<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">

Sikker fjerntilgang til kritisk infrastruktur og produksjonsindustri

Postet av Tormod Sæther den 24. april 2019

Ukritisk bruk av fjerntilgangen i virksomheten kan by på sikkerhetsutfordringer. Lener du deg på fjerntilgang til systemer og nettverk, bør du ha 100 prosent kontroll på hvem som har tilgang til hva, og tidspunkt for når de har tilgang.

Industri 4.0 gir produksjonsbedrifter og driftere av kritisk infrastruktur detaljert innsikt i produksjonen sin. Basert på data fra sammenkoblede enheter, kan fabrikksjefer identifisere ineffektiviteter, redusere kostnader og minimere nedetid. For å gjøre dette effektivt, er det ofte nyttig å gjøre dataene og informasjonen tilgjengelig for medarbeidere og samarbeidspartnere som befinner seg utenfor bedriftens fire vegger.

Fjerntilgang gjør dette mulig. Fjerntilgang tillater ansatte og leverandører å overvåke og utføre korrektive tiltak på ulike anlegg uten å reise ut til det fysiske anlegget. Det gir tilgang til maskiner og utstyr som ikke befinner seg på samme sted som deg, enten det er tilgang til serveren på kontoret eller tilgang til en maskin om bord på en fiskebåt.

Men ukritisk bruk av fjerntilgang kan også by på sikkerhetsutfordringer.

Se opptak fra webinaret "Risikoreduserende tiltak i et produksjonsnettverk"

Fjerntilgang og sikkerhetsutfordringer

Fjerntilgang byr utvilsomt på en rekke fordeler, men om du ikke har oversikt over hvem som har tilgang til hva, øker du også risikoen for utilsiktede hendelser og sikkerhetstrusler. I enkelte tilfeller har bedrifter mange ulike VPN-tilkoblinger inn i bedriften fra leverandører som skal gjøre service og vedlikehold. I andre tilfeller bruker bedrifter leverandører av drifts- og utviklingsoppgaver fra land hvor regelverket eller praksisen kan avvike fra norske krav til drift eller personvern. Utfordringen er at man ikke vet hvor godt sikret leverandøren er.

For eksempel har sikkerheten ved Equinors anlegg blitt satt i fare flere ganger, som en følge av outsourcing av IT-arbeid. NRK fant dokumentasjon på 29 hendelser hvor indiske IT-medarbeidere har brutt barrierer til plattformer, ladeanlegg og sentralt i Statoil. Blant annet stoppet en IT-arbeider i India produksjonen på et oljeraffineri på Mongstad i 2014, som en følge av tastefeil. Det samme året hadde også over 100 ansatte i det indiske selskapet adgang til hele Equinors dataanlegg.

 

Viktigheten av en god sikkerhetspolicy

Å ta kontroll over tilgangen begynner med å legge en god sikkerhetspolicy. En viktig del av sikkerhetspolicyen handler om tilgangsrettigheter og autentisering på personnivå.  Dette handler om å bestemme hvem som skal få lov til å gjøre hva og tidspunkt for tilgang. En slik policy baseres gjerne på en risikovurdering. Alle virksomheter, uavhengig av forretningsområde, bør foreta en risikovurdering av fjerntilgangen. Formålet med en slik vurdering er å få oversikt over hva som er kritisk for akkurat dere. Start med å kartlegge alle sikkerhetsbrudd som potensielt kan forekomme, etterfulgt av konsekvenser og sannsynlighet for at de inntreffer. Resultatet av risikovurderingen er en detaljert oversikt over hvor dere må fokusere sikkerhetstiltakene.

Hvilke sikkerhetstiltak man bør fokusere på, varierer fra bedrift til bedrift, men følgende punkter er typiske gjengangere: 

  • Få oversikt over ulike VPN-tilkoblinger inn i bedriften for service og vedlikehold: Tradisjonell fjerntilgang involverer VPN, og ofte benytter leverandører seg av VPN-teknologi for å få tilgang til maskiner for feilsøking og feilretting. Det er viktig at du har kontroll på hvilke VPN koblinger som er aktive og hvem som har tilgang.
  • Sett regler for bruk av eksterne PCer i bedriftens nett: Systemintegratorer bringer ofte med seg egne PCer inn i produksjonen. Alle disse kan potensielt være smittet med skadevare, eventuelt ha sikkerhetshull og er å betrakte som sikkerhetstrusler. Å opprette fjerntilgang fra en PC til bedriftens anlegg via VPN, vil utsette deg for samme risiko som om PC-en befinner seg fysisk i ditt produksjonsanlegg. De fleste vil si nei til at eksterne aktører skal få ta med og bruke sin egen PC i produksjonen, men de færreste har konkrete regler for det. Det er det verdt å gjøre noe med, for eksempel ved å legge all programvare vedkommende trenger for å gjøre jobben, lokalt på anlegget. I mange tilfeller kan det også lønne seg å plassere fjerntilkobling i iDMZ sonen i form av en Remote Access Server løsning.
  • Begrens bruken av USB: USB kan være en smittebærer for mange slags typer skadevare, for eksempel om en medarbeider laster ned noe og uvitende tar med seg skadevare på USBen og kobler den inn i en PC tilkoblet produksjonsutstyret. Ofte er det nødvendig å etablere retningslinjer for hva som er lov til å koble til hvor.
  • Definer kompetansekravene til de som får tilgang: Du bør vite om medarbeiderne hos leverandøren din er kompetente nok til å få tilgang til de kritiske delene av virksomheten din. En løsning er å stille krav om kursing eller interne prosedyrer og kvalifisere de som skal få den nødvendige tilgangen til systemene dine.

Les også: Kontroll og overvåking av produksjonsnettverket er en forutsetning for å lykkes med digitalisering

 

Nettverksovervåking

Når du har etablert en policy og satt de nødvendige kravene, bør du overvåke hva som skjer i produksjonen din. Kontinuerlig overvåking av systemer, nettverk og enheter for potensielle trusler vil øke sannsynligheten for å kunne oppdage ev. angrep på et tidlig tidspunkt.

Dette er som regel altfor krevende å gjøre manuelt, og man er i de fleste tilfeller avhengig av en egen overvåkningsløsning. Slike løsninger kan gi deg en enhetlig oversikt over alle eksterne brukere som har koblet seg på systemene dine for å gjennomføre oppgraderinger, vedlikehold og andre aktiviteter i det industrielle miljøet.

 

Ulike metoder for fjerntilgang

Ved fjerntilgang må kost, nytte og risiko veies opp mot hverandre. Hvis du kun skal kommunisere med en frittstående maskin eller ett lite system, så kan VPN løsning via frittstående VPN software være å anbefale. Ved en slik løsning så kan filer, programmer og eventuell skadevare overføres fra din PC til maskinen eller systemet du har etablert fjerntilgang til, men risiko og skadepotensiale kan anses som lavt.

Skal du derimot etablere fjerntilgang til ett større anlegg eller nettverk så anbefales samme teknologi som benyttes for blant annet nettbank. Ved bruk av nettbank benyttes en nettleser med digitalt sertifikat for å etableres kryptert og sikker kommunikasjon mellom din PC og banken. Ved en slik løsning jobber du i ett lukket miljø hos din bank. Det eneste som kan overføres fra din PC er input fra deg som bruker via tastatur og mus. Det er ikke mulig å overføre filer, programmer eller skadevare mellom din PC og banken. Det du ser i nettleseren er kun skjermbilder som sendes tilbake til deg fra nettbanken.

Samme teknologi kan også benyttes for industrielt bruk, hvor alle handlinger som utføres lagres i en video-basert logg sammen med detaljert aktivitetslogg, slik at man i ettertid kan se nøyaktig hvem som gjorde hva og når handlingene ble utført.

 

Kort oppsummert

Still tydelige krav til kompetanse hos de som logger seg på ditt anlegg.

Benytt skriftlige avtaler som setter klare begrensninger for hva som kan utføres, samt juridisk ansvar ved eventuelle utilsiktede konsekvenser.

All aktivitet ved fjerntilgang logges, slik at man i ettertid kan se helt ned på personnivå hvem som var pålogget, når de var pålogget, og nøyaktig hva som ble utført.

Se opptak fra webinaret "Risikoreduserende tiltak i et produksjonsnettverk"

 

Tormod Sæther

Skrevet av Tormod Sæther

Tormod Sæther er Senior Solution Architect Network & Cyber Security i Triple-S. Han har 20 års erfaring fra løsningssalg og teknisk support av redundante industrielle nettverksløsninger for maritim, olje-, gass- og landbasert industri. Her har han også levert teknologi og løsninger for protokollkonvertering, IoT-løsninger, fjernaksess og industrielle brannmurer. Tormod.saether@triple-s.no

Om Triple-S

Triple-S leverer kompetanse og teknologi innenfor automatisering, digitalisering og nettverk og OT-sikkerhet. Vi representerer verdensledende produsenter innenfor disse fagområdene, hvor Rockwell Automation er den største.

Besøk oss på triple-s.no