Удаленный доступ к автоматизированным технологическим системам. Часть 2

В первой части статьи мы остановились на том, что для организации подключения к виртуальному рабочему столу и соблюдения законодательных требований по защите доступа к определенным технологическим сетям необходимо создать VPN-подключение. VPN (от англ. Virtual Private Network – виртуальная частная сеть) -- это название технологий, позволяющих включать в закрытий контур сети элемент, который инфраструктурно связан с ней через другие сети, например Интернет.

При VPN-подключении данные между удаленным клиентом и технологической сетью будут идти через открытую сеть, но при этом для их защиты будет использоваться весь доступный инструментарий криптографии. VPN можно организовать как на программном, так и на аппаратном уровне.

VPN: программный уровень

VPN может быть организован путем установки специального программного обеспечения. Наиболее распространенная программа – OpenVPN, либо можно воспользоваться встроенными средствами операционной системы. Достаточно иметь простейший роутер на входе в сеть (SOHO-устройство).

Очевидный недостаток такого подхода в том, что вся вычислительная нагрузка на шифрование, туннелирование и прочее ложится на вашу технологическую сеть. Но есть различные платные сервисы, которые предлагают более совершенные алгоритмы шифрования, использование дополнительных вычислительных мощностей и поддержку сложных протоколов. Еще один минус – довольно низкая надежность подключения при большой нагрузке.

В целом решение выглядит достаточно интересным для редких удаленных сеансов ограниченной группы пользователей. Идеально для сравнительно небольшой технологической сети.

VPN: аппаратный уровень

Организация VPN на аппаратном уровне требует, исходя из названия, покупки/наладки/обслуживания определенного оборудования. Это дорогостоящий инструмент, отличающийся практически неограниченной безопасностью, эффективностью и масштабируемостью. В данном случае нагрузка на создание VPN ложится на специальные межсетевые экраны, поддерживающие протоколы IPSEC, которые выпускаются такими компаниями, как Cisco, Palo Alto, Juniper и др. Экраны ставятся на вход в сеть. На клиентской стороне устанавливается специальное программное обеспечение, поставляемое совместно с оборудованием, оно может скачиваться при обращении к устройству. Например, для большинства межсетевых экранов производства компании Cisco используется программа Cisco AnyConnect.

Использование таких аппаратных средств, помимо перечисленных ранее общих преимуществ VPN, позволит снизить вычислительную нагрузку на технологическую сеть и даст доступ к современным технологиям и функциям безопасности, которые производители закладывают в свое оборудование, таким как разделение туннелей трафика (корпоративного и личного), шифрование трафика отдельных приложений для снижения нагрузки на криптографию, автоматическая проверка клиентского АРМ на соответствие общим требованиям безопасности и т.д.

Многофакторная аутентификация

Отдельно можно обратить внимание на аутентификацию при VPN-соединении. Понятно, что даже самая простая программа имеет логин и пароль для опознавания подключающегося клиента. Другой вопрос, считает ли клиент такой способ аутентификации надежным для подключения к важной сети. Более интересное решение – использование многофакторной аутентификации. Самый распространенный и надежный инструмент – подтверждение личности клиента двумя способами: через стандартную процедуру "логин/пароль" и закрытый ключ аппаратного устройства, которым может служить USB-токен или мобильный телефон с ПИН-кодом. Также распространена, но менее надежна двухфакторная аутентификация с СМС-кодом. Есть варианты с подтверждением по корпоративной электронной почте, но они представляются наименее интересными и доступными. Во-первых, часто логин и пароль к корпоративной почте являются также логином/паролем к рабочей станции, что при использовании e-mail с открытой сети, скажем, не совсем безопасно. А во-вторых, на некоторых предприятиях доступ к почте не из корпоративной сети просто закрыт.

Еще один важный момент: само по себе подключение к VPN не даст вам выход к виртуальному рабочему столу, это просто защищенный вход в технологическую сеть. Для удаленного подключения к рабочему столу в этом случае можно воспользоваться тем же RDP (его надежность, соответственно, существенно вырастет), либо использовать комплексное предложение, которое, помимо программы для организации VPN, включает в себя и виртуальный рабочий стол, и дополнительную многофакторную аутентификацию, и динамический контроль доступа, и прокси-сервер, и журналы действий пользователей, и многое другое, что позволяет организовать безопасное удаленное подключение для большого числа пользователей, применяющих самое разное оборудование – от моноблоков на РЕД ОС до мобильных устройств. На рынке сейчас достаточно много подобных предложений.

Создание облачного сервера сети

Пожалуй, самым высокотехнологичным и радикальным инструментом организации доступа к технологической сети является создание облачного сервера сети. Все подключения к нему будут априори носить удаленный характер. Не потребуется никакого дополнительного программного обеспечения и серьезной вычислительной мощности на клиентской стороне. Существующие сервисы просто ломятся от запатентованных технологий аутентификации, шифрования, защищенного подключения, контроля трафика, регистрации действий пользователей и прочего. К серверу можно будет безопасно подключиться из любой точки мира, база данных и конфигурация станут постоянно резервироваться, а на страже контура будут самые современные технологии информационной безопасности.

Крупнейшие в мире производители промышленного технологического оборудования (Siemens, General Electric, SAP и др.) активно развивают направление SaaS, а мы пока остановимся на очевидных минусах.

Во-первых, на сегодняшний день это не просто дорого, а очень дорого.

Во-вторых, технологическую сеть на базе облачного сервиса надо еще создать, что подразумевает затраты на соответствующую сетевую инфраструктуру на стороне оборудования и очень дорогую наладку. Выходом в определенной мере является использование специализированных облачных сервисов, которые представляют те же производители оборудования и разработчики ПО, но они, как правило, являются иностранными компаниями, что несколько противоречит 187-ФЗ.

Обычный 3G-модем

На практике распространенным среди инженеров на объектах способом является предоставление удаленного доступа к оборудованию сверхзащищенной сети через обычный 3G-модем, несанкционированно установленный на сервере. Логика простая: от безопасников и сисадминов ничего не дождешься, а работу выполнять надо, тем более что это только один раз. Ну максимум два. Понятно, что эти действия чаще всего предпринимаются на постоянной основе и могут похоронить всю выстраиваемую на корпоративном уровне политику информационной безопасности и иметь необратимые последствия на технологическом уровне: нередки случаи, когда управление целыми заводами останавливалось из-за вируса-шифровальщика, случайно занесенного на сервер АСУ ТП. Однако в таких вопросах вина нередко действительно лежит на сотрудниках отделов информационной безопасности, которые вместо организации нормального удаленного доступа предпочитают "завинтить гайки" и отрезать любой доступ к технологической сети. А ведь задачу информирования персонала и организационной работы с ним тоже никто не отменял.

Доступ к оборудованию полевого уровня

Все описанное напрямую относится ко входу в технологическую сеть, но при этом задача предоставления удаленного доступа может быть более узконаправленной и относиться только к конкретному сетевому элементу, оборудованию полевого уровня. В России до сих пор в географически распределенных автоматизированных системах часто применяют GSM-терминалы для удлинения интерфейса RS-485 (особенно в электроэнергетических системах, системах учета, технологического мониторинга). Оставим в стороне вопрос безопасного использования беспроводной связи в технологических сетях, это тема отдельной дискуссии, и просто примем ее наличие как свершившийся факт. В этом случае получение удаленного доступа к конечному устройству на полевом уровне фактически не затрагивает технологическую сеть, а для подключения достаточно знать номер сим-карты терминала, связной номер устройства, пароль для доступа (необходимого для данной операции уровня) и, желательно, расписание опроса терминала с информационного уровня технологической сети (для отсутствия пересечений с основным технологическим процессом). Очень удобный метод для вынужденной конфигурации оборудования или мониторинга его работы. Но за удобство, как это часто бывает, расплачиваются безопасностью.

Во-первых, никакой аутентификации пользователей в этом случае не предусмотрено. Во-вторых, злоумышленное использование даже такой элементарной информации, как номер сим-карты, может обрушить работу сети на данном участке: достаточно постоянно занимать линию и вы до прибора учета никогда не дозвонитесь. Ну и в-третьих, доступ к оборудованию полевого уровня может быть интересен некоторым лицам на постоянной основе. Ваши конкуренты с удовольствием будут получать данные со счетчиков готовой продукции, а смежная электросетевая компания спит и видит, как получить возможность собственной синхронизации времени установленных на границе приборов учета электроэнергии.

Наиболее логичным шагом будет просто запретить такой доступ и хранить в тайне все адреса и пароли, но это не всегда возможно. Технических средств, которые позволят создать логичную структуру информационной безопасности, также нет (не считать же таковым активный разветвитель интерфейса с еще одним модемом на приоритетном порте). Таким образом, остаются только организационные мероприятия, которые можно кратко сформулировать следующим образом:

* не давайте пароль высокого уровня для простых операций (если пароля низкого уровня нет, создайте его, благо такая функция есть практически на всех типах устройств);

• всегда меняйте пароль после его использования третьими лицами;
• тщательно выверяйте расписание опроса устройств по GSM-каналу;
• регулярно меняйте связные номера устройств, пароли;
• осуществляйте мониторинг подключений к устройству в первое время после предоставления данных для организации удаленного доступа;
• задумайтесь об организации проводных каналов связи там, где это возможно.

Указанные меры могут выглядеть несколько излишними, но даже их частичное применение позволит существенно увеличить безопасность в отношении устройств на GSM-каналах. Оборудование, включенное в технологическую сеть по физическим каналам, также может опрашиваться и конфигурироваться без использования виртуального рабочего стола сервера сети, но для этого АРМ с конфигурационным программным обеспечением должен получить вход в сеть, а дальше смотрите параграф про VPN.

8 важных выводов

Так выглядит в очень простом изложении практически весь доступный инструментарий для организации безопасного удаленного доступа до элементов технологической сети. Резюмируем все вышесказанное:

1. Вопрос создания безопасного удаленного доступа к технологическим сетям в большинстве случаев является первостепенным для обеспечения нормального функционирования технологического оборудования компании.
2. Наиболее практичным инструментом для организации удаленного доступа является VPN.
3. В зависимости от имеющегося бюджета можно организовать VPN-сеть с защитой как на программном, так и на аппаратном уровне, причем последняя дороже, но эффективнее.
4. Прямой доступ к отдельным элементам технологической сети также лучше организовать через VPN.
5. Чем больше современных технологий вы используете, тем более безопасным, медленным и дорогим становится соединение.
6. Одной из проверенных и надежных технологий, направленных на создание безопасного удаленного подключения, является многофакторная аутентификация.
7. Использование незащищенных RDP-подключений и беспроводных модемов недопустимо, но для того, чтобы исключить такие случаи, надо организовать нормальный удаленный доступ к технологической сети.
8. Самая технически безопасная сеть может оказаться уязвимой, если в компании отсутствует внятная политика информационной безопасности и не ведется работа с персоналом.

Я же надеюсь, что мне как автору статьи удалось показать, что информационная безопасность при удаленном доступе – это не нечто сложное и малодоступное, а вполне логичная и понятная сфера, которую обязательно надо развивать, причем не в ущерб основному производству.

Опубликовано в журнале "Системы безопасности" №3/2020

Редакция советует

В статье обоснована актуальность вопросов удаленного доступа к технологическим сетям, описаны требования к информационной безопасности, варианты предоставления удаленного доступа к сети в зависимости от задач (контроль или управление).

Решение по удаленному доступу предоставляют партнеры проекта "Информационная безопасность": ОКБ САПР – российский разработчик программно-аппаратных средств защиты информации (СЗИ) от несанкционированного доступа (НСД), и Perimetrix – разработчик уникальных решений для реализации режима конфиденциальности данных, которые обеспечивают защиту документов ограниченного доступа на всех этапах жизненного цикла, мониторинг каналов коммуникаций и аудит электронных операций.