Компанія Danfoss тримає кібербезпеку у фокусі

Danfoss впроваджує передову практику та рішення з кібербезпеки під час створення своїх продуктів, систем та послуг. Наш підхід до проєктування з урахуванням питань безпеки дозволяє забезпечити високу стійкість продуктів компанії до кібератак. Ми впроваджуємо механізми для усунення загроз, мінімізації вразливостей, а також для захисту від витоків даних та кібератак, яких можна уникнути, ще на перших етапах розробки нашого Продукту.

Danfoss дотримується вимог стандартів IEC-62443, враховуючи інші вимоги додаткових стандартів безпеки.

Під час розробки електронних контролерів спеціалісти компанії Danfoss дотримуються вимог стандартів IEC-62443 щодо безпеки

Безпечний процес розробки

Рекомендації для клієнтів

Щоб допомогти забезпечити безпеку та захист ваших продуктів Danfoss, ми рекомендуємо впровадити наведені нижче кращі практики із кібербезпеки.

Дотримання цих рекомендацій допоможе значно знизити ризики для інформаційної безпеки вашої компанії.

Загальні умови забезпечення безпеки:

CVE:
Абревіатура від Common Vulnerabilities and Exposures (загальний перелік вразливостей та ризиків) - це перелік публічно розголошених відомостей про недоліки захисту інформації.

DDOS:
Розподілена відмова в обслуговуванні: цей термін використовується, коли сотні тисяч віддалених пристроїв атакують один пристрій в мережі. Це високоефективна атака на систему. Навіть великі корпорації та охоронні організації не можуть здійснювати операції під час таких атак. Було визначено, що швидкість передавання даних під час таких атак становить 400+ терабіт на секунду, що просто унеможливлює з'єднання з пристроєм. Цього не можна уникнути на будь-якому рівні, крім магістралі Інтернет.  

Не існує дешевого захисту від таких атак, і єдиний ефективний спосіб знизити ризик атаки - уникнути її, сховавшись.  

Інструмент експлуатації вразливості системи через віддалений доступ:

Припускається, що все програмне забезпечення, яке працює з мережею Інтернет, має вразливості. Тому аналітики постійно шукають їх, і коли їх виявляють, постачальники програмного забезпечення створюють оновлення, які їх виправляють. Тому надзвичайно важливо постійно оновлювати програмне забезпечення до останньої версії, щоб запобігти використанню вразливостей системи. 

Наприклад, старіші Системні Контролери використовували Nginx версії 1.12.1, де було виявлено і виправлено кілька недоліків, тому найновіша версія Контролера - 3.1.9 - тепер використовує Nginx версії 1.21.0, яка наразі не має відомих вразливостей. Тому важливо оновити раніше встановлені Контролери до останньої версії ПО (після написання цього документа могли вийти вже декілька оновлень, оскільки нові вразливості виявляються і виправляються постійно).

Загальні рекомендації

Програмне забезпечення на пристроях завжди має бути повністю оновлене до останніх доступних версій, випущених компанією Danfoss. У кожній новій версії можуть бути деякі оновлення системи захисту, описані в додатку.
Переконайтесь, що пристрій не має прямого виходу в Інтернет. (Використовуйте мережеві екрани для захисту пристроїв)

Компанія Danfoss наполегливо рекомендує захищати будь-які мережеві пристрої за допомогою мережевого екрану та принципів захищеного віддаленого доступу.

Потенційні проблеми полягають в тому, що системи, які не мають повноцінних оновлень програмного забезпечення, можуть містити відомі вразливости, які наражають на небезпеку роботу системи. Перелік відомих вразливостей часто публікуються в базах даних CVE та на багатьох сайтах з питань дослідження безпеки.

Отже, підключення пристроїв безпосередньо до мережі Інтернет не рекомендується, але якщо це необхідно - важливо використовувати кілька заходів для захисту системи від прямого доступу з мережі. 

Найпоширеніші ризики для пристроїв перелічено нижче.

DDOS – жодні виправлення програмного забезпечення не можуть захистити від такого роду атак. (Таким чином, необхідний захист мережевим екраном)
Використання різних відомих і невідомих вразливостей у системі безпеки може призвести до непрацездатності системи.
Впроваджуйте розподіл мережі на зони/сегменти. Розміщення пристроїв Danfoss в ізольованій частині мережі зменшить фронт для атак.

Поділ системи на мереживі зони

Впроваджуйте розподіл мережі на зони/сегменти. Розміщення пристроїв Danfoss в ізольованій частині мережі зменшить фронт для атак.

Це загальна практика, яку слід взяти до уваги стосовно вашої мережі, незалежно від того, які пристрої ви використовуєте.

Сегментацію мережи можна продовжувати до створення мікросегментів, тоді у випадку, якщо один пристрій опиниться під загрозою несанкціонованого доступу, вона не пошириться на решту мережі.

Нижче наведено типовий приклад сегментованої мережі:

Налаштуйте мережеві екрани

Підключайте системи та пристрої Danfoss через мережеві екрани та інші засоби захисту, які обмежують доступ лише дозволеними віддаленими з'єднаннями. Створення мережі з високим ступенем захисту, яка допомагає унеможливити доступ ззовні, є найважливішим заходом із забезпечення захисту від кібератак.

Радимо дотримуватися наведених нижче рекомендацій.

Обмежте доступ до мереж, в яких встановлено пристрої Danfoss.
Перевірте відсутність доступу до систем та пристроїв Danfoss з Інтернету, якщо вони не підключені через мережеві екрани та інші засоби захисту.
Обмежте можливість підключення із зовнішньої мережі до своїх систем і пристроїв.
Постійно стежте за подіями, які можуть свідчити про спробу несанкціонованого доступу.
Обмежте доступ до внутрішніх мереж, в яких встановлено пристрої.
Ізолюйте мережі систем управління й безпеки, а також віддалені пристрої від бізнес-мережі.

Для забезпечення захищеного з'єднання/доступу також можна використовувати VPN-з'єднання.

Використовуйте методи встановлення захищеного віддаленого доступу

Впровадьте методи захищеного доступу до вашої мережі для віддалених користувачів. Необхідно передбачити для всіх віддалених користувачів підключення та автентифікацію через єдиний, керований інтерфейс для входу перед оновленням програмного забезпечення, технічним обслуговуванням та іншими заходами з супроводу системи.

Якщо існує потреба в забезпеченні віддаленого доступу до пристроїв, важливо максимально обмежити можливість доступу до них. Рішення, наведені нижче, являють собою способи захисту пристроїв та мережі, забезпечуючи при цьому гнучкий віддалений доступ до пристрою.

Фіксована IP-адреса на мобільних пристроях:

Використання фіксованих IP-адрес на віддалених мобільних пристроях є найпростішим рішенням для підтримки віддаленого доступу до системи, що одночасно забезпечує повний захист пристрою від несанкціонованого доступу, а також від DDOS-атак.

Використання проксі-сервера

Налаштування роботи проксі-серверів є складнішими, однак вони забезпечують більший захист, а також можливість надавати належний чинний сертифікат SSL (Secure Sockets Layer) для доступу до системи. Проксі-сервер надає системі, яка пройшла процедуру автентифікації, доступ до Інтернету, і такий доступ з перевіркою візьме на себе найбільшу частину будь-яких системних атак, захищаючи Ситемний контролер від загроз. 

Проксі-сервер може використовувати такі засоби, як коди автентифікації, двофакторна автентифікація та інші механізми забезпечення захисту, які забеспечують лише авторизований доступ.

IP-адрес проксі-сервера зафіксован на мережевому екрані, який захищає Системний контролер, і всі мобільні клієнти використовують випадкові IP-адреса та автентифікацією на проксі-сервері (зазвичай за допомогою сертифікатів, двофакторної автентифікації тощо), що дозволяє максимально ретельно перевірити клієнта.

Усі шкідливі клієнти позбавляються можливості прямого доступу оскільки нездатні надати необхідні облікові дані для зв'язку з проксі-сервером. 

Це означає, що проксі-сервер захистить від більшості атак, і в гіршому випадку - прийме на себе DDOS-атаку, із збереженням локального доступу до Системного контролера.

Рішення Alsense Proxy

Alsense може функціонувати через VPN-з'єднання (через віртуальну приватну мережу) або через проксі-сервер з визначеною IP-адресою, що обмежує з'єднання з хмарною системою Alsense - забезпечивши в такий спосіб захист системи.

Alsense - це хмарне рішення компанії Danfoss для доступу до Системних контролерів. Це рішення забезпечує ті самі можливості, що й використання проксі-сервера, однак керування ним здійснює компанія Danfoss, і для клієнта немає необхідності впроваджувати, підтримувати та використовувати проксі-сервер.

Технічна інструкція та пояснення щодо налаштування мережевого екрану

Technical Instruction & explanation for setting up a firewall

Технічна інструкція та пояснення щодо налаштування мережі VPN

Впровадьте заходи для виявлення витоків даних та інцидентів

Доступ до промислових мереж повинен здійснюватися за допомогою журналів автентифікації/аудиту, наприклад, VPN або мережевих екранів, що дозволить контролювати й перевіряти доступ, і, таким чином, вивчати інциденти інформаційної безпеки, якщо вони мають місце. Мінімізуйте шанси на витік даних шляхом цілодобового відстеження та перевірки подій в системі. Використовуйте системи виявлення мережевих атак, системи запобігання мережевим атакам, антивірусне програмне забезпечення та журнали використання для виявлення витоків даних або інцидентів порушення безпеки на ранніх етапах.

Рекомендується також використовувати програмне забезпечення для контролю мережі на предмет виявлення будь-яких сповіщень про незвичайний трафік, невдалих спроб доступу тощо. Рекомендації охоплюють великий діапазон питань, починаючи від загальних вимог до інформаційних технологій, викладених у стандарті ISO 27001, до конкретних вимог, визначених стандартом IEC 62443, і їх можна знайти в цих міжнародних стандартах.

Щоб дізнатися більше про пропозиції компанії Danfoss, пов'язані з рішеннями для контролю, перейдіть за цим посиланням.

Наше хмарне рішення Alsense вже відповідає вимогам OWASP, NIST і, звичайно, Загальному регламенту про захисту даних: рішення Alsense IoT для Інтернету речей, спостереження та керування системами опалення, вентиляції, кондиціювання повітря та холодильного обладнання (HVAC-R) | Danfoss

Впровадьте засоби суворого контролю доступу

Експлуатація установки або обладнання зазвичай здійснюється більш ніж однією людиною, тому рекомендується впровадити централізоване управління користувачами.

Змініть стандартні паролі під час введення в експлуатацію та використовуйте можливості продукту для створення рівнів доступу користувачів.

Наприклад: Системний контролер Danfoss - це продукт, який дозволяє визначити рівень доступу до пристрою для інших можливих користувачів.

Це особливо важливо для облікових записів адміністраторів та пристроїв системи управління. Використовуйте рольове розмежування доступу з багатофакторною автентифікацією, щоб запобігти порушенням безпеки, та забезпечте ведення журналу доступу.

Користувачам не можна повідомляти один одному паролі, адже це допомогає контролю доступу і запобігає неконтрольованому поширенню паролів. Зазвичай, використання спільного паролю декількома людьми призводить до того, що пароль стає відомим широкому загалу, і це створює проблеми для забезпечення дієвого захисту.

Варто скористатися додатковими можливостями захисту, наприклад, функцією блокування облікового запису після введення завеликої кількості неправильних паролів.

Додайте можливість ведення білих списків

Головні принципи:

Складання білих списків забезпечує додатковий захист від використання небажаних застосунків або шкідливого програмного забезпечення, а також несанкціонованих змін у встановлених застосунках.
Програмне забезпечення для ведення білих списків створює або містить список програм та застосунків, які дозволено використовувати на ПК.

Використовуйте список дозволених застосунків, щоб визначити дозволені програми, IP-адреси тощо, оскільки такі білі списки є найвищим ступенем контролю безпеки, адже всі спроби обійти їх блокуються. Однак, якщо з будь-якої причини використання білих списків не є виправданим, тоді, якщо це можливо, запровадьте чорний список, щоб заблокувати відомі загрози для безпеки. Втім, не слід забувати, що чорні списки можна легко обійти.

Налаштуйте ведення чорного списку

Чорний список - це базовий механізм контролю доступу, який дозволяє блокувати небажані елементи (адреси електронної пошти, користувачів, паролі, URL-адреси, IP-адреси, доменні імена, хеші файлів тощо), за винятком зазначених. Таким елементам зі списку доступ заборонено.

Занесення до чорного списку може допомогти запобігти доступу до вашої системи відомих вірусів, шпигунських програм, троянів, та інших видів шкідливого програмного забезпечення.

Використовуйте чорні та білі списки одночасно

Часто ідеальним варіантом є одночасне використання чорного та білого списків. Ви можете використовувати різні підходи на різних рівнях вашої інфраструктури, і навіть використовувати обидва в межах одного рівня.

Багато організацій використовують як чорний, так і білий списки для різних аспектів своїх стратегій забезпечення захисту. Наприклад, забезпечення контролю доступу до комп'ютера або облікового запису за допомогою пароля є прикладом білого списку. Доступ дозволений лише тим, хто має пароль, а всі інші не можуть увійти. Багато з цих організацій також застосовують антивірусні програми, які передбачають ведення чорного списку відомих шкідливих кодів для блокування шкідливих програм.

Навчайте персонал

Проведіть тренінги з кібербезпеки для своїх співробітників, щоб забезпечити захист інформаційних систем вашої організації. Розкажіть їм про фішингові електронні листи, шкідливі вкладення, небезпечні вебсайти та інші засоби, які становлять безпосередню загрозу.

Наприклад: відділ інформаційних технологій компанії Danfoss відповідно до вимог стандарту ISO 27001 щороку проводить обов'язкове онлайн-навчання для всіх співробітників, щоб забезпечити їх підготовку і дати розуміння, як кожен представник компанії може сприяти кібербезпеці.

Встановіть засоби фізичного захисту, щоб запобігти несанкціонованому доступу

Хоча це питання стосується не тільки кібербезпеки, важливо встановити засоби фізичного захисту, щоб унеможливити доступ до вашого обладнання для жодної сторонньої особи. Зберігайте всі контролери в замкнених шафах та обмежуйте доступ до будь-яких підключених пристроїв.

Загальна інформація

Заходи з кібербезпеки можуть бути ефективними лише тоді, коли кожен робить свій внесок у забезпечення захисту системи.

Наведена вище візуалізація низки стандартів IEC-62443 демонструє, що забезпечення захисту вимагає докладання спільних зусиль та діяльності, оскільки питання безпеки є спільною відповідальністю. Як постачальник продукції компанія Danfoss виконує вимоги стандартів IEC 62443-4-1 та IEC 62443-4-2.

Додатково вимагається відповідальность та впровадження заходів для мінімізації негативних наслідків з боку системного інтегратора та власника активів.

Вивчайте інформацію про конкретний продукт, наведену в документації

Компанія Danfoss надає детальну інформацію щодо кожного продукту. Переглядайте керівництва з використання продуктів, наведені на веб-сайті або ті, що ви їх отримали разом з продуктами. У них ви знайдете рекомендації з кібербезпеки та оптимальні методи використання, що безпосередньо стосуються ваших продуктів від компанії Danfoss.

Вивчайте також інформацію з конкретних питань в Інтернеті, відвідавши, наприклад, сторінку поширених запитань компанії "Данфосс", на якій розміщено цей посібник.

Поширені запитання про електронні контролери та послуги| Danfoss

Щоб отримати додаткову інформацію про передові технології кібербезпеки, перегляньте ці ресурси:

Quick Start Guide: An Overview of the ISA/IEC 62443 Series of Standards
ISA Global Cybersecurity Alliance (ISAGCA)
Cybersecurity Best Practices
Center for Internet Security
IEC 62443 Security for Industrial Automation and Control Systems
International Society of Automation (ISA)

Заява про відмову від відповідальності.

ЦЕЙ ДОКУМЕНТ ПРИЗНАЧЕНИЙ ДЛЯ НАДАННЯ ЗАГАЛЬНИХ РЕКОМЕНДАЦІЙ З ПИТАНЬ БЕЗПЕКИ І НАДАЄТЬСЯ НА УМОВАХ "ЯК Є" БЕЗ БУДЬ-ЯКИХ ГАРАНТІЙ. КОМПАНІЯ "ДАНФОСС" ВІДМОВЛЯЄТЬСЯ ВІД УСІХ ГАРАНТІЙ, ПРЯМИХ АБО НЕПРЯМИХ, ЗОКРЕМА ВІД ГАРАНТІЙ ЩОДО ТОВАРНОЇ ПРИДАТНОСТІ АБО ПРИДАТНОСТІ ДЛЯ ПЕВНОЇ МЕТИ. В ЖОДНОМУ РАЗІ КОМПАНІЯ "ДАНФОСС" НЕ НЕСЕ ВІДПОВІДАЛЬНОСТІ ЗА БУДЬ-ЯКІ ЗБИТКИ, ЗОКРЕМА ПРЯМІ, НЕПРЯМІ, ВИПАДКОВІ, СУПУТНІ, ВТРАТУ ПРИБУТКУ АБО ФАКТИЧНІ ЗБИТКИ, ЩО ВИЗНАЧАЮТЬСЯ ОСОБЛИВИМИ ОБСТАВИНАМИ, НАВІТЬ ЯКЩО КОМПАНІЇ "ДАНФОСС" ПОПЕРЕДИЛИ ПРО МОЖЛИВІСТЬ ТАКИХ ЗБИТКІВ. ВСІ РИЗИКИ, ПОВ'ЯЗАНІ З ВИКОРИСТАННЯМ ЦЬОГО ДОКУМЕНТА, ІНФОРМАЦІЇ, ЩО МІСТИТЬСЯ В НЬОМУ, АБО МАТЕРІАЛІВ, ПОВ'ЯЗАНИХ ІЗ НИМ, НЕСЕТЕ ВИ. КОМПАНІЯ "ДАНФОСС" ЗАЛИШАЄ ЗА СОБОЮ ПРАВО НА ОНОВЛЕННЯ АБО ВНЕСЕННЯ ЗМІН ДО ЦЬОГО ДОКУМЕНТА В БУДЬ-ЯКИЙ ЧАС І НА ВЛАСНИЙ РОЗСУД.