aricoma logo avatar

#1 v podnikovom IT

Bezpečnosť a optimalizácia výrobnej siete v spoločnosti Dormer Pramet Šumperk

Pre spol. Dormer Pramet sme vytvorili bezpečnú výrobnú sieť s využitím integrovaných technológií Cisco. Vďaka mikrosegmentácii a prísnej kontrole prístupu sme zvýšili úroveň zabezpečenia a zabránili sme budúcemu šíreniu hrozieb.

Realizácia 2024

aricoma avatar
youtube video thumbnail

Profil zákazníka

Spoločnosť Dormer Pramet s.r.o. sa zaoberá vývojom, výrobou a predajom rezných nástrojov. Ponúka kombinovaný sortiment rezných doštičiek a monolitných nástrojov pre všetky operácie vo všeobecnom strojárstve a obrábaní kovov - od sústruženia, frézovania, vŕtania/vyvrtávania, závitovania až po upínanie nástrojov. Výrobnú linku v Šumperku tvorí približne 250 samostatne pracujúcich strojov, pričom v budúcnosti sa plánuje rozšírenie na 1 000 kusov. Firma nepôsobí len v Českej republike, ale má ďalšie tri výrobné závody po celom svete - v Brazílii a Indii. Prevádzkuje celkovo 20 obchodných pobočiek a distribučnú sieť pokrývajúcu viac ako 100 krajín. Našou ambíciou je rozšíriť riešenie aj do týchto krajín.

Vďaka inovatívnym riešeniam a profesionálnemu prístupu našich partnerov sme presvedčení, že naše výrobné siete sú maximálne bezpečné a pripravené na ďalšie rozširovanie. Zabezpečenie nepretržitej a bezpečnej prevádzky je pre nás kľúčové.

Vratislav Pavel Skořepa

Cyber Security Manager

Východisková situácia, ciele projektu

Pôvodná výrobná sieť, podobne ako mnohé iné v tom čase, bola navrhnutá na podporu výroby - prepojenie výrobnej technológie s riadiacimi prvkami. Jediným parametrom bolo, aby výrobná technológia mala potrebnú konektivitu bez akýchkoľvek obmedzení. Požiadavkou bola funkčnosť, nie bezpečnosť. Dnes sa však na výrobné siete pozeráme v úplne inom svetle, pretože neobmedzený prístup otvára široké pole rizík. Spoločnosť Dormer Pramet videla najväčšie riziko kybernetickej bezpečnosti pre svoj výrobný proces v pripojení cudzích zariadení. Konkrétne išlo o servisné zariadenia kontraktorov, ktorí používali svoje notebooky na pripojenie k jednotlivým výrobným strojom, a často nielen notebooky, ale aj rôzne zariadenia so vzdialeným prístupom, čím sa potenciálne otvárala cesta pre zavedenie a šírenie malwaru. Otvorený prístup k výrobnej sieti a jej zdrojom spolu s nedostatočným prehľadom o prevádzke potenciálne umožňoval nezistiteľné kybernetické útoky na celú výrobnú infraštruktúru. Kontraktor, dokonca aj ten, ktorý prišiel v dobrej viere servisovať konkrétny výrobný stroj, mal prostredníctvom tohto stroja principiálny prístup ku všetkým ostatným strojom. Výroba, a teda aj sieť, sú chrbticou podniku, ktorý sa dlhodobo spoliehal na kvalitné sieťové riešenia spoločnosti spol. Cisco Systems. Cisco ponúka ucelenú škálu riešení zabezpečenia priemyselných sietí, ktoré sa opierajú o identitu každého prostriedku pripojeného k výrobnej sieti, mapovanie a trendovú komunikáciu. Zároveň sa nezabúda na pôvodnú požiadavku robustnosti a odolnosti dodávok dát.

Kľúčovým cieľom projektu bolo kontrolovať prístup jednotlivých prostriedkov do výrobnej siete vrátane jednotlivých strojov a zároveň zabezpečiť robustnosť a bezpečnosť priemyselnej siete ako celku. Prvým krokom bolo zavedenie mikrosegmentácie na základe identity každého prostriedku (jedno zariadenie na segment). Druhým krokom bolo zmapovanie uskutočňovanej komunikácie s cieľom vytvoriť pravidlá komunikácie. Tým sa zároveň vytvoril základ pre následnú automatickú detekciu a elimináciu potenciálnych kybernetických hrozieb. Zákazník získal jednotné a integrované riešenie založené na jasne definovaných pravidlách pre prístup aj komunikáciu. Okrem toho sa výrobná sieť ako celok oddelila od IT/administratívnej siete nasadením firewallu s priemyselnou sadou detekčných signatúr IDS/IPS, ktoré sú priamo určené na ochranu priemyselných protokolov špecifických pre výrobu.

Dodané riešenie Cisco je plne automatizované pri reakcii na bezpečnostné incidenty. To však nie je jediný dôvod, prečo zostáva ľahko spravovateľné a uchopiteľné. Vďaka svojej integrácii je tiež ľahko prenositeľné a univerzálne použiteľné, a to nielen v ďalších závodoch spoločnosti Dormer Pramet.

Benefity

  • Zvýšená bezpečnosť a ochrana výrobných strojov pred kybernetickými hrozbami
  • Lepšia kontrola a riadenie prístupu k výrobným zariadeniam
  • Jednoduchá správa siete prostredníctvom automatizovaných reakcií na bezpečnostné incidenty
  • Možnosť škálovania a rozšírenia riešenia na ďalšie lokality

Popis riešenia

V rámci projektu bolo pre zákazníka vytvorené bezpečné a segmentované produkčné prostredie s využitím najmodernejších technológií spoločnosti Cisco. Priemyselné siete potrebujú nielen robustnosť, ale aj bezpečnosť. V tomto prípade zabezpečenie výroby znamená, že k stroju, ktorý obrába, práškuje alebo lisuje diely vo výrobe, sa nemôže prihlásiť nikto, kto na to nemá oprávnenie alebo kto tam nemá čo robiť, napríklad servisní kontraktori, iní externí pracovníci a ich prinesené zariadenia. Sieť bola segmentovaná na najmenšie možné jednotky, mikrosegmenty. To umožnilo lepšiu kontrolu prístupu a izoláciu jednotlivých častí výroby. Každé výrobné zariadenie je segmentované podľa svojej identity, ktorá vychádza z jeho úlohy a spôsobu komunikácie, a preto je úplne individuálna a nespochybniteľná. Segmentácia zabránila šíreniu potenciálnych hrozieb medzi zariadeniami vo výrobnej sieti.

Na sieťovom rozhraní bol nasadený firewall s funkciami detekcie aj prevencie (IDS/IPS). Hrozby vstupujúce do produkčnej siete budú automaticky eliminované a v určených prípadoch môžu viesť k preventívnemu odpojeniu koncových zariadení od produkčnej siete. Na odhaľovanie incidentov vo výrobnej sieti boli nainštalované senzory CyberVision, ktoré podrobne monitorujú a analyzujú komunikáciu medzi výrobnými strojmi a ich riadiacimi prvkami. Hovorí sa, že diabol sa skrýva v detailoch, a v prípade riadenia výroby to platí dvojnásobne. Tu záleží na každom pokyne, či sa neodchyľuje od očakávaného intervalu, či pochádza z očakávaného zdroja a či príde v stanovenom čase. Všetko, čo sa výrazne líši od očakávanej postupnosti a obsahu, možno považovať za potenciálne narušenie plynulosti výroby. Samozrejme, tieto hodnoty je potrebné sledovať dlhodobo a až spätne určiť východzie hranice.

Systém bol navrhnutý tak, aby poskytoval automatizované reakcie na bezpečnostné incidenty a zjednodušenú správu prístupu. Boli implementované prísne kontroly prístupu s cieľom obmedziť prístup len na oprávnených používateľov alebo zariadenia, pričom oboje je možné. Vďaka mikrosegmentácii sa dosiahla vysoká úroveň izolácie - hrozby sa nemôžu ľahko šíriť nielen medzi výrobnými zariadeniami, ale rovnako aj medzi rôznymi časťami podnikovej siete. Ak sa objaví hrozba napríklad v podobe infikovaného notebooku zmluvnej firmy, nedostane sa mimo svojho uzavretého segmentu, a tak už nepredstavuje riziko pre ostatné výrobné stroje alebo dokonca pre administratívnu časť siete.

Kľúčové body zabezpečenia zahŕňajú:
  • Identifikácia všetkých priemyselných zariadení s cieľom nastaviť zodpovedajúcu bezpečnosť
  • Izolácia medzisieťových zón vedúca k ochrane pred šírením hrozieb alebo pohybom útočníkov
  • Detekcia abnormálnych IT/OT pokynov a správania na ochranu výrobných procesov
  • Získanie lepšieho pohľadu do komunikácie o udalostiach na účely ďalšieho vyšetrovania

Na zabezpečenie úplnej transparentnosti a kontroly nad celou výrobnou sieťou bol nasadený komplexný balík softwarových nástrojov Cisco pre priemyselné siete vrátane správcu firewallov Firepower Management Center (FMC) a riešenia Identity and Access Management Solution (ISE). Senzory CyberVision spolupracujú na monitorovaní a zdieľaní informácií v rámci sieťovej prevádzky a potenciálnych hrozieb v nej ukrytých. Implementáciu zavŕšilo nasadenie Cisco Catalyst Center, ktoré slúži na orchestráciu konfigurácie a monitorovanie životného cyklu nielen priemyselných prepínačov.

Sieť bola navrhnutá tak, aby ju bolo možné ľahko rozšíriť na ďalšie pracoviská, čím sa v budúcnosti zabezpečí bezpečnosť a efektívnosť procesov vo všetkých výrobných linkách a súvisiacich prevádzkach spoločnosti Dormer Pramet. Tento univerzálny návrh zabezpečuje zachovanie bezpečnostných štandardov bez ohľadu na geografickú polohu alebo špecifické požiadavky jednotlivých výrobných závodov.

Použité technológie

  • Cisco firewally s priemyselnými funkciami
  • CyberVision senzory pre real-time monitorovanie IT/OT komunikácie
  • CyberVision centrum na vizualizáciu komunikačných tokov a bezpečnostných udalostí IT/OT komunikácie
  • Segmentačné a mikrosegmentačné nástroje Cisco
  • Firewall Management Center (FMC) na správu bezpečnostných politík
  • Policy server na správu identít a zabezpečenia (ISE)
  • Cisco Catalyst switche na agregáciu a správu sieťovej prevádzky
  • Cisco Catalyst Center, na orchestráciu konfigurácie a monitorovanie životného cyklu nielen priemyselných prepínačov.

Zdieľať

NEVÁHAJTE NÁS
KONTAKTOVAŤ

Máte záujem o ďalšie informácie alebo ponuku pre vašu konkrétnu situáciu?

Odoslaním formulára vyhlasujem, že som sa oboznámil s informáciami o spracovaní osobných údajov v spoločnosti ARICOMA.