Es lógico tratar la ciberseguridad como una cuestión específica, por lo sensible que resulta en nuestro sector industrial.

groov EPIC está diseñado desde su origen para aportar los mayores niveles de seguridad a los sistemas industriales en los que participe.

Revisamos diferentes aspectos afectados y cómo groov EPIC se enfrenta a cada uno de ellos.

 

Cuestiones de base

  • groov EPIC no usa Sistema Operativo Windows ni herramientas propietarias desarrolladas por terceros.
  • El dispositivo es sólo accesible desde una conexión IT segura a través del puerto :443 con comunicación encriptada.
  • groov EPIC sólo permite conexiones por https, nunca por http.
  • TLS y SSL aportan la seguridad en las comunicaciones sobre la red informática.
  • Dispone de dos interfaces de red Ethernet completamente aisladas para segmentar redes IT y OT e impedir por defecto el tráfico entre ellas.
  • Firewall de dispositivo incorporado que bloquea todo el tráfico entrante, salvo para las aplicaciones, interfaces, puertos y usuarios que hayamos preconfigurado.
  • Gestión completa de perfiles de usuarios, limitando el acceso a aplicaciones, servicios y funcionalidades, tales como las opciones de visualización u operación.
  • groov EPIC no permite transferencias FTP / SFTP al dispositivo.
  • La interfaz HMI groov VIEW no admite plugins de tipo Java o ActiveX (los métodos más empleados para introducir virus y conseguir acceso no autorizado en sistemas de producción).
  • groov EPIC dispone de un Cliente Seguro VPN para la conexión directa al Servicio de Soporte Remoto (RSS) de Opto 22.

Integridad del Sistema Operativo

  • El EPIC Linux RTOS (firmware de groov EPIC) está construido sobre Yocto en fábrica por Opto22, eliminando todas sus características innecesarias para nuestras aplicaciones industriales.
  • El Sistema Operativo EPIC Linux está criptográficamente firmado mediante una Clave Privada de Opto22.
  • Por tanto, sólo las actualizaciones certificadas por Opto22 y provenientes del repositorio de Opto22 pueden ser instaladas en el dispositivo.
  • No es posible instalar otros sistemas operativos o versiones.
  • No existe acceso de usuario ni de administrador al nivel de Sistema Operativo.
  • Todas las actualizaciones de firmware y de seguridad son gestionadas y suministradas por Opto22.
  • Estas actualizaciones han de ser instaladas manualmente por el administrador de red (no hay actualizaciones automáticas).

Auditoría de actividad

  • groov EPIC registra continuamente todos los mensajes internos que genera el sistema en una especie de “caja negra”.
  • Se mantienen 7 logs diferentes para cada subsistema, registrando toda la actividad e interacción de los usuarios, aplicaciones externas y recursos internos.
  • Por ejemplo, permite establecer la actividad de un usuario que se conecta en remoto un día especifico, qué páginas visitó, el orden y tiempo de navegación, órdenes efectuadas y valores modificados.
  • Los logs incluyen por ejemplo el detalle del uso del hardware, los servicios y recursos, actividad en Node-RED y también de la pantalla local y/o externa.

¿Alguna duda sobre groov EPIC y la Ciberseguridad?

No dudes en consultarnos y te aclararemos cualquier cuestión.