Specialiseret eller bedre integreret? Sikkerhedsprodukter til industriel automation
Digitalisering tilbyder mange muligheder – men udgør også risici. For eksempel kan fabriksnetværket blive udsat for uønskede angreb som uautoriseret adgang, malware, forkert drift eller fejl. For at adressere disse risici omfatter cyber security tekniske tiltag, der er designet til at forebygge eller i det mindste begrænse skaden.
Det er metoder til at begrænse adgang og tiltag, der beskytter integriteten. Effekten af de enkelte tiltag supplerer hinanden.
Beskyttelse mod uautoriseret adgang
Adgangsbeskyttelse er sandsynligvis det vigtigste instrument inden for cyber security, uanset om du skal forebygge et angreb eller misbrug. Det starter med fysisk beskyttelse mod uautoriseret adgang og fortsætter på kommunikationsniveau. Hvis angriberen ikke får adgang til netværket, er den potentielle skade helt indlysende meget mindre.
Beskyttelse på netværksniveau
Firewalls står i forreste linje til at forebygge uautoriseret indtrængen via netværket. De filtrerer kommunikationen, så kun tilladt kommunikation kan etableres. Denne filtrering kan enten integreres i en komponent eller implementeres af en dedikeret firewallkomponent i netværket. En indbygget firewall er en omkostningsmæssig fordel, men den er mere sårbar overfor angreb, afhængigt af kvaliteten af det implementerede overordnede system. Hvis der skal anvendes mange forskellige komponenter med integreret firewall, skal alle varianter administreres og vedligeholdes. Hvis det overordnede system alligevel angribes, kan firewall’en også infiltreres. Derudover kræver et firewall set-up af høj kvalitet, at man har kendskab til det, hvilket ikke altid er tilfældet.
En dedikeret firewall som ekstern enhed kræver en målrettet investering, men den kan vælges uafhængigt af andre automationskomponenter. Derudover kan den administreres centralt. Den uafhængige firewall er robust overfor svage punkter i andre automationskomponenter. Den kan patches og opdateres uden at påvirke det overordnede systems funktionalitet. I tilfælde af en overbelastning i netværket yder firewall’en beskyttelse, fordi den selv kan tage belastningen og dermed skærme automationskomponenterne, der sidder bag den.
Beskyttelse af fjerne forbindelser
Fjerne opkoblinger via internettet skal altid være krypteret, f.eks. via VPN, Open VPN ect. De protokoller, der normalt benyttes til det formål, beskytter ikke kun mod aflytning af information – de indeholder også mekanismer til at beskytte mod manipulation. For implementeringen gælder det også her, at integration gennem software eller som allerede indbygget funktion åbner for omkostningsfordele, mens udførelse som en dedikeret komponent har en positiv effekt på kvaliteten af implementeringen og administrationen. Det er derfor, at funktionerne i en VPN gateway og en firewall i mange løsninger er kombineret.
Beskyttelse på brugerniveau
Hvis kommunikationen er blevet tilladt af en firewall eller er mulig via en lokal adgang, bør den være beskyttet af et brugerlogin. Brugermanagement kan ske lokalt, men så er det sværere at administrere. Centrale management- systemer er mere praktiske. Hvis automationssystemet ikke understøtter adgangskontrol, kan en dedikeret firewall hjælpe. Den firewall vil kun tillade godkendte tilslutninger, hvis brugeren allerede er logget på firewallen.
Konklusion
Sammenligning af integrerede sikkerhedsfunktioner med specialiserede sikkerhedsprodukter gør det tydeligt, at begge koncepter har både styrker og svagheder og skal komplementere hinanden. Indbyggede funktioner er især brugbare, hvis for eksempel hele applikationen betjenes af en enkelt kontrolenhed, som også bruges til at forbinde til internettet. Mere komplekse systemer, der består af flere enheder, er bedre forbundet af specielle firewalls og VPN-gateways. Samtidig anvendelse af sikkerhedsfunktionerne integreret i komponenterne kan øge sikkerhedsniveauet endnu mere.
