Stormshield: wodociągowe studium przypadku
Inżynierowie Stormshielda zadbali, aby zgodność z nowymi unijnymi regulacjami, w kontekście separacji i monitorowania sieci OT, nie przysporzyła integratorom większego kłopotu.
Zbliżająca się implementacja dyrektywy NIS2 nałoży nowe obowiązki nie tylko na duże, ale również na mniejsze podmioty. Aby to lepiej zobrazować, posłużymy się przykładem jednego z wdrożeń, jakie miały miejsce w firmie wodno-kanalizacyjnej z północnej części Polski. Przy czym od razu trzeba podkreślić, że specyfiką działalności podmiotów z tego sektora jest odseparowanie poszczególnych części systemu – punktów ujęcia wody, jej uzdatniania czy przepompowni ścieków – co zwiększa ryzyko ataku. Jednocześnie efektywne zarządzanie nimi odbywa się w coraz większym stopniu w oparciu o dostęp online.
Celem omawianego projektu było wdrożenie solidnego rozwiązania w zakresie bezpieczeństwa sieci, które skutecznie oddziela i zabezpiecza sieci operacyjne (OT) od sieci informatycznych (IT) w wielu lokalizacjach – przepompowniach i ujęciach wody. Strategia trwającego około miesiąca projektu obejmowała separację sieci w oparciu o firewalle Stormshield SNi20 na obrzeżach każdej z sieci OT.
Wybór lokalizacji zapór został oparty na rygorystycznej ocenie ryzyka i działających już połączeniach sieciowych. Urządzenia zostały umieszczone jak najbliżej urządzeń automatyki przemysłowej, często na tej samej szynie DIN, co sterowniki PLC. Ułatwia to szybkie wykrywanie zagrożeń i reagowanie na nie. Minimalizuje przy tym powierzchnię ataku i maksymalizuje ochronę infrastruktury przemysłowej.
Zamiast wprowadzać znaczące zmiany w topologii sieci, rozwiązanie Stormshield wykorzystuje interfejsy w konfiguracji bridge do segmentacji. Technika ta pozwala na izolację różnych segmentów przy zachowaniu ogólnej struktury sieci. Ogranicza to zakres wymaganych modyfikacji, zmniejszając ryzyko zakłóceń operacyjnych.
Znaczenie miała również centralizacja zapewniająca, że tylko autoryzowane urządzenia i podmioty mogą wchodzić w interakcje z krytycznymi zasobami, minimalizując potencjalną powierzchnię ataku. Dzięki wykorzystaniu SMC, zmiennych i możliwości oskryptowania łatwo zarządzać, zmieniać politykę i aktualizować centralnie wszystkie podłączone firewalle SNi20 i EVA, mimo że cechuje je indywidualna polityka w każdej lokalizacji.
Kontrola odbywa się w ramach standardowych prac konserwatorskich i nastawczych. Pierwszorzędne znaczenie ma autoryzacja pracowników z użyciem istniejących Active Directory i integracji poprzez mechanizm SSO. Następnie monitorowane i zapisywane są wszystkie działania w ramach protokołów przemysłowych, przepuszczanych na urządzeniach. Zdarzenia są rejestrowane w centralnym systemie SIEM, a całość zarządzana z centralnego systemu Stormshield Management Center.
Wymogi NIS2 pod kontrolą
Dyrektywa NIS2 wprowadza obowiązki stosowania określonych środków ochrony oraz szereg wymogów, np. raportowanie incydentów naruszenia bezpieczeństwa, zapewnienie odpowiedniego poziomu bezpieczeństwa produktów i przekazywania informacji o zagrożeniach i wadach. Dyrektywa wprowadza przy tym dwie kategorie podmiotów – kluczowych i istotnych – wobec których obowiązki są zróżnicowane. Obejmują zgłaszanie incydentów i zagrożeń, zarządzanie kryzysowe, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także stosowanie rozwiązań technologicznych adekwatnych do ryzyka.
Powyższe oznacza, że wdrożenie rekomendowanych rozwiązań będzie czasochłonne, a wobec skali wyzwania nawet uwzględnienie czasu przewidzianego w vacatio legis może okazać się niewystarczające. Tym bardziej stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Zwłaszcza, że podmioty, które nie będą przestrzegać dyrektywy, mogą być ukarane między innymi grzywnami.
Osiągnięte główne cele projektu to…
- Separacja – skutecznie oddzielono sieci OT od sieci IT przy pomocy firewalli SNi20, minimalizując ryzyko zagrożeń z wewnętrznej sieci IT.
- Centralizacja – każdy firewall SNi20 w konfiguracji bridge, pomimo wspólnych cech ma niestandardową politykę bezpieczeństwa, która kontroluje dostępy do wyznaczonych zasobów w segmencie.
- Bezpieczeństwo – monitorowanie w czasie rzeczywistym przy pomocy systemu SIEM i scentralizowane zarządzanie firewallami brzegowymi z pomocą SMC przyspiesza reakcję i rekonfigurację.
- Zgodność z przepisami – anonimizacja danych osobowych zgodnie z wytycznymi RODO.
- Ulepszona ochrona SCADA – wirtualny firewall EVA zapewnia dodatkową warstwę zabezpieczeń do systemów SCADA.
- Niezawodność – firewalle SNi20 mają możliwość funkcji bypass, co oznacza ciągłość transmisji.
Kontakt dla partnerów: Piotr Zielaskiewicz, Senior Product Manager w DAGMA Bezpieczeństwo IT, zielaskiewicz.p@dagma.pl
Podobne artykuły
Ochrona na szóstkę z ESET PROTECT Elite
Dla dużej firmy dysponującej ogromną ilością wrażliwych danych, zmiana systemu chroniącego przed cyberzagrożeniami to poważne wyzwanie.
NIS2 jako szansa na biznes
W październiku tego roku upływa termin przyjęcia przez wszystkie państwa członkowskie Unii Europejskiej dyrektywy NIS2. Czy dostawcy mogą liczyć na wzrost sprzedaży usług i rozwiązań cybersecurity?
Channel Manager staje się zaufanym doradcą partnera
Obecnie rolą Channel Managera jest zapewnienie partnerom kompleksowego wsparcia nie tylko w zakresie portfolio produktowego, ale też w prowadzeniu działalności biznesowej. Przy czym kluczowym elementem zarządzania kanałem sprzedaży jest efektywna komunikacja z uczestnikami rynku.