Pokyny pro nasazení kybernetické bezpečnosti

Bezpečnost instalace a uvedení do provozu
Před připojením Ekip Connect k jakékoli síti nebo zařízením, abysteminimalizovali riziko bezpečnostních úniků a malwaru, postupujte podle tohoto bezpečnostního seznamu:

1. Operační systém

•    Nasadit na Windows 11 s nejmodernějšími bezpečnostními záplatami (minimálně: Windows 10)
•    Povolte Secure Boot v BIOSu (povinné pro Windows 11)

2. Bezpečnost pracovních stanic

•    Omezte fyzický přístup k pracovním stanicím Ekip Connect
•    Povolte šifrování celého disku (BitLocker nebo ekvivalent)
•    Vypnout autologin; Konfigurujte přihlášení chráněné heslem
•    Nastavte automatické zamykaní obrazovky (doporučeno 15 minut)
•    Povolte Windows Firewall s pravidly default-deny příchozích

3. Ochrana softwaru

•    Nainstalovat antivir + antimalware software
•    Konfigurujte real-time Scanning a denní kompletní skeny
•    Povolit automatické aktualizace definic antiviru

4. Ověření uživatele

•    Všichni uživatelé se musí ověřit přes MyABB (pokud je to notebook ABB).
•    Vynucujte silná hesla (minimálně 8 znaků, 3 typy znaků)
•    Povolit vícefaktorovou autentizaci (MFA) pro MyABB
•    Vypněte souběžné relace ze stejného uživatelského účtu

5. Konfigurace sítě

•    Nasazení na segmentu dedikované správy sítě (samostatná VLAN)
•    Nakonfigurujte firewall tak, aby povoloval pouze požadované odchozí porty:

      • Port 443/TCP (HTTPS cloudové připojení)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

•    Izolujte sítě zařízení od podnikových sítí (vyžaduje firewall)

6. Automatické aktualizace

•    Povolit automatické aktualizace Windows
•    Nastavte antivirus tak, aby automaticky aktualizoval definice

7. Počáteční ověření

•    Ověřit, že Secure Boot je aktivní
•    Ověřit, že je Windows Firewall zapnutý

•    Ověřte, že antivirus běží a je aktualizovaný

   

Konfigurace firewallu a bezpečnost

Ekip Connect používá specifické porty pro různé typy komunikace. Správná konfigurace firewallu je nezbytná pro bezpečnost.

Povinné porty (povinné pro cloudové funkce)

Port 443/TCP (HTTPS - Cloudové připojení)

• ABB ELSP Digital Manager API
• Konektivita ABB Ability Platform
• Přístup k firmwarové knihovně
• Aktualizace a aktualizace ke stažení
• Musí být ZAPNUTÝ pro cloudové funkce
• VŽDY šifrované (TLS 1.2 nebo vyšší)

Port 53/UDP (DNS - Domain Name Resolution)

• Potřeba k vyřešení ABB cloudových koncových bodů
• Musí být ZAPNUTÝ pro jakékoli cloudové připojení
• Žádné šifrování (standardní DNS protokol)

• Doporučuji používat důvěryhodné DNS servery

   

Doporučené porty (velmi doporučováno)

Port 123/UDP (NTP - synchronizace času)

• Protokol síťového času pro přesnost systémových hodin
• Důležité pro přesnost a bezpečnost časových razítek v logu
• Velmi doporučuji, ale není to striktně povinné

• Povolit, pokud to umožňuje síťová konfigurace

   

Komunikační porty zařízení (pro připojení zařízení)

Port 502/TCP (Modbus TCP)

• Komunikace mezi zařízeními a Ekip Connect přes Ethernet
• OBOUSMĚRNÉ (zařízení se může připojit zpět)
• Nešifrovaný protokol (vyžaduje segmentaci sítě)
• Povolujte pouze sítě na zařízení (ne na internetu)
• Firewall by měl tento port omezit pouze na autorizovaná zařízení

Port 69/UDP (TFTP - Triviální protokol pro přenos souborů)

• Stažení firmwaru a nastavení zařízení
• OBOUSMĚRNÁ komunikace
• Nešifrované (použití pouze v izolovaných sítích)
• Je vyžadováno pouze při aktualizaci firmwaru
• Lze jej vypnout mimo údržbové okna

Poznámka: během procesu provisioningu zařízení do ABB Ability™ EM a AM se ujistěte, že váš firewall je správně nakonfigurován podle výše uvedených aktivních portů. Pokud narazíte na komunikační problémy, zkuste firewall dočasně vypnout a znovu ho zapnout na konci procesu Provisioning.