<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">

Smartere og mer bærekraftig produksjon

- En blogg fra Triple-S

Sikker fjerntilgang: Slik kommer du i gang

Covid-19-pandemien og et konstant økende trusselbilde gjør at sikker fjerntilgang til industrielle miljøer er viktigere enn noensinne. Har du ikke tatt tak i det, er det på tide å gjøre det nå.  

Usikre løsninger for fjerntilgang er en hyppig brukt metode for uvedkommende å få tilgang til de industrielle systemene. Samtidig er det en realitet at mye arbeid fremover vil bli utført ved hjelp av fjerntilgang, også etter at pandemien er over. Fjerntilgang sparer både tid, penger og miljø. Derfor er det viktig å ha en god løsning for sikker fjerntilgang på plass. I denne artikkelen vil vi gå gjennom hva du bør tenke på når du velger løsning, og hvordan du kommer i gang.  

Sikker fjerntilgang til større OT-miljø og fabrikkanlegg 

Ved fjerntilgang til et industrielt miljø (OT-miljø) må visse grunnfunksjoner på plass. Tilgang til et OT-Miljø medfører ofte større risiko enn tilgang til en enkelt maskin, siden man potensielt kan forårsake stans i hele produksjonen. Risikoanalyser av OT-miljø setter ofte sikker fjerntilgang som et av de viktigste tiltakene å starte med for å heve sikkerheten i anlegget. 

Last ned gratis e-guide: Cyber Security for industriell produksjon 
 
Brukeradministrasjon med definerte brukerrettigheter for hvem som har fjerntilgang, hva de har tilgang til, og når de har tilgang, samt to-faktor-autentisering bør være minimumskrav. Som sluttbruker må du vite hvem som er påkoblet til enhver tid, og hva de driver med. Enkelte systemer har full audit hvor det kan tas video opptak av all aktivitet som foretas. 
 
I tillegg er det viktig å sikre seg mot mulighet for direkte tilgang fra eksterne enheter rett inn i OT-miljøet, f.eks. fra en laptop hos en maskinleverandør til en arbeidsstasjon i OT-miljøet. Grunnen til dette er at det i de fleste OT-miljø finnes en rekke sårbarheter man ikke får gjort noe med. Det er også gjerne eldre operativsystemer i slike miljøer som hverken kan oppdateres eller patches. Direkte kobling mellom eksterne usikrede nettverk og enheter inn til OT-miljøet utgjør en stor risiko og bør unngås. 
 
For å løse dette kan teknologi tilsvarende det som benyttes for nettbank tas i bruk. Dette fungerer ved at det eneste som overføres fra datamaskinen man kobler opp med, er SSL-krypterte skjermbilder og input via musbevegelser og tastatur. Det vil fjerne muligheten til å overføre skadevare direkte inn i det sårbare miljøet. 

Eksempel på løsning: Secure Remote Access (SRA) fra Claroty

Claroty SRA går ett skritt videre ved å tilby en helhetlig portal for alle som har behov for fjerntilgang til OT-systemet. Claroty SRA gir støtte for et stort antall fjernbrukere uten å kreve ulike VPN-servere plassert rundt i OT-miljøet. Det er kun behov for å åpne en port i brannmuren, noe som forenkler administrasjon og reduserer angrepsflaten. 
 
Claroty SRA gir full kontroll over hvem som har fjerntilgang, når de har fjerntilgang og hva de har fjerntilgang til. Tidspunkt for når man har fjerntilgang er styrt via regler man setter opp i SRA-portalen. To-faktor-autentisering ved bruk av Microsoft Authenticator eller tilsvarende apper benyttes for sikker pålogging. 
 
Man kan også sette en automatisk begrensning for hvor lenge fjerntilgang skal være aktiv slik at man ikke må huske å tilbakekalle fjerntilgangen. All aktivitet logges og lagres som et videoopptak slik at man senere kan se til minste detalj hva som ble utført under fjerntilgangen. 

Claroty-SRA


Claroty SRA splitter all trafikken i to separate VPN-tunneler. En VPN-tunnel mellom fjernbruker og SRA Central (SAC) med SSL kryptering (https) og en annen VPN-tunnel med SSH-kryptering mellom SRA Central og SRA Site. 
 
Å splitte VPN-tunnelene fjerner enhver mulighet for direkte kommunikasjon mellom fjernbrukere og OT-systemet, reduserer antall VPN-servere som må kobles til OT-nettverket og reduserer antall porter som må være åpne i brannmurene. 
 
Her kan du lese mer om Claroty Secure Remote Access

Hvordan komme i gang? 

Dagens teknologi åpner opp for nye muligheter, men introduserer samtidig ny risiko. Ved valg av fjerntilgangsløsninger må funksjonalitet og brukervennlighet vurderes opp mot sikkerhet. Mange sluttbrukere vil måtte sette strengere krav til sine samarbeidspartnere i tiden fremover, samtidig bør maskinbyggere, systemintegratorer og andre bidra til å redusere risiko overfor sine kunder. En god løsning som ivaretar begge parter er derfor viktig. 

Hos Triple-S AS har vi lang erfaring og solid kompetanse på automasjonsløsninger, industrielle nettverk, industrielle protokoller, Cyber Security og fjerntilgang til ulike OT-miljøer. Ta kontakt med oss for råd om sikker fjerntilgang. 

Prat med oss 

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering og industriell kommunikasjon rettet mot Olje og Gass, Havbruk, Industri og Offentlig sektor. De siste 5-6 år har han hatt ansvaret for Triple-S sin satsning på Cyber Sikkerhet i OT. Teamet han leder leverer løsninger for trusselovervåking og sårbarhetsanalyse for industrielle kontrollsystemer samt sikker fjerntilkobling og industrielle nettverk. Med kompetanse innen IEC 62443 har han også bistått kunder med rådgivende tjenester for risikoanalyse og kursing innen Cyber sikkerhet i OT. Knut-Erik brenner for sikker og lønnsom produksjon ved økt bruk av automatisering og robotisering.

Topics: Cyber security, Nettverk, Utvalgt

Abonnér på bloggen