The post has been translated automatically. Original language: Russian
All connections between devices must be authenticated and encrypted.
One of the main trends changing industrial cybersecurity is the zero trust architecture. You stop considering anything safe just because it's inside your firewall. Every connection between the devices must be authenticated and encrypted. When your human-machine interface connects to your PLC, both sides need to check who they are communicating with.
This level of verification is carried out using certificates — for example, verification of identity cards at both ends of a conversation. TLS encryption with proper certificate management protects data wherever it is transmitted. You're not just using passwords that can be guessed or stolen. Each device has its own cryptographic certificate confirming its authenticity. Even if someone intercepts your data, they won't be able to read it or impersonate your hardware.
Outbound communications initiated on the periphery of the network solve another huge cybersecurity problem. Instead of external systems connecting to your networks and controllers to receive data, your peripherals send data when they are ready. You publish data via MQTT to those who need it, but no one can access it or interfere with your management systems. Your equipment becomes invulnerable to remote hacking because it does not accept incoming connections.
You are trying to protect your factory without slowing down or making life difficult for the operators and maintenance team. But intelligent manufacturing depends on the exchange of data between systems. The zero-trust architecture and data exchange initiated at the edge of the network help make this data exchange more secure.
The concept of zero trust using proper certificates means that you know exactly what is being transmitted over your network. Temperature readings from tank No. 1? You know that they really came from the sensor of reservoir No. 1, and not from someone who faked the data to cause problems. Your operators can trust what they see on their screens because every piece of data is cryptographically verified.
Transferring data directly to the network's edge provides a huge advantage: your management systems continue to work even if your IT network is compromised. Since your PLCs and peripheral controllers transmit data only via MQTT, attackers cannot gain access to the data to change the set values or force the output parameters. When a ransomware attack reaches the office, your production lines don't even notice it. Transferring data only from the outside is crucial — your MES system receives production data without being able to control the equipment.
MQTT with TLS reduces network traffic and helps protect data. The MQTT publish/subscribe architecture eliminates polling interference that clogs industrial networks. Instead of hundreds of clients asking the controller "what are your values?" every second, the devices publish data only when the values change. This reduces network traffic by 90% or more compared to traditional polling/response protocols such as OPC UA or Modbus/TCP.
When the controller on the edge of the network connects, it publishes data containing a "birth certificate", which defines each tag, its data type and units of measurement. Subscribers of this data know exactly what they are receiving and receive only what they need. The TLS layer encrypts all data and verifies certificates on both ends. Even if someone intercepts the network, they will only see an encrypted, meaningless set of characters.
These cybersecurity technologies are suitable for both new and existing production sites. Peripheral gateways create secure proxy servers for outdated equipment that cannot handle modern communications protected from cyber attacks. Your 20-year-old PLC communicates via Modbus protocol with the gateway. The gateway then packages this data into encrypted, authenticated MQTT messages. You get modern security without affecting the working control logic.
Depending on the industry, you face different security issues. Here are some industries where modern cybersecurity solutions bring the greatest benefits.
Water supply and sanitation systems have many remote facilities, such as pumping stations, pumping depots, and sewage treatment plants, located several kilometers apart. Controllers on the network's periphery with MQTT support and cellular connectivity ensure secure processing of remote installations. Each remote object transmits its data via encrypted channels. No one can hack into the system over a cellular connection, because the device does not accept incoming connections. You carry out centralized monitoring, while each object remains protected.
In the oil and gas industry, it is necessary to protect both pipeline SCADA systems and refinery control systems. The "zero trust" architecture helps here because you stop trusting devices just because they are on your OT network. Every flow meter, every RTU, and every control valve actuator must be authenticated. When contractors bring equipment for maintenance, it cannot interact with your systems without proper certificates.
Digital transformation and Unified Namespace (UNS) projects pose new security challenges. You combine hundreds of different machines—of different ages, brands, protocols—into a single data architecture. Certificate-based MQTT peripherals become your security layer. Each machine publishes data to your UNS through encrypted channels, while legacy hardware remains protected behind peripheral gateways. Your 1990s hardware joins your Industry 4.0 initiative without compromising security.
Is your main problem in implementing cybersecurity? Break what works. Your 20-year-old PLC is working flawlessly. You can't risk production downtime to add security features it wasn't designed for. Modern peripheral gateways solve this problem by placing them next to existing equipment, monitoring and protecting communications without affecting the control logic.
Outdated equipment creates real problems. Older devices do not support certificates or encryption. They exchange data over serial networks or use Modbus/TCP and other protocols that do not have built-in protection. But peripherals with integrated protocol translation can communicate with your old hardware and securely transmit data over your network using encrypted MQTT communication. Your outdated equipment remains intact while receiving modern protection.
Все соединения между устройствами должны быть аутентифицированы и зашифрованы.
Одной из главных тенденций, меняющих промышленную кибербезопасность, является архитектура нулевого доверия. Вы перестаёте считать что-либо безопасным только потому, что это находится внутри вашего брандмауэра. Каждое соединение между устройствами должно быть аутентифицировано и зашифровано. Когда ваш человеко-машинный интерфейс подключается к вашему ПЛК, обе стороны должны проверять, с кем они общаются.
Такой уровень проверки осуществляется с помощью сертификатов — например, проверка удостоверений личности на обоих концах разговора. Шифрование TLS с надлежащим управлением сертификатами защищает данные везде, где они передаются. Вы используете не просто пароли, которые можно угадать или украсть. Каждое устройство имеет свой собственный криптографический сертификат, подтверждающий его подлинность. Даже если кто-то перехватит ваши данные, он не сможет их прочитать или выдать себя за ваше оборудование.
Исходящие коммуникации, инициируемые на периферии сети, решают еще одну огромную проблему кибербезопасности. Вместо того чтобы внешние системы подключались к вашим сетям и контроллерам для получения данных, ваши периферийные устройства отправляют данные, когда они готовы. Вы публикуете данные через MQTT тем, кому они нужны, но никто не может получить к ним доступ и вмешаться в работу ваших систем управления. Ваше оборудование становится неуязвимым для удаленного взлома, поскольку оно не принимает входящие соединения.
Вы пытаетесь защитить свой завод, не замедляя работу и не усложняя жизнь операторам и команде технического обслуживания. Но интеллектуальное производство зависит от обмена данными между системами. Архитектура с нулевым доверием и обмен данными, инициируемый на периферии сети, помогают сделать этот обмен данными более безопасным.
Концепция нулевого доверия с использованием надлежащих сертификатов означает, что вы точно знаете, что передается по вашей сети. Показания температуры из резервуара № 1? Вы знаете, что они действительно получены от датчика резервуара № 1, а не от кого-то, кто подделал данные, чтобы вызвать проблемы. Ваши операторы могут доверять тому, что видят на своих экранах, потому что каждый фрагмент данных криптографически проверен.
Передача данных непосредственно на периферии сети дает огромное преимущество: ваши системы управления продолжают работать, даже если ваша ИТ-сеть скомпрометирована. Поскольку ваши ПЛК и периферийные контроллеры передают данные только через MQTT, злоумышленники не могут получить доступ к данным, чтобы изменить заданные значения или принудительно установить выходные параметры. Когда атака программ-вымогателей достигает офиса, ваши производственные линии даже не замечают этого. Передача данных только извне имеет решающее значение — ваша MES-система получает производственные данные, не имея возможности управлять оборудованием.
MQTT с TLS снижает сетевой трафик и помогает защитить данные. Архитектура MQTT «публикация/подписка» устраняет помехи от опроса, которые засоряют промышленные сети. Вместо сотен клиентов, каждую секунду спрашивающих контроллер «каковы ваши значения?», устройства публикуют данные только тогда, когда значения изменяются. Это позволяет сократить сетевой трафик на 90% и более по сравнению с традиционными протоколами опроса/ответа, такими как OPC UA или Modbus/TCP.
Когда контроллер на периферии сети подключается, он публикует данные, содержащие «свидетельство о рождении», в котором определяется каждый тег, его тип данных и единицы измерения. Подписчики этих данных точно знают, что получают, и получают только то, что им нужно. Слой TLS шифрует все данные и проверяет сертификаты на обоих концах. Даже если кто-то перехватит сеть, он увидит только зашифрованный бессмысленный набор символов.
Эти технологии кибербезопасности подходят как для новых, так и для существующих производственных площадок. Для устаревшего оборудования, которое не может обрабатывать современные, защищенные от кибератак коммуникации, периферийные шлюзы создают безопасные прокси-серверы. Ваш 20-летний ПЛК обменивается данными по протоколу Modbus со шлюзом. Затем шлюз упаковывает эти данные в зашифрованные, аутентифицированные сообщения MQTT. Вы получаете современную безопасность, не затрагивая работающую логику управления.
В зависимости от отрасли вы сталкиваетесь с различными проблемами безопасности. Вот некоторые отрасли, где современные решения в области кибербезопасности приносят наибольшую пользу.
Системы водоснабжения и водоотведения имеют множество удаленных объектов — насосные станции, насосные депо, очистные сооружения, расположенные на расстоянии нескольких километров друг от друга. Контроллеры на периферии сети с поддержкой MQTT и сотовой связью обеспечивают безопасную обработку удаленных установок. Каждый удаленный объект передает свои данные по зашифрованным каналам. Никто не сможет взломать систему через сотовую связь, поскольку устройство не принимает входящие соединения. Вы осуществляете централизованный мониторинг, при этом каждый объект остается защищенным.
В нефтегазовой отрасли необходимо защищать как системы SCADA трубопроводов, так и системы управления нефтеперерабатывающими заводами. Архитектура «нулевого доверия» здесь помогает, поскольку вы перестаёте доверять устройствам только потому, что они находятся в вашей сети OT. Каждый расходомер, каждый RTU, каждый привод регулирующего клапана должны проходить аутентификацию. Когда подрядчики привозят оборудование для технического обслуживания, оно не может взаимодействовать с вашими системами без соответствующих сертификатов.
Проекты цифровой трансформации и унифицированного пространства имен (UNS) создают новые проблемы безопасности. Вы объединяете сотни разнообразных машин — разных возрастов, марок, протоколов — в единую архитектуру данных. Периферийные устройства с MQTT на основе сертификатов становятся вашим уровнем безопасности. Каждая машина публикует данные в ваше UNS через зашифрованные каналы, в то время как устаревшее оборудование остается защищенным за периферийными шлюзами. Ваше оборудование 1990-х годов присоединяется к вашей инициативе «Индустрия 4.0» без ущерба для безопасности.
Ваша главная проблема при внедрении кибербезопасности? Сломать то, что работает. Ваш 20-летний ПЛК работает безупречно. Вы не можете рисковать простоем производства, чтобы добавить функции безопасности, для которых он не был предназначен. Современные периферийные шлюзы решают эту проблему — они размещаются рядом с существующим оборудованием, отслеживая и защищая коммуникации, не затрагивая логику управления.
Устаревшее оборудование создает настоящие проблемы. Более старые устройства не поддерживают сертификаты или шифрование. Они обмениваются данными по последовательным сетям или используют Modbus/TCP и другие протоколы, не имеющие встроенной защиты. Но периферийные устройства со встроенной трансляцией протоколов могут взаимодействовать с вашим старым оборудованием и безопасно передавать данные по вашей сети, используя зашифрованную связь MQTT. Ваше устаревшее оборудование остается нетронутым, получая при этом современную защиту.
Share
