Koszyk: (pusty)
do kasy suma: 0,00 zł
Jesteś w:
  • » Strona główna
  • » Blog
  • » Bezpośredni zdalny dostęp do systemów automatyki zagrożeniem dla cyberbezpieczeństwa, rekomendacje Ministerstwa Cyfryzacji
Producenci
Bezpośredni zdalny dostęp do systemów automatyki zagrożeniem dla cyberbezpieczeństwa, rekomendacje Ministerstwa Cyfryzacji 0
Dodano: 02-04-2025 w kategorii: PACE POLAND BLOG, Tosibox
Bezpośredni zdalny dostęp do systemów automatyki zagrożeniem dla cyberbezpieczeństwa, rekomendacje Ministerstwa Cyfryzacji

Ministerstwo Cyfryzacji wydało komunikat dotyczący gwałtownego wzrostu liczby ataków na przemysłowe systemy sterowania (ICS/OT), które są bezpośrednio dostępne z Internetu. Ataki te coraz częściej mają charakter polityczny lub aktywistyczny, a ich skutki są realnie odczuwalne przez użytkowników końcowych. W Pace Poland od lat edukujemy rynek w zakresie bezpiecznego zdalnego dostępu do automatyki przemysłowej, dlatego apelujemy do Jednostek Samorządu Terytorialnego, podmiotów publicznych i prywatnych posiadających środowiska automatyki przemyslowej i sieci OT – nie ignorujcie ryzyka! Niewłaściwa konfiguracja zdalnego dostępu może prowadzić do poważnych konsekwencji dla infrastruktury krytycznej, produkcji i usług publicznych.

W dalszej części artykułu przedstawiamy pełną treść komunikatu Ministerstwa Cyfryzacji oraz rekomendacje, które każdy operator infrastruktury przemysłowej powinien wdrożyć. Dowiesz się, dlaczego bezpośredni dostęp przez protokoły RDP, VNC czy panele WWW to ogromne zagrożenie, oraz jak skutecznie zabezpieczyć zdalny dostęp do systemów ICS/OT z wykorzystaniem rozwiązań takich jak Tosibox – sprawdzonych i zgodnych z zaleceniami krajowych i europejskich standardów cyberbezpieczeństwa.

Zalecenia dla Jednostek Samorządu Terytorialnego oraz innych podmiotów publicznym w zakresie wdrażania instalacji przemysłowych:

  • Nie należy umożliwiać bezpośredniego zdalnego połączenia do instalacji przemysłowych systemów sterowania z wykorzystaniem protokołów, takich jak VNC czy RDP oraz oprogramowania zdalnego wsparcia technicznego.
  • Nie należy umożliwiać bezpośredniego zdalnego dostępu do panelu WWW systemów sterowania i wizualizacji, nawet jeśli stosowane jest silne hasło.
  • Nie należy udostępniać z otwartej sieci Internet portów komunikacyjnych, na których działają protokoły przemysłowe – w szczególności umożliwiające konfigurację urządzenia.
  • Jeśli do odczytu lub sterowania procesem wymagany jest zdalny dostęp, należy skorzystać z VPN z wieloskładnikowym uwierzytelnianiem, co może się wiązać z dodatkową rozbudową konkretnej infrastruktury o niezbędne do tego celu urządzenia.
  • W przypadku odnotowania incydentu cyberbezpieczeństwa związanego z instalacją przemysłową, należy bezzwłocznie dokonać zgłoszenia do właściwego CSIRT-u poziomu krajowego.

Dodatkowe środki bezpieczeństwa:

  • Zmniejszenie do minimum ekspozycji sieci przemysłowej, zarówno sieci lokalnej, jak i punktów styku, poprzez identyfikację i ograniczenie do koniecznych połączeń „z" i „ do" tej sieci.
  • W przypadku, gdy zdalny dostęp jest potrzebny, powinien być zawsze realizowany za pomocą VPN z wieloskładnikowym uwierzytelnianiem.
  • Przeprowadzenie przeglądu zdalnego dostępu i ograniczenie go do niezbędnego minimum, w szczególności należy zwrócić uwagę na modemy komórkowe i metody zdalnego dostępu podwykonawców.
  • Tam, gdzie to możliwe, ograniczenie dostępu do VPN dla określonych adresów IP lub ich zakresów. Przykładowo: gdy podmiot nie ma współpracowników ani podwykonawców zagranicznych, rekomenduje się ograniczenie możliwości nawiązania sesji VPN tylko dla polskich adresów IP.
  • Stosowanie segmentacji sieci – wymaganie minimalne to separacja fizyczna lub logiczna sieci przemysłowej od innych sieci, a wymaganie preferowane, zależnie od rozmiaru i złożoności sieci, również wewnątrz sieci przemysłowej.
  • W przypadku, gdy niezbędne jest przesyłanie danych telemetrycznych do zewnętrznych systemów za pomocą sieci komórkowej, rekomenduje się wykorzystanie prywatnych sieci APN zakontraktowanych u operatora sieci komórkowej.
  • Tam, gdzie to możliwe, zdalny dostęp powinien być realizowany na żądanie, co oznacza włączanie dostępu zdalnego na czas prac serwisowych. Każde prowadzenie zdalnych czynności w systemie powinno zostać odnotowane w sposób pozwalający jednoznacznie zidentyfikować czas, cel i źródło prowadzonych prac.
  • Zmianę domyślnych danych uwierzytelniających z zastosowaniem dobrych praktyk związanych z silnymi hasłami (o ile urządzenie takie hasła wspiera) na wszystkich urządzeniach, w szczególności tych posiadających interfejs webowy (www), oraz wyłączenie niewykorzystywanych kont.
  • W miarę możliwości, gdy nie ma przeciwwskazań, aktualizowanie wykorzystywanych systemów, w szczególności podczas planowanego wyłączenia instalacji.
  • Przeprowadzenie analizy widoczności urządzeń poprzez zewnętrzne skanowanie zakresu adresacji należącej do obiektu czy wykorzystanie narzędzi typu wyszukiwarka urządzeń sieciowych, czy wyszukiwarka podatności.
  • Wykrywanie anomalii w ruchu sieciowym, czyli ruchu sieciowego odbiegającego od połączeń realizowanych podczas normalnego trybu pracy instalacji.
  • Wzmacnianie konfiguracji wykorzystywanych urządzeń i oprogramowania przez wyłączenie niewykorzystywanych funkcji i konfigurację wbudowanych dodatkowych mechanizmów bezpieczeństwa. W domyślnie uruchamianych konfiguracjach często nie są one aktywne.
  • Zgłoszenie osoby kontaktowej do właściwego CSIRT-u poziomu krajowego i systematyczna aktualizacja kontaktu w przypadku jego zmian. Celem tego jest usprawnienie ścieżki reakcji w przypadku wykrycia incydentu.

👉 Potrzebujesz wsparcia we wdrożeniu bezpiecznego zdalnego dostępu do systemów ICS/OT?
Skontaktuj się z nami: biuro@pacepoland.pl lub zadzwoń: +48 513 188 627
Sprawdź, jak możemy pomóc: www.pacepoland.pl

Oryginalny tekst komunikatu: Pobierz tutaj.

Link do bazy wiedzy Ministerstwa Cyfryzacji dotyczącej cyberbezpieczeństwa: Kliknij Tutaj

 

Komentarze do wpisu (0)

Newsletter
Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.
Twoje dane będą przetwarzane zgodnie z naszą polityką prywatności
do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoplo.pl, powered by Shoper.