Zabezpečení a optimalizace provozu výrobní sítě v Dormer Pramet Šumperk
Pro společnost Dormer Pramet jsme vytvořili bezpečnou výrobní síť s pomocí integrovaných technologií Cisco. Díky mikrosegmentaci a přísnému řízení přístupů jsme zvýšili úroveň bezpečnosti a zabránili budoucímu šíření hrozeb.
Realizace 2024
Profil zákazníka
Společnost Dormer Pramet s.r.o. se zabývá vývojem, výrobou a prodejem řezných nástrojů. Nabízí kombinovaný sortiment destičkových a monolitních nástrojů pro jakoukoliv operaci v oblasti všeobecného strojírenství a kovoobrábění - od soustružení, frézování, vrtání/vyvrtávání, závitování až po upínání nástrojů. Výrobní linku v Šumperku tvoří přibližně 250 samostatně pracujících strojů, přičemž do budoucna se plánuje jejich rozšíření až na 1000 kusů. Firma nepůsobí pouze v České republice, ale má po světě další tři výrobní závody – v Brazílii a Indii. Obsluhuje celkem 20 obchodních poboček a distributorskou síť, která pokrývá více než 100 zemí. Naší ambicí je rozšířit toto řešení i do těchto zemí.
Díky inovativním řešením a profesionálnímu přístupu našich partnerů máme jistotu, že naše výrobní sítě jsou maximálně zabezpečené a připravené na další expanzi. Zajištění nepřetržitého a bezpečného provozu je pro nás klíčové.
Výchozí situace, cíle projektu
Původní výrobní síť, podobně jako mnohé jiné v té době, byla navržena pro podporu výroby - napojení výrobní technologie na řídící elementy. Jediným parametrem bylo, aby výrobní těchnologie měla potřebnou konektivitu a to bez jakýchkoli omezení. Požadavkem byla funkce, nikoliv bezpečnost. Dnes se ale na výrobní sítě díváme zcela v jiném světle, neboť neboť neomezený přístup otevírá rozsáhlé pole rizik. Největší kyberbezpečnsotí riziko pro svůj výrobní proces společnost Dormer Pramet spatřovala v připojení cizích zařízení. Zejména servisní zařízení kontraktorů, kteří využívali své notebooky pro připojení k jednotlivým výrobním strojům a mnohdy nejen notebooky, ale i rozličná zařízení pro vzdálený přístup, čímž potenciálně otevírali cestu k zavlečení a šíření malwaru. Otevřený přístup k výrobní síti a jejím zdrojům spolu s chybějící viditelností do provozu potenciálně umožňoval nezpozorovatelné vedení kybernetických útoků na celou výrobní infrastrukturu. Kontraktor, který byť v dobré víře přišel servisovat konkrétní výrobní stroj, měl jeho prostřednictvím principiální přístup ke všem dalším strojům. Výroba a tedy i síť jsou přitom páteří podniku, který dlouhodobě spoléhá na kvalitní síťová řešení spol. Cisco Systems. Cisco nabízí ucelenou paletu industriálního řešení síťové bezpečnosti, která se opírá o identitu každého prostředku zapojeného do výrobní sítě, mapuje a trenduje komunikaci. Zároveň není zapomínáno ani na původní požadavek v podobě robustnosti a odolnosti doručování dat.
Klíčovými cíli projektu bylo řídit přístup každého jednoho prostředku k výrobní síti vč. jednotlivých strojů, zajistit přitom robustnost a bezpečnost industriální sítě jako takové. Prvním krokem bylo implementovat mikrosegmentaci na bázi identity každého prostředku (co zařízení to segment). Druhým krokem bylo mapování vedené komunikace pro vytvoření komunikačních pravidel. Zároveň tím byl stanoven základ pro následnou automatickou detekci a eliminaci případných kybernetických hrozeb. Zákazník dostal jednotné a integrované řešení s postavené na jasně daných pravidlech, jak přístupových tak i komunikačních. Výrobní síť jako celek byla navíc separována od IT/administrativní sítě nasazením firewallu s industriálními sadou detekčních signatur IDS/IPS přímo určených pro ochranu průmyslových protokolů specifických pro výrobu.
Dodané řešení Cisco je plně automatizované v reakcích na bezpečnostní incidenty. Nejen díky tomu zůstává snadno spravovatelné a uchopitelné. Díky své integraci je také snadné přenositelně a univerzálně aplikovatelné nejen v dalších závodech společnosti Dormer Pramet.
Klíčovými cíli projektu bylo řídit přístup každého jednoho prostředku k výrobní síti vč. jednotlivých strojů, zajistit přitom robustnost a bezpečnost industriální sítě jako takové. Prvním krokem bylo implementovat mikrosegmentaci na bázi identity každého prostředku (co zařízení to segment). Druhým krokem bylo mapování vedené komunikace pro vytvoření komunikačních pravidel. Zároveň tím byl stanoven základ pro následnou automatickou detekci a eliminaci případných kybernetických hrozeb. Zákazník dostal jednotné a integrované řešení s postavené na jasně daných pravidlech, jak přístupových tak i komunikačních. Výrobní síť jako celek byla navíc separována od IT/administrativní sítě nasazením firewallu s industriálními sadou detekčních signatur IDS/IPS přímo určených pro ochranu průmyslových protokolů specifických pro výrobu.
Dodané řešení Cisco je plně automatizované v reakcích na bezpečnostní incidenty. Nejen díky tomu zůstává snadno spravovatelné a uchopitelné. Díky své integraci je také snadné přenositelně a univerzálně aplikovatelné nejen v dalších závodech společnosti Dormer Pramet.
Přínosy
- Zvýšená bezpečnost a ochrana výrobních strojů před kybernetickými hrozbami
- Lepší kontrola a řízení přístupů k výrobním zařízením
- Snadná správa sítě díky automatizovaným reakcím na bezpečnostní incidenty
- Možnost škálování a rozšíření řešení do dalších lokalit
Popis řešení
V rámci projektu bylo pro zákazníka vytvořeno bezpečné a segmentované výrobní prostředí s využitím nejmodernějších technologií společnosti Cisco. Industriální sítě potřebují nejen robustnost, ale také bezpečnost. Zabezpečení výroby v tomto případě znamená, že se ke stroji, který obrábí, práškuje či lisuje součástky ve výrobě, nemůže přihlašovat nikdo, kdo k tomu nemá patřičné oprávnění nebo kdo tam nemá co dělat, například kontraktoři servisních služeb, jiní externisté a jejich donesená zařízení. Síť byla segmentována do nejmenších možných celků, mikro-segmentů. To umožnilo lepší řízení přístupu a izolaci jednotlivých částí výroby. Každé výrobní zařízení je segmentováno podle své identity, které vychází z role a způsobu komunikace a je proto zcela individuální a nezpochybnitelná. Segmentací se zabránilo šíření potenciálních hrozeb mezi zařízeními výrobní sítě.
Na rozhraní sítí byl nasazen firewall s detekčními i prevenčními schopnostmi (IDS/IPS). Projev hrozby vstupující do výrobní sítě bude automaticky eliminován a v určených případech může znamenat preventivní odpojení koncového zařízení od výrobní sítě. Pro detekci incidentu uvnitř výrobní sítě byly nainstalovány senzory CyberVision k detailními sledování a analýze komunikace mezi výrobními stroji i jejich řídícími prvky. Říká se, že ďábel je schován v detailu a pro řízení výroby to platí dvojnásob. Zde záleží na každé instrukci, zda nevybočuje z předpokládáného intervalu, zda pochází z očekávaného zdroje a přichází ve stanovený čas. Cokoli výrazně jiné od očekávaného sledu a obsahu se může považovat za potenciální narušení kontinuity výroby. Samozřejmě je třeba tyto hodnoty sledovat dlouhodobě a teprve zpětně určit výchozí hranice.
Systém byl navržen tak, aby poskytoval automatizované reakce na bezpečnostní incidenty a zjednodušenou správu přístupů. Přísná řízení přístupu byla implementována, aby omezila přístup pouze na autorizované uživatele nebo zařízení, obojí je možné. Díky mikrosegmentaci bylo dosaženo vysoké úrovně izolace - hrozby se nemohou snadno šířit nejen mezi zařízeními výroby, ale stejně tak ani mezi různými částmi podnikových sítí. Pokud se objeví hrozba v podobě např. zavirovaného notebooku kontraktora, nedostane se ze svého uzavřeného segmentu a tím už více nepředstavuje riziko pro zbytek výrobních strojů či až administrativní části sítě.
Klíčové body zabezpečení zahrnují:
Byla nasazena ucelená řada softwarových nástrojů Cisco pro průmyslové sítě, včetně správce firewallu Firepower Management Center (FMC) a řešení pro správu identity a řízení přístupu (ISE), které zajišťují úplnou transparentnost a kontrolu nad celou výrobní sítí. Senzory CyberVision spolupracují ve sledování a sdílení informací uvnitř síťového provozu a v něm ukrytých potenciálních hrozbách.Implementace byla završena nasazením Cisco Catalyst Center, pro orchestraci konfigurace a dohled životního cyklu nejen industriálních přepínačů.
Síť byla navržena tak, aby se dala snadno rozšířit do dalších míst, což v budoucnu zajistí bezpečnost a efektivitu procesů na všech výrobních linkách a souvisejících provozech společnosti Dormer Pramet. Tento univerzální návrh zaručuje, že bezpečnostní standardy jsou dodržovány bez ohledu na geografickou polohu nebo specifické požadavky jednotlivých výrobních závodů.
Na rozhraní sítí byl nasazen firewall s detekčními i prevenčními schopnostmi (IDS/IPS). Projev hrozby vstupující do výrobní sítě bude automaticky eliminován a v určených případech může znamenat preventivní odpojení koncového zařízení od výrobní sítě. Pro detekci incidentu uvnitř výrobní sítě byly nainstalovány senzory CyberVision k detailními sledování a analýze komunikace mezi výrobními stroji i jejich řídícími prvky. Říká se, že ďábel je schován v detailu a pro řízení výroby to platí dvojnásob. Zde záleží na každé instrukci, zda nevybočuje z předpokládáného intervalu, zda pochází z očekávaného zdroje a přichází ve stanovený čas. Cokoli výrazně jiné od očekávaného sledu a obsahu se může považovat za potenciální narušení kontinuity výroby. Samozřejmě je třeba tyto hodnoty sledovat dlouhodobě a teprve zpětně určit výchozí hranice.
Systém byl navržen tak, aby poskytoval automatizované reakce na bezpečnostní incidenty a zjednodušenou správu přístupů. Přísná řízení přístupu byla implementována, aby omezila přístup pouze na autorizované uživatele nebo zařízení, obojí je možné. Díky mikrosegmentaci bylo dosaženo vysoké úrovně izolace - hrozby se nemohou snadno šířit nejen mezi zařízeními výroby, ale stejně tak ani mezi různými částmi podnikových sítí. Pokud se objeví hrozba v podobě např. zavirovaného notebooku kontraktora, nedostane se ze svého uzavřeného segmentu a tím už více nepředstavuje riziko pro zbytek výrobních strojů či až administrativní části sítě.
Klíčové body zabezpečení zahrnují:
- Identifikace všech průmyslových zařízení pro nastavení odpovídající bezpečnosti
- Izolace mezi-síťových zón vedoucí k ochraně před šířením hrozby či pohybu útočníka
- Detekce abnormálních IT/OT instrukcí a chování k ochraně výrobních procesů
- Získání rozšířeného pohledu do komunikace na události za účelem dalšího zkoumání
Byla nasazena ucelená řada softwarových nástrojů Cisco pro průmyslové sítě, včetně správce firewallu Firepower Management Center (FMC) a řešení pro správu identity a řízení přístupu (ISE), které zajišťují úplnou transparentnost a kontrolu nad celou výrobní sítí. Senzory CyberVision spolupracují ve sledování a sdílení informací uvnitř síťového provozu a v něm ukrytých potenciálních hrozbách.Implementace byla završena nasazením Cisco Catalyst Center, pro orchestraci konfigurace a dohled životního cyklu nejen industriálních přepínačů.
Síť byla navržena tak, aby se dala snadno rozšířit do dalších míst, což v budoucnu zajistí bezpečnost a efektivitu procesů na všech výrobních linkách a souvisejících provozech společnosti Dormer Pramet. Tento univerzální návrh zaručuje, že bezpečnostní standardy jsou dodržovány bez ohledu na geografickou polohu nebo specifické požadavky jednotlivých výrobních závodů.
Použité technologie
- Cisco firewally s industriálními funkcemi
- CyberVision senzory pro real-time monitorování IT/OT komunikace
- CyberVision centrum pro vizualizaci komunikačních toků a bezpečnostních událostí IT/OT komunikace
- Segmentační a mikrosegmentační nástroje Cisco
- Firewall Management Center (FMC) pro řízení bezpečnostních politik
- Policy server pro identitu a bezpečnostní řízení (ISE)
- Cisco Catalyst switche pro agregaci a správu síťového provozu
- Cisco Catalyst Center, pro orchestraci konfigurace a dohled životního cyklu nejen industriálních přepínačů.
Tisk do PDF
-
Hvězda smrti
-
Rozpoznejte svá digitální rizika díky cloud službě FORTINET FortiRecon
-
Přehledně o Dell storage: Od základních úložišť po pokročilé deduplikační systémy
-
Spojení Dell Technologie a AMD dává dnes v podnikových datacentrech velký smysl
-
Křehkost IT systémů a nebezpečí jediné chyby
-
.png?width=408)
Jak budovat datacentrum se silnými bezpečnostními výhodami?
-
Modernizací IT infrastruktury jsme podpořili kontinuitu podnikání společnosti ZLKL
-
Vezměte si příklad z Pearl Harboru a neignorujte riziko kybernetického útoku
-
Kybernetické útoky v číslech. Statistiky varují, kdo by se měl bát.
-
Robustní víceúrovňová ochrana uživatelů a dat Vojenské nemocnice Olomouc
-
Nebezpečná rychlost
-
Vlna vishingu
-
Bezpečné nakládání s citlivými údaji Magistrátu města Ostrava
-
Navrhneme a nasadíme vám systém řízení bezpečnosti, který poroste s vámi
-
Data zákazníků i zaměstnanců CENTROPOL ENERGY jsou díky systému DLP v bezpečí
-
Pohádkové IBM systémy pro firemní data s vysokou dostupností i odolností
-
Surfování ve vlaku
-
IBM Security partner 2022
-
Rychlejší a bezpečnější přihlašování k počítačům a aplikacím v Nemocnici Jihlava
-
Jak nepřijít o to nejcennější? Mít co nejvíc záloh a tedy řešit deduplikaci jejich obsahu
-
Michelangelo
-
Programy jako zbraně
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?