Brannmurer er sentrale for å holde ubudne gjester og programmer på avstand.
Brannmurer er sentrale for å holde ubudne gjester og programmer på avstand.

Slik kan datasikkerheten økes

Tyske Innominate Security Technologies mener de har oppskriften.

Solid sikkerhet

  • Del nettverkene i soner med trafikkfiltrering (med brannmurer).
  • Begrens nettverkskommunikasjon til et absolutt minimum (tillat det nødvendige).
  • Avgrens trafikken for Scada- og kontrollsystemene.
  • Sett klare grenser for tredjepartsbrukere, og loggfør all oppkopling.
  • Filtrerer all inn- og utgående trafikk når det kommer til nettverket.

Selskapet leverer løsninger for it-sikkerhet, og presenterte produkter og god praksis for sikker datadrift under en konferanse i regi av Phoenix Contact (som eier Innominate).

Les: Datasikkerhet var toppsak på Honeywells brukerkonferanse

Del nettverket i soner

Teknisk sjef Christopher Meller hos Innonimate gir oss et fugleperspektiv på hvordan vi kan unngå at styringssystemer blir infisert av ondartede programmer eller utsatt for misbruk. Det handlet om mer enn generell bruk av antivirus-programmer og brannmurer.

Første bud er soneinndeling. Meller sier at kontornettverket i det minste må skilles fra det industrielle nettet. For større styringsnettverk bør ytterligere oppdeling gjøres. Vanntette skott må på plass mellom sonene.

- Det er viktig å installere brannmurer mellom hvert område, forteller han.

For å stramme grepet ytterligere foreslår Meller at trafikken mellom sonene skal begrenses til et absolutt minimum. Han mener at man kun skal tillate det som strengt tatt er nødvendig.

Les:  Switcher fra Siemens har demilitarisert sone mellom kontor- og industrinettverket

Toveisfiltrering av trafikken

 

Tyskeren mener at også trafikken mellom Scada- og kontrollsystemene på anlegget skal strupes maksimalt. Hensikten er at risikoen for spredning av helseskadelig kode eller besøk fra ubudne gjester skal være minimal.

Og skal det først være gjester, for eksempel servicepersonell, som trenger å kople seg til systemet, skal det kun være et lite kikkhull som åpnes. Meller forklarer at oppkoplingen bør kontrolleres og logges. For fjernoppkopling gjelder den samme leksa, og både innkommende og utgående trafikk skal filtreres i brannmuren.

- Toveisfiltrering reduserer risikoen for både ondartet kode og misbruk fra fjernoppkobling.

Les: Phoenix Contacts switcher er sertifisert for ABB Industrial IT

Setter opp brannmurene

Meller viser oss et topologiskjema for et integrert kontor- og kontrollsystem. Det er pepret med brannmurer, blant annet mellom det administrative- og tekniske nettverket. Det finnes en mur for hver eneste industrinode. Han fletter inn typisk basisfunksjonalitet i de elektroniske portvaktene.

- De skal først og fremst beskytte mot uautorisert tilgang, sier tyskeren.

Meller forklarer at datapakkene blir filtrert etter kriterier som IP-adresse, protokoller og porter som informasjonen er adressert til. Brannmurene kan også konfigureres til å beskytte mot ulike typer angrep.

- Eksempler er programmer som skanner porter (for sikkerhetshull, journ. anm.) og spredning av ondartet kode, sier Meller, og legger til at brannmurer kan være en effektiv stopper for såkalt denial of service, altså store mengder datamaskiner som vil ha kontakt med en maskin samtidig, og dermed blokkerer annen trafikk.

Han slår et slag for svartelisting av alt som ikke har noe i noden å gjøre.

- Alt som ikke er eksplisitt tillatt blir stoppet, sier han.

Les: Red Lion lanserer sikker ruter for fjernoppkobling

Nyhet! 50% mer innhold i TU Ekstra til lavere pris!

Få 700,- i rabatt

Bestill innen 1. september