Smjernice za implementaciju kibernetičke sigurnosti

Sigurnost instalacije i puštanja u rad
Prije nego što povežete Ekip Connect na bilo koju mrežu ili uređaje, kako bistesmanjili rizik od sigurnosnih proboja i zlonamjernog softvera, slijedite ovaj sigurnosni popis:

1. Operativni sustav

•    Implementirajte na Windows 11 s najnovijim sigurnosnim zakrpama (minimalno: Windows 10)
•    Omogući Secure Boot u BIOS-u (obavezno za Windows 11)

2. Sigurnost radnih stanica

•    Ograničite fizički pristup Ekip Connect radnim stanicama
•    Omogućite potpunu enkripciju diska (BitLocker ili ekvivalent)
•    Onemogući autologin; Konfigurirajte prijavu zaštićenu lozinkom
•    Konfigurirajte automatsko zaključavanje zaslona (preporučuje se 15 minuta)
•    Omogućite Windows Firewall s pravilima za dolazne uskraćivanja po defaultu

3. Zaštita softvera

•    Instaliraj antivirus + antimalware softver
•    Konfigurirajte Scanning u stvarnom vremenu i dnevna potpuna skeniranja
•    Omogućite automatska ažuriranja definicije antivirusa

4. Autentifikacija korisnika

•    Svi korisnici moraju se autentificirati putem MyABB-a (ako je ABB laptop)
•    Provedite jake lozinke (minimalno 8 znakova, 3 vrste znakova)
•    Omogućite višefaktorsku autentifikaciju (MFA) za MyABB
•    Onemogućite istovremene sesije s istog korisničkog računa

5. Konfiguracija mreže

•    Implementacija na namjenskom segmentu upravljačke mreže (zaseban VLAN)
•    Konfigurirajte firewall da dopušta samo potrebne izlazne portove:

      • Port 443/TCP (HTTPS povezivanje u oblaku)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

•    Izolirajte mreže uređaja od poslovnih mreža (potreban vatrozid)

6. Automatska ažuriranja

•    Omogući automatska Windows ažuriranja
•    Konfigurirajte antivirus da automatski ažurira definicije

7. Početna verifikacija

•    Provjeri je li Secure Boot aktivan
•    Provjerite je li Windows vatrozid omogućen

•    Provjerite radi li antivirus i je li ažuriran

   

Konfiguracija vatrozida i sigurnost

Ekip Connect koristi specifične portove za različite vrste komunikacije. Pravilna konfiguracija vatrozida ključna je za sigurnost.

Obavezni portovi (obavezni za cloud značajke)

Port 443/TCP (HTTPS - Cloud Connectivity)

• ABB ELSP Digital Manager API
• Povezivanje ABB Ability platforme
• Pristup bibliotekama firmwarea
• Ažuriranja i zakrpe za preuzimanje
• Mora biti OMOGUĆENO za cloud značajke
• UVIJEK šifrirano (TLS 1.2 ili novije)

Port 53/UDP (DNS - Rješenje domena)

• Potrebno za rješavanje ABB cloud endpointa
• Mora biti OMOGUĆENO za svaku cloud povezanost
• Nema enkripcije (standardni DNS protokol)

• Preporučujem korištenje pouzdanih DNS poslužitelja

   

Preporučeni portovi (Toplo preporučeni)

Port 123/UDP (NTP - sinkronizacija vremena)

• Mrežni vremenski protokol za točnost sustavnog sata
• Važno za točnost i sigurnost vremenskih oznaka zapisa
• Toplo preporučujem, ali nije strogo obavezno

• Omogući ako mrežna konfiguracija to dopušta

   

Komunikacijski portovi uređaja (za povezivanje uređaja)

Port 502/TCP (Modbus TCP)

• Komunikacija uređaj-Ekip Connect putem Ethernet-a
• BIDIRECTIONAL (uređaj se može ponovno spojiti)
• Nešifrirani protokol (potrebna segmentacija mreže)
• Omogući samo mreže na uređaju (ne na internetu)
• Firewall bi trebao ograničiti ovaj port samo na ovlaštene uređaje

Port 69/UDP (TFTP - Trivial File Transfer Protocol)

• Preuzimanje firmwarea i provisioniranje uređaja
• Dvosmjerna komunikacija
• Nešifrirano (koristi se samo na izoliranim mrežama)
• Potrebno je samo tijekom operacija ažuriranja firmwarea
• Može se onemogućiti izvan vremenskih okvira održavanja

Napomena: dok uređaj Provisionira u ABB Ability™ EM i AM, provjerite je li vaš vatrozid pravilno konfiguriran, prema aktivnim portovima navedenim gore. Ako naiđete na probleme s komunikacijom, pokušajte privremeno onemogućiti firewall, a zatim ga ponovno uključiti na kraju procesa Provisioninga.