Jak na požadavky NIS2: bezpečný vzdálený přístup s routery Ewon a firewally W&T

Evropská směrnice NIS2 přináší firmám nové povinnosti v oblasti ochrany proti kybernetickým hrozbám. Zaměřme se na srovnání těchto požadavků s technickými opatřeními dle normy IEC 62443 a ukažme si, jak lze jednoduše naplnit požadavky pomocí průmyslových routerů Ewon, zabezpečené cloudové služby Talk2M a firewallů německé značky W&T.

Porovnání bezpečnostních opatření dle NIS2 s odpovídajícími požadavky v normách IEC 62443

1. Řízení přístupu: Kdo, kdy a jak se připojuje?

Směrnice NIS2 zdůrazňuje, že každý přístup musí být řízen, ověřen a zdokumentován. 

Ověření uživatelů dle úrovně rizika

• NIS2 požadavek: Zajistit adekvátní úroveň zabezpečení
• IEC62443-2-4 definuje požadavek na heslo: 1. Délka alespoň osm znaků; 2. Kombinace alespoň tří z následujících čtyř znakových sad: malá písmena, velká písmena, číslice a speciální znaky (např. % a #)
• Vzdálená správa pomocí routeru Ewon: Lze nastavit v Talk2M (přístupová platforma k zařízením Ewon) 

V prostředí Talk2M lze nastavit úroveň autentizace podle požadovaného stupně ochrany.
Například administrátor potřebuje silnější ověření než technik čtoucí pouze hodnoty PLC. Díky této flexibilitě lze chránit kritická zařízení bez zbytečných komplikací.

Multifaktorová autentizace (MFA)  

• NIS2 požadavek: Používat vícefaktorové ověřování
• IEC62443-2-4: Používat vícefaktorové ověřování podle požadavků vlastníka zařízení
• Vzdálená správa pomocí routeru Ewon: Lze aktivovat v Talk2M

Multifaktorovou autentizaci aktivujete v prostředí eCatcher jedním klikem. Zajišťuje, že uživatel kromě hesla zadá i jednorázový kód (např. z SMS). 
To výrazně snižuje riziko kompromitace účtu v případě úniku hesla.

Princip nejmenších oprávnění

• NIS2 požadavek: Zavést autentifikační postupy založené na principu nejmenších oprávnění (principle of least privilege)
• IEC62443-2-4: Zajistit, aby pro správu síťových zařízení, za která je zodpovědný poskytovatel služeb, byla použita zásada nejmenších oprávnění.
• Vzdálená správa pomocí routeru Ewon: Lze konfigurovat v Talk2M pomocí tzv. „Pools“ a „Groups“

V rámci Talk2M Pro lze uživatele třídit do skupin a definovat přístupy pomocí tzv. Pools and Groups. Každý uživatel tak má pouze práva, která opravdu potřebuje. Nejsou k dispozici univerzální administrátorské přístupy pro každého.

Autorizace přístupu dodavatelů služeb

• NIS2 požadavek: Povolit připojení poskytovatelů služeb pouze po žádosti o autorizaci
• IEC62443-2-4: Poskytovatel služeb bude schopen zajistit, že před použitím každého jednotlivého vzdáleného připojení získá souhlas vlastníka zařízení
• Vzdálená správa pomocí routeru Ewon: Lze konfigurovat v zařízení Ewon nebo Talk2M

Zařízení Ewon lze zabezpečit klíčovým spínačem, bez jehož využití nelze zařízení zpřístupnit. Tím se eliminuje riziko nepovoleného připojení poskytovatele nebo technika bez předchozího souhlasu. 

2. Řešení incidentů: Přehled o tom, co se děje

Je nezbytné mít dokonalý přehled o tom, kdo a kdy se připojil. 
NIS2 klade důraz na aktivní sledování a dokumentaci veškerého provozu. 

Automatické logování přístupů

• NIS2 požadavek: Používat nástroje pro monitorování a logování aktivit
• IEC62443-2-4: Poskytovatel služeb/dodavatel zajistí, že automatizační řešení bude nakonfigurováno tak, aby zaznamenávalo do auditního logu všechny události související s bezpečností, včetně aktivit uživatelů a aktivit správy účtů. Tento log bude uchováván po dobu stanovenou vlastníkem zařízení.
• Vzdálená správa pomocí routeru Ewon: Výchozí nastavení v Talk2M

Talk2M uchovává podrobný log všech připojení – kdo, kdy, odkud a ke kterému zařízení. To umožňuje snadno dohledat neoprávněný přístup nebo chybné zásahy. Logy lze také archivovat a využít při auditu nebo vyšetřování incidentu.

3. Zabezpečení sítě: Správná segmentace je základ

NIS2 vyžaduje, aby sítě byly rozděleny do bezpečnostních zón a aby mezi nimi probíhala pouze kontrolovaná komunikace. To zabezpečíte právě díky kombinaci routeru Ewon a firewallů W&T.

Ewon jako ochranný štít mezi světy

• NIS2 požadavek: Omezit přístup a komunikaci mezi zónami na ty, které jsou nezbytné pro provoz příslušných systémů nebo pro bezpečnost. Povolit přístup k síti pouze autorizovaným zařízením.
• IEC62443-2-4 – SR 5.2 RE 1: Implicitně zamítnout, přístup povolit na základě výjimky. Řídicí systém musí umožňovat výchozí nastavení nepovolení síťového provozu a povolení po udělení výjimky (také označováno jako „vše zakázat, výjimkou povolit“).
• Vzdálená správa pomocí routeru Ewon: Výchozí nastavení „zakázat“ vyžadují firewally s pravidly nakonfigurovanými na zdrojovou IP adresu, cílovou IP adresu a port. Někdy může být doplněno filtry MAC adres a hloubkovou kontrolou protokolů, aby bylo možné rozlišovat mezi různými operacemi (např. zápis/čtení, spuštění a zastavení vs. přeprogramování).

Zařízení Ewon přirozeně odděluje:

• interní síť stroje (např. PLC, HMI),
• firemní síť,
• internet/vzdálené připojení.

Tím chrání stroj před přímým přístupem z méně důvěryhodných zón a umožňuje přesnou kontrolu komunikace.

Segmentace sítě – praktické scénáře

• NIS2 požadavek: Příslušné subjekty rozdělí systémy do sítí nebo zón v souladu s výsledky posouzení rizik. Oddělí své systémy a sítě od systémů a sítí třetích stran.
• IEC62443-2-4: SR 5.1 RE 1 – fyzická segmentace sítě; Řídicí systém musí umožňovat fyzickou segmentaci sítí řídicího systému od sítí, které nejsou součástí řídicího systému, a fyzickou segmentaci kritických sítí řídicího systému od nekritických sítí řídicího systému.
• Vzdálená správa pomocí routeru Ewon: Doporučená nastavení závisí na scénářích:
  #1: Ewon připojený přes modem
  #2: Ewon připojený pomocí firemní sítě
  #3: Ewon připojený přes modem a potřeba zachovat komunikaci z firemní sítě za účelem sběru dat/propojení se SCADA

Scénář 1: Ewon připojený přes modem – oddělení interní sítě stroje a nedůvěryhodného vzdáleného připojení

Interní síť stroje komunikuje pouze s routerem Ewon – veškerý vzdálený přístup je zprostředkován skrz něj a řízen pravidly firewallu. Firewall nastavený na Ultra splňuje požadavek „deny by default, allow by exception" (všechna komunikace je zakázána, dokud není explicitně povolena).

Scénář 2: Ewon připojený pomocí firemní sítě – oddělení interní sítě stroje, pro stroj nedůvěryhodné firemní sítě a nedůvěryhodného vzdáleného připojení

I v tomto případě zůstává zařízení stroje oddělené. Ewon chrání stroj před potenciálně kompromitovanou firemní sítí. Konkrétní porty lze otevřít v zařízení Ewon, aby mohlo zařízení zákazníka v místní síti přistupovat ke službám na stroji (pomocí NAT). Vzdálený přístup je zprostředkován skrz něj a řízen pravidly firewallu.

Scénář 3: Ewon připojený přes modem a potřeba zachovat komunikaci z firemní sítě za účelem sběru dat/propojení se SCADA – oddělení interní sítě stroje, pro stroj nedůvěryhodné firemní sítě, kde probíhá sběr dat/propojení se SCADA, a nedůvěryhodného vzdáleného připojení

Veškerý vzdálený přístup je zprostředkován skrz Ewon a je řízen pravidly firewallu. Pro správné oddělení interní sítě stroje a pro stroj nedůvěryhodné firemní sítě, kde probíhá sběr dat použijeme firewall, jelikož mezi sítěmi musí docházet ke komunikaci z důvodu sběru dat. 

Oddělení sítě firewally W&T

Jednosměrný Ethernet Firewall W&T

• Komunikace pouze jedním směrem (např. jen upload dat ven).
• Není potřeba operační systém, neobsahuje žádné open-source prvky → minimální riziko napadení.
• Ideální tam, kde není třeba zpětné potvrzování zpráv.

Microwall Bridge W&T na principu whitelistu

• Funguje na principu whitelistu („deny by default, allow by exception") – výchozí stav: vše zakázáno, povolujeme pouze potřebné IP adresy a porty.
• Vhodný tam, kde je nutné komunikovat mezi zónami, ale s plnou kontrolou provozu.

O bezpečnostních prvcích od W&T se dozvíte více například v případové studii z praxe nebo v recenzi Jaroslava Blažka (blaja.cz).

4. Zásady a firemní postupy

Technická opatření mají smysl pouze tehdy, když jsou podpořena jasnými pravidly.

Doporučujeme zavést:

• Interní manuál pro práci s Ewony a vzdáleným připojením (včetně nastavení účtů, správy klíčových spínačů, pravidel připojení).
• Pravidla pro přístup externích dodavatelů – včetně požadavku na písemné schválení a potvrzení bezpečnostních pravidel.
• Zásady pro sdílení přístupů mezi odděleními – kdo může přistupovat ke kterému zařízení a za jakých podmínek.

Díky kombinaci produktů Ewon, platformy Talk2M a W&T firewallů můžete snadno a efektivně splnit požadavky směrnice NIS2, a přitom si zachovat jednoduchost při správě přístupů. 

Prohlédněte si jednotlivé produkty a objednejte si je přímo na e-shopu nebo nás kontaktujte na e-mailu foxon@foxon.cz. Rádi vám pomůžeme navrhnout to správné zabezpečení přesně pro vaši infrastrukturu.