Jak podnieść poziom bezpieczeństwa OT i spełnić wymogi NIS2?
Zwiększ poziom bezpieczeństwa OT i spełnij wymogi NIS2 dzięki aplikacji OPC UA Forge.
Zabezpieczanie sieci przemysłowych zgodnie z dyrektywą NIS2: Jak Prosys OPC UA Forge rozwiązuje problem łączności
Cyberbezpieczeństwo przemysłowe przechodzi od zaleceń dotyczących „najlepszych praktyk” do ram prawnych, których muszą przestrzegać przedsiębiorstwa posiadające infrastrukturę krytyczną i prowadzące działalność produkcyjną. W szczególności unijna dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS2) wprowadza zestaw wymogów bezpieczeństwa, których organizacje nie mogą zignorować i które zmuszają je do podjęcia działań w środowisku przemysłowym, gdzie cykle produkcyjne trwają 25 lat, w bardzo krótkim czasie.
Dla większości przedsiębiorstw przemysłowych głównym problemem w spełnieniu tych wymagań nie jest zrozumienie dyrektywy, ale wdrożenie architektury technicznej niezbędnej do jej spełnienia w starych środowiskach typu brownfield.
Czym jest NIS2 i kogo dotyczy?
NIS2 ma zastosowanie zarówno do podmiotów o znaczeniu kluczowym, jak i ważnych, w zależności od liczby zatrudnionych pracowników
lub rocznego obrotu. Oprócz tradycyjnej infrastruktury krytycznej (energetyka, wodociągi, transport) obejmuje ona szerokie spektrum przedsiębiorstw z sektorów produkcyjnych, takich jak:
- Żywność i napoje
- Chemia
- Elektronika
- Maszyny
- Farmaceutyka i medycyna
- Sprzęt transportowy
Podobnie jak w przypadku każdej dyrektywy UE, faktyczne przepisy są tworzone przez państwa członkowskie, a termin na to upłynął w październiku 2024 r. W 2026 r. rozpoczyna się okres egzekwowania przepisów, a firmy i organizacje muszą wykazać się stosowaniem środków zarządzania ryzykiem i bezpieczeństwa.
Podstawowym wymogiem NIS2 jest przyjęcie modelu opartego na ryzyku (art. 21), wymagającego od organizacji wdrożenia środków mających na celu zapobieganie incydentom, ich wykrywanie i reagowanie na nie. W środowiskach OT oznacza to, że przedsiębiorstwa muszą wdrożyć segmentację sieci, bezpieczną komunikację oraz ścisłą kontrolę dostępu.
Gdzie sprawdza się Prosys OPC UA Forge
NIS2 obejmuje wszystkie aspekty, od zarządzania po zgłaszanie incydentów. Prosys OPC UA Forge nie jest uniwersalnym rozwiązaniem dla całej dyrektywy, ale rozwiązuje najtrudniejsze wyzwanie techniczne: bezpieczną wymianę danych między sieciami OT i IT.
Chociaż NIS2 zdecydowanie promuje stosowanie kryptografii i bezpiecznego uwierzytelniania, wszystkie protokoły przemysłowe, z nielicznymi wyjątkami, przesyłają dane w postaci zwykłego tekstu bez żadnych zabezpieczeń.
Prosys OPC UA Forge działa jako bezpieczna warstwa integracyjna. Łączy się z urządzeniami starszego typu, wykorzystując ich natywne protokoły, i konwertuje te dane do formatu OPC UA. OPC UA umożliwia wiele ulepszeń bezpieczeństwa w porównaniu z protokołami starszego typu, takich jak:
- Szyfrowana komunikacja
- Podpisywanie komunikatów i uwierzytelnianie aplikacji
- Zarządzanie zaufaniem oparte na certyfikatach
- Kontrola dostępu oparta na rolach
- Rejestrowanie audytowe
- + wiele innych funkcji bezpieczeństwa
Dzięki zastosowaniu Forge w połączeniu z segmentacją sieci wszystkie dane opuszczające sieć OT są w pełni
zabezpieczone i uwierzytelnione, co spełnia wymagania NIS2 dotyczące integralności danych.
Pełna lista kontrolna NIS2
Chociaż Forge zapewnia bezpieczeństwo transferu danych, pełna zgodność z przepisami wymaga podjęcia dodatkowych działań organizacyjnych.
Organizacje muszą również zająć się następującymi kwestiami:
- Bezpieczny dostęp zdalny: na przykład poprzez wykorzystanie zarządzanych przez dział IT stacji pośrednich
do wszelkich prac inżynieryjnych i konserwacyjnych wykonywanych w odniesieniu do zasobów OT. - Reagowanie na incydenty: norma NIS2 wymaga zgłaszania „poważnych incydentów” w ciągu 24
godzin. Wymaga to wewnętrznych procesów wykrywania i eskalacji zdarzeń związanych z bezpieczeństwem. - Bezpieczeństwo łańcucha dostaw: Organizacje muszą ocenić stan bezpieczeństwa swoich dostawców oprogramowania i sprzętu oraz włączyć ich do procesu zarządzania ryzykiem.
- Higiena cyberbezpieczeństwa: Posiadanie jasnych procesów opartych na najlepszych praktykach w zakresie podstawowych zasad bezpieczeństwa, takich jak zasady dotyczące haseł, zarządzanie poprawkami i szkolenia personelu.
Bezpieczeństwo Przemysłu 4.0
Problem
- Przemysł 4.0 -> zintegrowane systemy IT/OT
- 25% systemów OT jest przestarzałych (Microsoft, 2023)
Rozwiązanie: Forge
- Jeden punkt dostępu
- Odizolowane sieci
- Unikalne połączenie zabezpieczeń
Cyberbezpieczeństwo od samego początku
- OPC UA posiada wbudowane trzy warstwy zabezpieczeń
- Zabezpieczenia transportowe zapewniające szyfrowaną komunikację
- Zabezpieczenia aplikacyjne służące do uwierzytelniania komunikatów typu klient/serwer
- Zabezpieczenia użytkowników obejmujące tokeny dostępu użytkowników oraz zarządzanie uprawnieniami użytkowników
- Fundacja OPC nieustannie przygotowuje się na nowe zagrożenia
- Odbywa się to poprzez zlecanie niezależnych raportów z analizy bezpieczeństwa
- Forge wdraża zabezpieczenia OPC UA i rozszerza je
- O dodatkową kontrolę dostępu użytkowników
- Oraz o podpisywanie i szyfrowanie jako standard komunikacji
Skuteczność zabezpieczeń
Ograniczona ochrona – możliwości atakującego są ograniczone, ale atak nie jest całkowicie zablokowany.
Skuteczna ochrona – ataki tego typu wymagają zaawansowanych ataków kryptograficznych.
Wnioski
NIS2 stanowi znaczącą zmianę w zakresie bezpieczeństwa przemysłowego dla wielu zainteresowanych przedsiębiorstw, ale na szczęście dostępne są sprawdzone narzędzia umożliwiające wdrożenie zasad i architektur technicznych, które ułatwiają uruchomienie systemu.
Wykorzystując Prosys OPC UA Forge, naszą platformę Industrial DataOps, jako bramę bezpieczeństwa, można radykalnie ograniczyć powierzchnię ataku, kontynuując jednocześnie transformację cyfrową.
