MetaDefender Industrial Firewall OPSWAT.
Asigurarea rezilienței Industrial , respectând în același timp cerințele standardului IEC 62443 și ale NIS2
Compania a implementat soluția OPSWAT MetaDefender Industrial Firewall crea o segmentare securizată între resursele critice OT și zonele mai puțin securizate.
MetaDefender Industrial Firewall
Firewall nostru Industrial Firewall operațiuni este un firewall robust și de înaltă performanță, conceput ca ultimă linie de apărare împotriva configurărilor eronate accidentale, a utilizării rău intenționate, a amenințărilor de tip „zero-day”, a atacurilor DoS și DDoS, precum și a anomaliilor potențial dăunătoare.
Datorită funcției de inspecție aprofundată a pachetelor pentru protocoalele industriale și a controlului accesului bazat pe politici, firewall-ul i-a permis clientului să:
- Izolați activele OT/ICS împotriva atacurilor cibernetice care vizează sistemele PLC, SCADA și DCS.
- Filtrează și controlează protocoalele industriale pentru a bloca comenzile neautorizate, permițând în același timp desfășurarea în condiții de siguranță a operațiunilor.
- Protejați stațiile de lucru ale istoricilor și inginerilor împotriva încercărilor de acces neautorizat.
Asistență în materie de conformitate cu standardele IEC 62443 și NIS2
Prin intermediul soluției Industrial Firewall Operations, clientul a beneficiat de sprijin și în eforturile sale de a respecta cerințele standardului IEC 62443 și ale Directivei NIS2 aplicabile operatorilor europeni de servicii esențiale.
Directiva NIS2 | IEC 62443 |
Aplicarea măsurilor de gestionare a riscurilor: Asigură segmentarea rețelei între IT și OT pentru a reduce riscul cibernetic sistemic la care sunt expuse serviciile esențiale. | Arhitectura pe zone și canale: |
Reducerea suprafeței de atac: | Validarea la nivel de comandă: |
Reziliență operațională: | Filtrarea comenzilor Industrial : |
Controale pregătite pentru audit: | Integritatea controlului și a comunicațiilor (SR 3.x): |
Responsabilitatea la nivelul consiliului de administrație: Programul „ | Aplicarea măsurilor de control al accesului pentru resursele OT: Restricționează accesul la PLC-uri, sisteme SCADA și stații de lucru de inginerie |
Controlul arhitectural sau segmentarea, stabilitatea operațională și îmbunătățirea guvernanței
MetaDefender Industrial Firewall funcționează,Firewall , ca un sistem de control compensatoriu pentru echipamentele vechi sau care nu pot fi actualizate, destul de frecvente în rafinării și în sistemele de conducte.
Cu ajutorul Firewall, clientul poate acum:
- Prevenirea transmiterii accidentale sau neautorizate a comenzilor către controlere prin verificarea protocoalelor industriale.
- Limitați perturbările la nivelul amplasamentului, împiedicând propagarea acestora între mai multe locații în cadrul instalațiilor interconectate.
- Limitați traficul anormal și pachetele incorecte pentru a menține disponibilitatea controlerului.
- Separați sistemele de siguranță de rețelele de control standard pentru a reduce riscul operațional.
- Asigurarea unei aplicări verificabile a politicilor de gestionare a accesului pentru furnizori și contractori.
Oportunități viitoare
Clientul nostru înțelege că segmentarea securizată reprezintă doar primul pas către implementarea unei strategii solide de apărare în profunzime.
Și totuși, este un pas important, întrucât pregătirea pentru creșterea viitoare permite organizației să-și continue activitatea într-un mediu sigur.
Clientul poate acum să-și completeze strategia de securitate cibernetică prin:
- Integrarea MetaDefender Industrial Firewall MetaDefender OT Security vizibilitatea activelor și vulnerability detection rețelele rafinăriilor și ale conductelor.
- Utilizarea MetaDefender OT Access asigura un acces securizat de la distanță la mediile OT.
- Elaborarea unei strategii de apărare pe mai multe niveluri pentru platformele offshore și rafinăriile, în vederea reducerii riscurilor legate de personalul intern și de lanțul de aprovizionare.
Dacă organizația dumneavoastră își propune să-și modernizeze și să-și protejeze rețeaua la scară largă, MetaDefender Industrial Firewall văFirewall ajuta să accelerați procesul de depanare și să îmbunătățiți operațiunile.
Contactați-ne pentru a afla cum OPSWAT noastră OPSWAT vă poate proteja sistemele.
