Triple-S Blogg

Sikker fjerntilgang til kritisk infrastruktur og produksjonsindustri

Skrevet av Tormod Sæther | 3. august 2022

Ukritisk bruk av fjerntilgangen i virksomheten kan by på sikkerhetsutfordringer. Lener du deg på fjerntilgang til systemer og nettverk, bør du ha 100 prosent kontroll på hvem som har tilgang til hva, og tidspunkt for når de har tilgang.

Fjerntilgang gir store besparelser ved at egne ansatte, maskinbyggere og samarbeidspartnere kan utføre korrektive tiltak på ulike anlegg uten å reise ut til det fysiske anlegget. Men ukritisk bruk av fjerntilgang kan også by på sikkerhetsutfordringer

Fjerntilgang og sikkerhetsutfordringer

Fjerntilgang byr utvilsomt på en rekke fordeler, men om du ikke har oversikt over hvem som har tilgang til hva, øker du også risikoen for utilsiktede hendelser og sikkerhetstrusler. I enkelte tilfeller har ulike maskinbyggere og underleverandører sine egne VPN løsninger for VPN-tilkoblinger inn i bedriften for å utføre service og vedlikehold. En konsekvens av manglende kontroll på VPN-tilkoblingene som benyttes kan være driftsforstyrrelser hvis service eller vedlikehold utføres på ett kritisk tidspunkt.

I andre tilfeller bruker bedrifter leverandører av drifts- og utviklingsoppgaver fra land hvor regelverket eller praksisen kan avvike fra norske krav til drift eller personvern. Utfordringen er at man ikke vet hvor godt sikret leverandøren er.

Viktigheten av en god sikkerhetspolicy

Å ta kontroll over tilgangen begynner med å legge en god sikkerhetspolicy. En viktig del av sikkerhetspolicyen handler om tilgangsrettigheter og autentisering på personnivå. Dette handler om å bestemme hvem som skal få lov til å gjøre hva og tidspunkt for tilgang. En slik policy baseres gjerne på en risikovurdering. Alle virksomheter, uavhengig av forretningsområde, bør foreta en risikovurdering av fjerntilgangen. Formålet med en slik vurdering er å få oversikt over hva som er kritisk for akkurat dere. Start med å kartlegge alle sikkerhetsbrudd som potensielt kan forekomme, etterfulgt av konsekvenser og sannsynlighet for at de inntreffer. Resultatet av risikovurderingen er en detaljert oversikt over hvor dere må fokusere sikkerhetstiltakene.

Hvilke sikkerhetstiltak man bør fokusere på, varierer fra bedrift til bedrift, men følgende punkter er typiske gjengangere:

  • Få oversikt over ulike VPN-tilkoblinger inn i bedriften for service og vedlikehold: Tradisjonell fjerntilgang involverer VPN, og ofte benytter leverandører seg av VPN-teknologi for å få tilgang til maskiner for feilsøking og feilretting. Det er viktig at du har kontroll på hvilke VPN koblinger som er aktive og hvem som har tilgang.
  • Sett regler for bruk av eksterne PCer i bedriftens nett: Systemintegratorer bringer ofte med seg egne PCer inn i produksjonen. Alle disse kan potensielt være smittet med skadevare, eventuelt ha sikkerhetshull og er å betrakte som sikkerhetstrusler. Å opprette fjerntilgang fra en PC til bedriftens anlegg via VPN, vil utsette deg for samme risiko som om PC-en befinner seg fysisk i ditt produksjonsanlegg. De fleste vil si nei til at eksterne aktører skal få ta med og bruke sin egen PC i produksjonen, men de færreste har konkrete regler for det. Det er det verdt å gjøre noe med, for eksempel ved å legge all programvare vedkommende trenger for å gjøre jobben lokalt på anlegget.
  • Begrens bruken av USB: USB kan være en smittebærer for mange slags typer skadevare, for eksempel om en medarbeider laster ned noe og uvitende tar med seg skadevare på USB-en og kobler den inn i en PC tilkoblet produksjonsutstyret. Ofte er det nødvendig å etablere retningslinjer for hva som er lov til å koble til hvor.
  • Definer kompetansekravene til de som får tilgang:Du bør vite om medarbeiderne hos leverandøren din er kompetente nok til å få tilgang til de kritiske delene av virksomheten din. En løsning er å stille krav om kursing eller interne prosedyrer og kvalifisere de som skal få den nødvendige tilgangen til systemene dine.

Les også: Kontroll og overvåking av produksjonsnettverket er en forutsetning for å lykkes med digitalisering

Ulike metoder for fjerntilgang

Ved fjerntilgang må kost, nytte og risiko veies opp mot hverandre. Hvis du kun skal kommunisere med en frittstående maskin eller ett lite system, så kan VPN løsning via frittstående VPN software være å anbefale. Ved en slik løsning så kan filer, programmer og eventuell skadevare overføres fra din PC til maskinen eller systemet du har etablert fjerntilgang til, men risiko og skadepotensiale kan anses som lavt.

Skal du derimot etablere fjerntilgang til ett større anlegg eller nettverk så anbefales samme teknologi som benyttes for blant annet nettbank. Ved bruk av nettbank benyttes en nettleser med digitalt sertifikat for å etableres kryptert og sikker kommunikasjon mellom din PC og banken. Ved en slik løsning jobber du i ett lukket miljø hos din bank. Det eneste som kan overføres fra din PC er input fra deg som bruker via tastatur og mus. Det er ikke mulig å overføre filer, programmer eller skadevare mellom din PC og banken. Det du ser i nettleseren er kun skjermbilder som sendes tilbake til deg fra nettbanken.

Samme teknologi kan også benyttes for industrielt bruk, hvor alle handlinger som utføres lagres i en video-basert logg sammen med detaljert aktivitetslogg, slik at man i ettertid kan se nøyaktig hvem som gjorde hva og når handlingene ble utført.

Kort oppsummert

Still tydelige krav til kompetanse hos de som logger seg på ditt anlegg.

Ta eierskap over VPN løsningen som benyttes og krev at egne ansatte, maskinbyggere, samarbeidspartnere og underleverandører skal benytte VPN løsningen som er godkjent av bedriften.

Vurder om dere skal tillate applikasjonstunnel (VPN klient med direkte tilgang til utstyr man kobler opp til) eller om det kun skal tillates nettleserbasert tilgang, hvor programmeringssoftware for f.eks. PLS er installert på egen Windows maskin i produksjonen. Nettleserbasert tilgang er å anse som mer sikker enn direkte tilgang.

Benytt skriftlige avtaler som setter klare begrensninger for hva som kan utføres, samt juridisk ansvar ved eventuelle utilsiktede konsekvenser.

All aktivitet ved fjerntilgang logges, gjerne med videologg, slik at man i ettertid kan se helt ned på personnivå hvem som var pålogget, når de var pålogget, og nøyaktig hva som ble utført.

Vurder om VPN løsningen skal ha støtte for passordhvelv slik at dere ikke trenger å dele brukernavn og passord til lokale ressurser med fjernbrukere. Med passordhvelv trenger dere ikke bekymre dere for at brukernavn og passord blir delt videre uten deres kjennskap.