کنترل ذوب از طریق یک تبلت صنعتی به صورت بی سیم! یا یک بیل مکانیکی بزرگ که چندین ده کیلومتر دورتر کار می کند، علم موشکی نیست! در صنعت فناوری اطلاعات، مهندسان با مشکلات ایمن سازی شبکه ها و داده ها در برابر نشت یا حملات از خارج روبرو هستند. اما آیا این بدان معناست که مشکل از صنعت اتوماسیون نیست؟

در ابتدا دستگاه ها در شبکه داخلی چه از طریق Modbus، Can، DeviceNet یا Profibus، در استانداردهای RS-232 یا RS-485 و غیره با هم ارتباط برقرار می کردند. در واقع هنوز هم همینطور است و خود پروتکل ها از نظر امنیتی هم ارتباط برقرار نکرده اند. از دهه 1970 بسیار تغییر کرده است. دسترسی به چنین وسایلی از بیرون عملاً از خارج از تأسیسات غیرممکن بود. تنها تهدید، دخالت اشخاص ثالث در شبکه داخلی شرکت تنها پس از اتصال فیزیکی یا بی توجهی کارکنان بود.

امروزه که اغلب از دسترسی و ارتباط از راه دور از طریق اینترنت استفاده می کنیم، تقریباً هر دستگاه شبکه در معرض حمله قرار می گیرد. متأسفانه (و خوشبختانه) امروزه تصور عملکرد سیستم های صنعتی بدون استفاده از شبکه های گسترده ICT دشوار است. راندمان کاری بیشتر، دسترسی به تعداد بسیار بیشتری از دستگاه ها به طور همزمان از یک نقطه پایانی، که می تواند یک کارگر تعمیر و نگهداری، برنامه نویس، رفع خرابی بسیار سریعتر یا حتی نظارت بر پارامترهای عملکرد و وضعیت دستگاه باشد. این ها تنها چند مزیت کار اتوماسیون صنعتی در شبکه های گسترده ICT است.

قدرت زیاد مسئولیت زیاد هم می آورد

کافی است کنترلر به یک سوئیچ وصل شود، به سوییچ دیگری سوئیچ شود، جایی در طول مسیر یک Hub، شاید یک مبدل رسانه، یک روتر، یک اتاق سرور و در نهایت یک روتر لبه و یک شبکه عمومی وجود داشته باشد. ما همچنین می توانیم از دفتر یا خانه با یک PLC از طریق یک مودم GSM ارتباط برقرار کنیم. بدون یک سیاست امنیتی خوب و تعدادی حفاظت، شبکه ما هرگز ایمن نخواهد بود.

تهدیدها

در سال 2010، باگی در سیستم‌های صنعتی ایران (از جمله نطنز) شناسایی شد که نرم‌افزار PLC را آلوده کرده بود. اسمش استاکس نت بود. نوع دیگری از نرم افزارهای آلوده کننده برای “تشخیص” منطقه مورد استفاده قرار گرفت. استاکس نت بررسی کرد و تشخیص داد که آیا دستگاه های زیمنس (عمدتا S300 / S400، اینورترها و SCADA زیمنس) به رایانه آلوده متصل هستند یا خیر. در نتیجه به تدریج تنظیمات پارامترهای عملکرد سانتریفیوژها را تغییر داد که به مرور زمان منجر به آسیب آن ها شد. این اشکال به اندازه‌ای هوشمند بود که هشدارها و اعلان‌های سیستم را در حالت خواب قرار می‌داد و تقریباً نامرئی می‌کرد. علاوه بر این، او به طور دوره ای خود را به خواب می برد و حتی غیرقابل تشخیص می شد. چگونه آلوده شد؟ احتمالاً به دلیل سهل انگاری پرسنل، نبود امنیت و روتین. عواقب استاکس نت چه بود؟ گاهی صحبت از آسیب به تاسیسات غنی سازی اورانیوم ایران و تاخیر در خود برنامه هسته ای می شود. مهندسان که قادر به شناسایی مشکل نبودند، اغلب مجبور می شدند مجموعه ای از دستگاه های آسیب دیده را جایگزین کنند.

آیا می توانید عواقب خراب شدن و کنترل آلوده به ویروس سیستم های اتوماسیون صنعتی بزرگ را تصور کنید؟ ممکن است صحنه ها به اندازه شورش ماشین ها در سری ترمیناتور حماسی نباشد، اما آسیب می تواند جدی باشد.

در سال‌های بعد، چندین نسخه از بدافزارها مانند Flame، Gauss و Duqu نیز ظاهر شدند. بر اساس آخرین داده ها، سالانه ده ها هزار مورد دسترسی / نفوذ غیرمجاز به سیستم های کنترل فرآیندهای صنعتی وجود دارد. غیرمعمول نیست که چنین حملاتی خیلی دیر یا اصلاً تشخیص داده نمی شوند. طبق تحقیقات سیسکو، میانگین زمان تشخیص یک حادثه امنیتی از وقوع آن 400 روز است!

CyberX [1] تحلیلی از امنیت شبکه های صنعتی انجام داد که نشان می دهد:

  • یک سوم کارخانه های صنعتی به اینترنت متصل هستند؛ نیازی به توضیح اضافی در مورد این که چنین شبکه هایی چه اهداف آسانی هستند ندارد.
  • در 3 از 4 کارخانه صنعتی سیستم عامل های ویندوز پشتیبانی نشده وجود دارد، مانند XP و 2000؛ چنین سیستم هایی دیگر به روز نمی شوند، هیچ سیاست امنیتی جدیدی وجود ندارد، بنابراین سیستم دیگر تهدیدات جدید را تشخیص نخواهد داد.
  • تقریباً 3 از 5 کارخانه از رمزهای عبور رمزگذاری نشده در قالب متن ساده استفاده می کنند که امکان دسترسی و حرکت در شبکه OT را فراهم می کند؛ جدید نیست، رمزهای دسترسی با نشانگر روی بدنه دستگاه ها نوشته می شوند یا روی یادداشت های چسبناک چسبانده می شوند.
  • نیمی از سایت های صنعتی هیچ گونه حفاظت ضد ویروس ندارند.
  • تقریباً نیمی از شرکت ها حداقل یک دستگاه ناشناخته یا خارجی دارند و 20٪ دارای نقاط دسترسی بی سیم (WAP) هستند؛ دسترسی به شبکه بی سیم بسیار آسان تر است.
  • به طور متوسط، نزدیک به یک سوم از دستگاه ها (28٪) در هر کارخانه حساس هستند.
  • 82% از سایت های صنعتی از پروتکل هایی برای اتصال از راه دور استفاده می کنند: RDP، VNC و SSH.
تحلیلی از امنیت شبکه های صنعتی

محافظت و پیشگیری کنید

راه اصلی مبارزه با حملات، طراحی صحیح کل شبکه ICT است. بخش بندی مناسب و جداسازی شبکه از همه مهمتر است.

ابتدا شبکه باید بسته به مقصد به زیرشبکه ها تقسیم شود. یک شبکه اداری باید در یک گروه جداگانه، یک شبکه صنعتی و یک شبکه عمومی در گروه دیگر قرار گیرد. هر یک از گروه های برتر باید به بخش های مناسب کارخانه ما تقسیم شوند که بسته به نوع دستگاه به زیرشبکه ها تبدیل می شوند. مثال: کنترل‌کننده‌های PLC باید در شبکه‌ای متفاوت از حتی VoIP باشند.

علاوه بر این، استفاده از دستگاه هایی با فایروال داخلی ضروری است. یکی از عناصر مهم جداسازی شبکه، تقسیم آن به VLAN است. این اجازه می دهد تا بخش های مختلف به طور منطقی در ردیف سوم TCP مدل OSI از هم جدا شوند. ترافیک ورودی و خروجی باید از طریق ACLهای تعریف شده در سطح دستگاه کنترل شود. بهترین راه حل برای اطمینان از فایروال قوی، علاوه بر تنظیم آن بر روی دستگاه های جداگانه، اتصال به شبکه یک دستگاه جداگانه است که بر ترافیک و امنیت نظارت می کند، که سرورهای فایروال یا UTM هستند.
دومی فایروال های بسیار مفیدی هستند که در یک دستگاه سوئیچ مانند قرار گرفته اند. همچنین امکان نصب فایروال بر روی لایه کاربردی مدل OSI وجود دارد که ممکن است برخی آن را در شبکه های صنعتی اغراق آمیز بدانند اما باید به آن نیز اشاره کرد.

یک روش امنیتی خوب و شاید منطقی ترین، قطع اتصال دستگاه هایی است که به سادگی به آنها نیازی ندارند از اینترنت. به عنوان مثال، اپراتورها فقط باید به بخش شبکه صنعتی که در آن PLC در ارتباط با HMI عمل می‌کند، دسترسی داشته باشند تا کارمندان به پارامترهای کنترل و فرآیند دسترسی داشته باشند و نه به آخرین فصل بازی تاج و تخت: D.

کل شبکه باید به دقت نظارت شود. به‌دست آوردن داده‌ها با مجوز بیش از حد بسیار آسان است، بنابراین افراد آموزش‌دیده و شایسته با حقوق انحصاری که در مقابل اشخاص ثالث نیز محافظت می‌شوند، باید برای مدیریت منابع و مراقبت از شبکه ICT منصوب شوند. من اغلب با شرایطی مواجه شده ام که پس از اتصال به شبکه مشتری از طریق VPN، رایانه من توسط آنتی ویروس اسکن شده و باید نوعی استانداردهای امنیتی (از جمله سیستم عامل فعلی، فایروال فعال، نرم افزار قانونی و غیره) را رعایت کند. شخصاً بسیار تحریک کننده بود، اما در واقع آن را بسیار ایمن تر کرد.

هنگامی که صحبت از اتصالات از راه دور و VPN به میان می آید، حتی لازم است از پروتکل های رمزگذاری انتقال، سیستم شناخته شده اعتبار PKI و سایر گواهی های امنیتی استفاده کنید. علاوه بر این، تمام گواهینامه ها باید به روز و به صورت دوره ای تمدید شوند. بسیار مهم است که کلیدهای خصوصی هر کاربر بر روی رسانه های غیرقابل دسترسی برای اشخاص ثالث ذخیره شده و با امنیت اضافی محافظت شود.

در مورد دستگاه های جدید چطور؟

مدیران شبکه ما باید تمام دستگاه های موجود در شبکه را کنترل کنند. سایر کارمندان یا پیمانکارانی که مایل به اتصال دستگاه های جدید به شبکه یا دریافت آدرس IP هستند باید به درستی آموزش ببینند، کل تاریخچه تغییرات و دسترسی ها باید در سیستم ذخیره و ذخیره شود و دستگاه ها باید به طور کامل از نظر امنیت و انطباق بررسی شوند.

بی قانونی یک گزینه نیست!

مشکل دیگر احتمالاً انتقال داده، ذخیره رمزهای عبور است. استفاده از انتقال رمزگذاری شده داده های حساس مانند رمزهای عبور، تنظیمات دستگاه و غیره ضروری است. در شرایطی که رمز عبور از طریق ایمیل ارسال می شود یا روی یک کاغذ نوشته می شود و «معروف می شود» نباید امکان پذیر باشد. تمرین).

موردی ترین روش حفاظت، ایمن سازی فیزیکی دستگاه ها و زیرساخت ها است. منظور من کنترل و امنیت کابینت های کنترل، اتاق ها، اتاق های سرور و گذرواژه های دسترسی یا انبارهای داده به شکل زیر است:

  • خوانندگان و کارت های RFID،
  • با استفاده از گذرواژه‌هایی که به سختی شکسته می‌شوند، به‌طور دوره‌ای بازخوانی می‌شوند،
  • امنیت مکانیکی دستگاه ها و اتاق ها (قفل قفل، قفل الکترونیکی و …)
  • افزایش کنترل افراد مجاز – منظور من اصل اعتماد محدود است. بیش از یک بار من این فرصت را داشتم که به همه چیز در سایت دسترسی داشته باشم و هر کاری که می خواهم با شبکه ها انجام دهم، زیرا هیچ کس علاقه ای به کاری که من در اینجا انجام می دهم نداشت.
  • آموزش کارکنان برای افزایش آگاهی در مورد ایمنی،
  • انجام ممیزی های امنیتی

خلاصه

همانطور که می بینید امنیت در شبکه های صنعتی بسیار مهم است و به عقیده بسیاری مهمتر از شبکه های IT است. به عنوان صاحب یک کارخانه صنعتی، ارزش این را دارد که چگونه امنیت شبکه خود را ارتقا دهید. همانطور که می دانید پیشگیری بهتر از درمان است. شایان ذکر است که آموزش برای کارکنان، ممیزی های امنیتی، معرفی پروتکل های داخلی و سیاست های امنیتی در نظر گرفته شود. گسترش بخش فناوری اطلاعات شرکت خود با یک بخش امنیتی عملاً ضروری است. این امر به شما امکان می دهد در مدت زمان بسیار کوتاهی از حملات به شبکه خود جلوگیری کنید و در نتیجه در زمان، کار و استرس در تعمیر خرابی ها و توقف های احتمالی خطوط صرفه جویی کنید

راه‌های ارتباطی نیک صنعت:

  • تماس با نیک صنعت: 021:87700210
  • واحد فروش نیک صنعت: 09197872783
  • واحد تعمیرات نیک صنعت: 09197872789
  • ایمیل نیک صنعت: info@nicsanat.com
  • آدرس شرکت: تهران، خیابان بهشتی، خیابان میرعماد، کوچه پیمانی(یازدهم)، پلاک 17