Подписка

Предоставление безопасного удаленного доступа к автоматизированным технологическим системам. Часть 1

Ярослав Мироненко, 19/06/20

В данной статье освещены практические особенности организации безопасного удаленного доступа и современные технологии, которые, с одной стороны, позволяют обеспечить стабильное подключение, а с другой – оставляют ваши данные конфиденциальными. Акцент сделан на специфике подключения к технологическим системам, но универсальность используемой ИТ-инфраструктуры и общие принципы сетевого администрирования делают ее полезной при рассмотрении вопросов удаленного подключения к любой сети.

Вопрос предоставления удаленного доступа к отдельным элементам ИT-инфраструктуры никогда не был так актуален, как сегодня. Многие предприятия полностью отказались от посещения сотрудниками офисов, а подрядными организациями – технологических объектов. При этом в условиях, когда деятельность некоторых компаний может полностью приостановиться, многие системные администраторы или лица, их заменяющие, не обращают внимание на обеспечение элементарной информационной безопасности.

Удаленный доступ – Must-Have для бизнеса

Для многих системных администраторов и специалистов по информационной безопасности выражение "безопасный удаленный доступ" является априори из области фантастики. В некотором смысле они правы. Предоставление удаленного доступа может повысить уязвимость системы подобно тому, как любые ворота существенно повышают уязвимость самой неприступной крепости. Тем не менее в средневековых замках ворота были обычным делом, а вот в некоторых российских компаниях удаленный доступ подрядчику для мониторинга технологической сети представляется несбыточной мечтой.

Во-первых, хотелось бы отметить, что удаленный доступ сегодня – это не безумная хотелка ленивого подрядчика и крайнее средство при введении режима самоизоляции при вирусной инфекции. Удаленный доступ часто является единственно возможным условием организации постоянного онлайн-мониторинга разветвленных технологических систем. Без предоставления удаленного доступа существенно возрастает стоимость проведения работ по техническому обслуживанию, оперативной настройке и элементарной перезагрузке оборудования. В некоторых экстренных случаях удаленный доступ просто необходим для подключения специалистов производителя и обслуживающей организации. Для компаний, которые передают вопросы обслуживания и эксплуатации на аутсорсинг, отсутствие удаленного доступа снижает оперативность, качество и объем выполнения работ подрядчиками. Наконец, некоторые контролирующие организации требуют предоставления удаленного доступа к компонентам технологических систем на время проведения тех или иных испытаний (например, АО "АТС" и АО "СО ЕЭС" в энергетике).

Во-вторых, современный уровень технологий позволяет организовать удаленный доступ с достаточной разумной степенью защищенности даже при минимальных вложениях в развитие ИT-инфраструктуры.

Эффективный формат проекта "Системы безопасности"

В-третьих, абсолютно защищенной не может быть даже полностью закрытая сеть. А ведь технологические сети тем или иным образом всегда связаны с корпоративной сетью или Интернетом. То есть даже при отсутствии удаленного доступа к элементам сети риск появления и обнаружения злоумышленниками уязвимостей в контуре безопасности сохраняется.

Под предлогом недопустимости увеличения этого риска и действуют различные сетевые службы, полностью пресекая любые предложения по организации "удаленки". Тем не менее вопрос поддержания информационной безопасности состоит не в ограничении производственной функциональности объекта, а в обеспечении его безопасной работы в рамках, необходимых для выполнения задач. И подобно тому, как бухгалтерия не может управлять заводом (хотя это и распространенное на практике явление в российских реалиях), специалисты информационной безопасности должны выполнять свою работу и искать безопасные технологические решения, а не ограничивать деятельность компании в целом под предлогом отказа от рискованных операций. Вероятный негативный эффект от предоставления удаленного доступа чаще связан с неправильно поставленной общей структурой обеспечения информационной безопасности, чем с конкретными действиями с удаленного компьютера.

Требования, без выполнения которых не стоит и начинать

Для начала обозначим общий круг вопросов, которые нужно решить в технологической сети автоматизированной системы до ее выхода в свет внешней сети. В целом все это элементарные действия, которые должны быть в любом стандарте предприятия или в инструкции по работе системного администратора, но не лишним будет их повторить:

  • при подключении к сетевым элементам должна функционировать идентификация и аутентификация пользователей;
  • должен регулярно проводиться аудит информационной безопасности;
  • должна быть организована антивирусная защита;
  • необходимо обеспечение целостности и доступности сети;
  • должна быть организована защита автоматизированной системы и ее компонентов, а также прочих элементов технологической сети;
  • должно осуществляться централизованное управление конфигурацией сети;
  • должно регулярно выполняться обновление программного обеспечения;
  • на предприятии должна быть разработана политика информационной безопасности, учитывающая реагирование на инциденты информационной безопасности, инструкцию действий в нештатных ситуациях, планирование мероприятий по обеспечению безопасности;
  • должно быть проведено информирование и обучение персонала.

Все вышеперечисленные действия должны быть уже предусмотрены в компании. Если их нет, то вопрос организации удаленного доступа лучше отложить до их появления. Так будет намного безопаснее.

Только контроль или полноценное управление?

Предположим, что все общие требования реализованы и вы готовы дать доступ к оборудованию сети. Прежде всего надо сформулировать и понять задачу, стоящую в каждой конкретной ситуации перед специалистами, которые будут подключаться извне.

Демонстрация экрана

В некоторых случаях, когда их присутствие необходимо только для контроля действия персонала на месте, вообще не имеет смысла организовывать удаленный доступ, а можно использовать специальное программное обеспечение, позволяющее демонстрировать пользователям экран рабочего стола (например, сервис Google Hangouts). Никакого удаленного управления здесь нет, но специалисту на той стороне будет удобно следить за действиями персонала на месте.

Виртуальный рабочий стол

Если все-таки необходимо удаленное управление, то надо четко ограничить контур допуска. Как правило, в автоматизированных системах конфигурация даже отдельного технологического узла возможна только с информационного уровня, которым является сервер системы. То есть для выполнения работы с автоматизированной системой надо не просто предоставить доступ в сеть либо к файловой структуре сервера, но и организовать виртуальный рабочий стол. Бывают и исключения, когда сконфигурировать устройство или осуществить мониторинг его работы можно с любого АРМ, просто к нему подключенного, либо когда достаточно иметь доступ к файловой структуре оборудования сети для заливки конфигурационного файла. О некоторых этих исключениях мы поговорим несколько позже, а пока остановимся на организации виртуального рабочего стола.

Работа в системе в этом случае будет происходить под действующими профилями. Так как по "удаленке" в большинстве случаев выполняются пусконаладочные работы на действующем оборудовании, эти профили должны иметь достаточный уровень прав для установки приложений и изменения уже установленных, для работы с текущими процессами и службами в операционной системе и др. То есть профили, под которыми будет проходить работа сотрудника на удаленном рабочем месте, будут привилегированными. Очень редко в технологической сети действует мониторинг действий таких пользователей, но если вы действительно заинтересованы в создании нормально действующей системы безопасности, то лучше организовать подобную систему контроля. А еще лучше распространить ее не только на технологическую сеть с удаленным доступом, но и на локальную корпоративную. Предложений на рынке масса как от отечественных, так и от зарубежных компаний, а их стоимость сравнительно невысока.

Удобное ПО для предоставления доступа

Теперь после выполнения всех организационных мероприятий можно приступить к собственно организации удаленного доступа к технологическому оборудованию из внешней сети. При рассмотрении технического аспекта организации удаленного доступа клиент без глубоких знаний вопросов системного администрирования сталкивается с большим количеством терминов и определений, которые трудно идентифицировать, отличить друг от друга, и, наконец, просто использовать. В рамках данной статьи мы постараемся дать максимально полезный блок информации, в котором читателю не придется искать различия между терминами "протокол" и "запатентованная технология", но будут понятно и доходчиво определены необходимые инструменты, описаны их преимущества и недостатки.

Первый и самый простой из обычно используемых способов организации удаленного доступа – это установка программного обеспечения для подключения к виртуальному рабочему столу. На рынке представлено множество подобных решений, среди них TeamViewer, Radmin, RMS, Remote Deskop Client от Microsoft и т.д. Все эти программы находятся в очевидном топе при подключении к технологической сети: они удобные, простые в установке (есть стандартная программа для Windows), многие имеют свободные лицензии, не требуют серьезного обучения персонала на объекте. Плюсом идет активное развитие технологий шифрования для защиты передаваемой информации. В целом такое решение выглядит достаточно интересным для предоставления доступа к технологической сети, которая имеет выход в Интернет.

На что обратить внимание?

Часто технологические сети автоматизированных систем имеют ограниченный набор сетевых портов для доступа к Интернету, что обосновано требованиями информационной безопасности (более того, если это не сделано, то есть повод усомниться в квалификации ИT-персонала). Программы для организации доступа к виртуальному рабочему столу используют те же сетевые порты для собственной работы, и системный администратор для организации удаленного доступа должен их открыть. Для каждого ПО есть свой список портов, и используемый диапазон может быть достаточно широким, в то время как с точки зрения безопасности надо этот диапазон максимально снизить. Вот и получается серьезный критерий выбора программного обеспечения: чем меньше портов задействовано в его работе, тем проще обеспечить информационную безопасность.

Однако на практике использование такого программного обеспечения возможно только в отношении небольших изолированных сетей. Организация подключения по RDP сама по себе является удобным проходом в закрытую сеть, которым могут воспользоваться злоумышленники. Понятно, что едва ли можно ожидать скоординированной атаки на сервер технологической линии по производству стеклянной тары. Но в отношении крупной сети, в свою очередь соединенной со множеством других, действуют уже совсем иные правила, некоторые из них устанавливаются на законодательном уровне.

Лучший способ следовать законодательству

В Российской Федерации действуют два крупных нормативных документа, определяющих требования к защите доступа к определенным технологическим сетям:

  1. Федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры".
  2. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

Как и все документы в области информационной безопасности, они скорее являются руководствами по организационному обеспечению, чем реальными практическими стандартами. Тем не менее ответственность за сохранность сетевой инфраструктуры в отношении крупных промышленных объектов они устанавливают, а создание по инициативе или попустительству собственника сети открытой "дыры" в контуре защиты явно будет нарушением федерального законодательства.

В обозначенных условиях для организации подключения к виртуальному рабочему столу надо воспользоваться более надежным инструментом – создать VPN-подключение.

Редакция советует

В статье обоснована актуальность вопросов удаленного доступа к технологическим сетям, описаны требования к информационной безопасности, варианты предоставления удаленного доступа к сети в зависимости от задач (контроль или управление).

Решение по удаленному доступу предоставляют партнеры проекта "Информационная безопасность" – специализированный сервис-провайдер в сфере информационной безопасности, IT и консалтинга, лицензиат ФСБ России и ФСТЭК России компания "Инфосекьюрити", российский дистрибьютор специализированных решений систем управления внутренней безопасностью и оптимизации сетей Web Control , системный интегратор, консультант и поставщик комплексных решений в сфере защиты информации АО "ДиалогНаука" и другие.

Продолжение следует

Темы:Информационная безопасностьСКУДИдентификацияПрограммное обеспечениеУдаленный доступИТ-инфраструктураЖурнал "Системы безопасности" №3/2020Виртуальный рабочий стол

Хотите сотрудничать?

Выберите вариант!

 

Получить консультацию
Печатное издание
Интернет-портал
Стать автором
Комментарии

More...