Gaukite nemokamą pasiūlymą

Mūsų atstovas susisieks su jumis netrukus.
El. paštas
Vardas
Įmonės pavadinimas
Žinutė
0/1000

Naujienos

Pradinis puslapis >  Naujienos

Architektūrinė atsparumas: saugaus ryšio principų taikymas veiklos technologijose (OT)

Jun 24, 2026

Tradicinis veiklos technologijų (OT) apsaugos požiūris – fizinis izoliavimas, vadinamasis „oro tarpas“, daugiau nebeveiksmingas. Priverstinus pramonės 4.0 pokyčius, informacinės technologijos (IT) ir veiklos technologijų (OT) sistemų sujungimas leidžia pasiekti didžiulę naudingumo padidėjimą, pvz., realaus laiko telemetrijos duomenų išgavimą ir numatytąją priežiūrą. Tačiau šis tarpusavio susiejimas žymiai išplėtė pramoninį atakų paviršių.

 

Šių sisteminės saugumo spragų mažinimui Jungtinės Karalystės Nacionalinis kibernetinio saugumo centras (NCSC), kartu su tarptautinėmis įstaigomis, tokios kaip JAV Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) ir Federalinis tyrimų biuras (FBI), paskelbė Saugių technologijų ryšio principus pramonės technologijoms (OT). Šių reikalavimų laikymasis daugiau nebe yra pasirinktinis prabangos dalykas; tai yra būtina prielaida, užtikrinanti infrastruktūros atsparumą, ekonominę stabilumą ir žmogaus gyvybę.

 

1. Strateginė svarba Saugiam pramonės technologijų (OT) ryšiui Karkasai

 

Kol IT saugumo pažeidimai daugiausia pavojingi duomenų privatumui, pramonės technologijų (OT) aplinkos pažeidimai gali padaryti žalą fizinėms sistemoms. Sėkmingas pramonės valdymo sistemos (ICS) įsilaužimas gali sukelti nedelsiant fizinę žalą – sugadinti įrangą, padėti pavojų darbuotojų saugumui, sukelti nuodingų medžiagų nutekėjimą į aplinką arba išjungti kritinę nacionalinę infrastruktūrą (CNI), pvz., elektros tinklus.

 

Naujausi empiriniai duomenys pabrėžia šį augantį pavojų. Pasaulinės kibernetinės žvalgybos ataskaitos rodo, kad išnaudojant pramonės organizacijas nukreiptų išpirkos programinės įrangos atakų skaičius per metus padidėjo daugiau kaip 50 %. Žymus realaus pasaulio pavyzdys – haktyvistų grupės ataka prieš „Stryker“ įmonę. Panaudoję administracinės konfigūracijos trūkumus „Microsoft Intune“ sistemoje, jie ištrynė duomenis daugiau kaip 200 000 tarpusavyje susijusių įrenginių. Kadangi daugelis įmonių priklauso nuo senųjų technologijų, kurios buvo sukurtos dešimtmečiais anksčiau nei atsirado šiuolaikiniai kibernetiniai pavojai, būtina pavojų suprantama ryšių struktūra, kuri sustabdytų grėsmės plitimą į šonines sistemas ir užkirstų kelią katastrofiškam veiklos nutraukimui.

 

2. Pagrindinė reikšmė Saugių technologijų ryšio principus

 

Saugių ryšių principai siūlo inžinerinį planą, kaip pasiekti  skaitmeninis pakeitimas nekeliant operacinės sutrikimo rizikos. Vietoje absoliučios izoliacijos ši sistema nurodo, kaip turi būti sukonstruoti ryšiai, kad būtų sumažinta rizika:

 

Rizikos pagrįstas balansavimas: vykdyti įrodymais pagrįstą grėsmių modeliavimą, nustatyti įrenginių tarpusavio priklausomybes ir įdiegti atskirtas patikimas zonas aplink pažeidžiamą senąją įrangą.

 

Paveikiamumo mažinimas: sumažinti interneto skenavimui matomą perimetrą priverčiant ryšius būti tik išeinančiais ir taikant laiku (Just-In-Time, JIT) prieigos paradigmas.

 

Prieigos kanalų standartizavimas: panaikinti neformalias nuotolinio darbalaukio konfigūracijas ir pakeisti jas vienodais, centralizuotais ir išsamiai audituojamais prieigos kanalais.

 

Protokolų sustiprinimas: pereiti nuo nešifruotos ryšio komunikacijos prie autentifikuotų ir šifruotų protokolų bei naudoti gilų paketų tyrimą (deep packet inspection), kad būtų blokuojami kenksmingi duomenys.

 

Praktinės įgyvendinimo priemonės  pramonės aplinkoje

 

Scenarijus A: Saugus nuotolinis tiekėjo techninės priežiūros aptarnavimas

 

Objektams dažnai reikia trečiųjų šalių pradinės įrangos gamintojų (OEM) norint išspręsti specializuotos įrangos problemas. Tradiciniai „visada įjungti“ virtualūs privatiniai tinklai (VPN) sukelia didelę riziką; vieno pavogto prisijungimo duomenų pakanka, kad puolėjas galėtų laisvai judėti per visą gamybos plotą.

 

Taikydami rizikos sumažinimą ir prieigos standartizavimą, objektas visiškai pašalina tiesioginį įeinamųjų prievadų maršrutizavimą. Išorinės jungtys nustatomos per saugų vartus, esantį izoliuotoje pramoninėje demilitarizuotoje zonoje (iDMZ). Personalas gauna laikiną prieigą tik griežtai laikydamasis JIT taisyklių ir naudodamas nuo pranešimų apie sukčiavimą atsparią daugiafactorinę autentifikaciją (MFA). Jungtis nustatytą, programinės įrangos pagrindu nustatytos prieigos valdymo sąrašai (ACL) riboja matomumą tik tikslinėje įrangoje, o nuolatinis seansų registravimas nedelsiant įspėja apie netikėtą elgesį.

 

Scenarijus B: Senosios pramoninės valdymo įrangos sustiprinimas

 

Įsivaizduokite kritinę gamybos liniją, kurią valdo 15 metų amžiaus programuojamasis logikos valdiklis (PLC). Įrenginys veikia puikiai, tačiau jo programinė įranga turi nepataisomų saugumo spragų.

 

Norėdami izoliuoti šį turto elementą be brangių įrangos pakeitimų, gamykla įdiegia tinklo mikrosegmentavimą. Pasenęs PLC įdėtas į izoliuotą tinklo zoną, kurią saugo aparatinės įrangos užkardos sistema. Taikant mažiausios privilegijos principą, tinklo prieigos valdymo sąrašai (ACL) riboja PLC ryšius tik su jam priskirta žmogaus–mašinos sąsaja (HMI). Tolydžių anomalijų aptikimo programinė įranga stebi šią izoliuotą aplinką. Todėl, jei korporacinis IT darbastalis būtų užkrėstas kenksmingąja programine įranga, infekcija liktų loginėje izoliacijoje ir nepasiektų pagrindinės gamybos linijos.

 

Išvada

Pramoninė skaitmeninė transformacija suteikia didžiulius konkurencinius privalumus, tačiau kartu sukelia rimtų saugumo kompromisų. Saugių technologijų ryšio principus oT sprendimai šiuo atveju užpildo šią spragą, siūlydami praktišką strategiją moderniems pasiekimams pasiekti, neaukojant fizikinės saugos.

 

Šio daugiasluoksnio apsaugos įdiegimui reikia specializuotų įrankių. Pažangios programinės įrangos komplektai, pvz., SecureOT architektūros portfelis, padeda organizacijoms užtikrinti išsamią aktyvų matomumą iki įrenginio lygio, supaprastinti tinklo sustiprinimą ir automatizuoti mikrosegmentavimą. Šių principų įtraukimas į pagrindines automatizavimo praktikas užtikrina, kad kritiniai fizikiniai procesai liktų izoliuoti nuo kintamos globalios grėsmių aplinkos.

 

DUK: Saugaus ryšio principai pramonės technologijose (OT)

 

1. Kas yra saugaus ryšio principai pramonės technologijose (OT)?

Tai gairės, sukurtos pramonės sistemoms saugoti struktūrizuojant ryšį, mažinant jų veikiamumą ir užtikrinant saugų IT–OT integravimą be visiško oro tarpelio (air-gapping) naudojimo.

 

2. Kodėl tradicinis „oro tarpelis“ (air gap) daugiau nebeužtenka?

Nes šiuolaikinės „Industrijos 4.0“ sistemos reikalauja IT–OT integravimo realiųjų duomenų ir nuotolinio priėjimo tikslais, todėl visiškas izoliavimas tampa netikslingas ir vis dažniau apeinamas.

 

3. Koks yra pagrindinis rizikingo OT ryšio pavojus?

Kibernetiniai puolimai gali iš IT sistemų pereiti į operacinės technologijos (OT) sistemas, potencialiai sutrikdydami fizinį procesą, pažeisdami įrangą ar paveikdami saugos kritinės reikšmės infrastruktūrą.

 

4. Kaip tik laiku (Just-In-Time, JIT) suteikiamas prieigos leidimas gerina OT saugą?

JIT prieigos leidimas suteikia laikinas ir ribotas teises tik tada, kai jos reikia, todėl sumažinamas nuolatinių ar pavogtų prisijungimo duomenų panaudojimo rizika.

 

5. Kaip apsaugoti senąją OT įrangą, nekeičiant jos?

Naudojant tinklo segmentavimą, ugniasienes ir griežtus prieigos valdymo mechanizmus, kad būtų izoliuoti senieji įrenginiai ir jų ryšys būtų ribojamas tik esminėms sistemoms.

3500/15 106M1081-01

1746-IN16

3000510-180

3500/15 AC 127610-01

1746-INT4

3006

3500/15E

1746-IO12

3008

3500/20 125744-02

1746-IO12DC

3008N

3500/22M 138607-01

1746-IO8

3401

3500/23E

1746-ITB16

3501E

3500/25 149369-01

1746-ITV16

3502EN2

3500/32 125712-01

1746-IV16

3503E

3500/33

1746-IV32

3504E

3500/40M

1746-NI4

3510

3500/42E

1746-NI8

3511

3500/42M

1746-NIO4I

3533E

3500/42M 140734-02

1746-NIO4V

3604E

3500/42M 176449-02

1746-NO8V

3625N

3500/44M 176449-03

1746-NOI4I

3700A

3500/45

1746-NR4

3703E

3500/45 140072-04

1746-NT8

3704E

3500/45 176449-04

1746-OA16

3706A

3500/46M

1746-OAP12

3708E

3500/50

1746-OB16E

3721

3500/50 133388-02

1746-OB32

3805E

3500/50E

1746-OB8

3805EN

3500/50M 286566-02

1746-OBP16

3806E

3500/53 133388-01

1746-OG16

4000093-310

3500/53M 286566-01

1746-OV32

4000093-320

3500/60

1746-OW16

4000094-310

3500/61 136711-02

1746-OW4

4000098-510

3500/61E 285694-02

1746-OX8

4000103-510

3500/64M

1746-P5

4000103-520

3500/64M 176449-05

1746SC-CTR4

4000212-002

Šaltiniai:

https://www.rockwellautomation.com/en-us/company/news/blogs/secure-connectivity-principles-for-operational-technology.html

(Jei yra bet kokių autorių teisių pažeidimų, prašome susisiekti su manimi, kad šis straipsnis būtų ištrintas.)

Gaukite nemokamą pasiūlymą

Mūsų atstovas susisieks su jumis netrukus.
El. paštas
Vardas
Įmonės pavadinimas
Žinutė
0/1000
el. paštas grįžti į pradžią

Evolo Automation nėra įgaliotasis platintojas, nebent nurodyta kitaip, atstovas ar susijusi šios prekės gamintojo įmonė. Visi prekių ženklai ir dokumentai yra atitinkamų savininkų nuosavybė ir pateikti identifikavimo bei informaciniais tikslais.