Вопрос тянет на отдельную книгу, как мне кажется. Но поскольку деталей нет, общие принципы примерно следующие:
1. Изолированная локалка, если используется. Отсутствие радио каналов (любых, вифи, 433 и тп). Если уж ну ваще никак, предусматривайте ситуацию, что канала нет, или данные по каналу приходят поддельные, в т.ч. со злым умыслом.
2. Если прямо необходимо чтоб железки что-то тянули с интернета - к примеру, дополнительный linux шлюз, разрешающий только то что надо. Вариации с прямым доступом из тырнета в железо отметайте сразу.
3. Шифруйте данные по сети. Не используйте слабые шифры.
4. Не используйте простые пароли (да, 2018 год).
5. Правильно конфигурируйте службы, аккуратно выставляйте доступ к файлам.
6. Про железную часть не пишу. Но вопрос защиты от перенапряжения, выгорания портов, резервирования функционала и тп тоже относится к безопасности.
7. Бэкапы и резервирование не должны быть для вас пустым звуком.
8. [....]
Ну, думаю направление мыслей понятно.
