Керівні принципи з розгортання кібербезпеки

Безпека монтажу та введення в експлуатацію
Перед підключенням Ekip Connect до будь-якої мережі чи пристроїв, щобмінімізувати ризик порушень безпеки та шкідливого ПЗ, дотримуйтесь цього списку безпеки:

1. Операційна система

•    Розгортання на Windows 11 з останніми патчами безпеки (мінімум: Windows 10)
•    Увімкнути безпечне завантаження в BIOS (обов'язково для Windows 11)

2. Безпека робочих станцій

•    Обмежити фізичний доступ до робочих станцій Ekip Connect
•    Увімкнути повне шифрування диска (BitLocker або еквівалент)
•    Вимкніть автологін; Налаштуйте вхід із захистом паролем
•    Налаштуйте автоматичне блокування екрану (рекомендовано 15 хвилин)
•    Увімкніть міжмережевий екран Windows за допомогою правил заборони вхідних пристроїв за замовчуванням

3. Захист програмного забезпечення

•    Встановіть антивірус + антишкідливе програмне забезпечення
•    Налаштуйте Scanning у реальному часі та щоденні повні сканування
•    Увімкнути автоматичні оновлення визначення антивірусів

4. Автентифікація користувача

•    Усі користувачі повинні автентифікуватися через MyABB (якщо ABB ноутбук)
•    Застосувати сильні паролі (мінімум 8 символів, 3 типи символів)
•    Увімкнути багатофакторну автентифікацію (MFA) для MyABB
•    Вимкніть паралельні сесії з одного й того ж облікового запису користувача

5. Конфігурація мережі

•    Розгортання на виділеному сегменті мережі керування (окремий VLAN)
•    Налаштуйте міжмережевий екран так, щоб дозволяти лише необхідні вихідні порти:

      • Порт 443/TCP (HTTPS-хмарне підключення)

      • Порт 53/UDP (DNS)

      • Порт 123/UDP (NTP)

•    Ізолювати мережі пристроїв від корпоративних мереж (потрібен міжмережевий екран)

6. Автоматичні оновлення

•    Увімкнути автоматичні оновлення Windows
•    Налаштуйте антивірус для автоматичного оновлення визначень

7. Початкова верифікація

•    Перевірте, що Secure Boot активний
•    Перевірте, що увімкнено міжмережевий екран Windows

•    Перевірте, чи працює антивірус і оновлено

   

Конфігурація та безпека міжмережевого екрану

Ekip Connect використовує специфічні порти для різних типів зв'язку. Правильна конфігурація міжмережевого екрану є необхідною для безпеки.

Обов'язкові порти (обов'язкові для хмарних функцій)

Порт 443/TCP (HTTPS - хмарне підключення)

• ABB ELSP Digital Manager API
• Підключення платформи ABB Ability
• Доступ до бібліотеки прошивки
• Оновлення та завантаження патчів
• Для хмарних функцій має бути УВІМКНЕНО
• ЗАВЖДИ зашифрований (TLS 1.2 або вище)

Порт 53/UDP (DNS - Розділення доменних імен)

• Потрібно для розв'язання кінцевих точок ABB cloud
• Для будь-якого хмарного підключення має бути УВІМКНЕНО
• Без шифрування (стандартний протокол DNS)

• Рекомендую використовувати довірені DNS-сервери

   

Рекомендовані порти (Дуже рекомендую)

Порт 123/UDP (NTP — синхронізація часу)

• Протокол мережевого часу для точності системного тактового сигналу
• Важливо для точності та безпеки часових позначок журналу
• Дуже рекомендую, але не є суворо обов'язковим

• Увімкніть, якщо дозволяє конфігурація мережі

   

Порти зв'язку пристроїв (для підключень пристроїв)

Порт 502/TCP (Modbus TCP)

• Зв'язок від пристрою до Ekip Connect через Ethernet
• ДВОНАПРАВЛЕНИЙ (пристрій може підключатися назад)
• Незашифрований протокол (потрібна сегментація мережі)
• Увімкніть лише в мережах пристроїв (не в інтернеті)
• Міжмережевий екран має обмежити цей порт лише авторизованими пристроями

Порт 69/UDP (TFTP — протокол тривіальної передачі файлів)

• Завантаження прошивки та налаштування пристрою
• ДВОНАПРАВЛЕНА комунікація
• Незашифрована (використовується лише в ізольованих мережах)
• Потрібен лише під час оновлення прошивки
• Можна вимкнути поза вікнами обслуговування

Примітка: під час процесу налаштування пристрою в ABB Ability™ EM &AM переконайтеся, що ваш фаєрвол правильно налаштований відповідно до активних портів, зазначених вище. Якщо виникнуть проблеми зі зв'язком, спробуйте тимчасово вимкнути фаєрвол, увімкнувши його знову після завершення процесу Provisioning.