Samhandlingsverktøy som Teams og Zoom er blitt en del av hverdagen vår og har endret på arbeidsvanene våre. Tilsvarende behov ser vi for tilgang til maskiner og industrielle systemer. I denne artikkelen går vi igjennom noen aktuelle løsninger.
I disse tider når vi er begrenset av restriksjoner pga. Covid-19, er fjerntilkobling til maskiner og industrielle systemer mer aktuelt enn noen gang. Spesielt reiserestriksjoner skaper utfordringer i forhold til service, feilsøking og vedlikehold. Men med gode løsninger for fjerntilkobling på plass, åpnes muligheten for nye og lønnsomme forretningsmodeller.
Med en god fjerntilkoblingsløsning vil man f.eks. kunne håndtere langt flere kunder med færre spesialister enn tidligere, siden dødtid i forbindelse med reiser ut til fjerntliggende anlegg og maskiner vil reduseres. Det vil også være enklere å bemanne opp et supportapparat ved høytider og helger, siden spesialistene kan koble seg opp hjemmefra eller fra hytta, gjerne via mobiltelefon eller egen 4G-ruter dedikert for formålet.
Hvem har vel ikke opplevd at når spesialisten ankommer så viser det seg et feilen ble løst ved svært enkle tiltak som ikke krevde fysisk tilgang, eller at en reservedel må bestilles opp før man kan rette feilen? Begge disse scenarioene kunne vært unngått ved feilsøking og diagnostikk over en VPN-forbindelse. Når spesialisten først reiser ut, har han med nødvendige reservedeler avdekket under fjerndiagnosen.
Fjerntilkobling muliggjør altså nye forretningsmodeller hvor man kan tilby serviceavtaler med langt raskere responstider og samtidig håndtere flere kunder med færre ressurser. Kunden blir fornøyd fordi han får rask hjelp, leverandøren blir fornøyd fordi han kan håndtere flere kunder og øke inntjeningen, og den ansatte blir fornøyd fordi han slipper å ofre fritid på unødig reising.
Det finnes mange ulike teknologier for tilkobling til maskiner og industrielle systemer. Funksjonalitet, brukervennlighet og ikke minst sikkerhet er noe av det du bør sette deg inn i før du velger en løsning.
Les om hvordan Optimar løser fjerntilkobling.
Sikkerhetsutfordringer ved fjerntilgang
Fjerntilgang via VPN-teknologi er allment ansett som trygt å bruke, men det er viktig å være klar over hva teknologien faktisk tilbyr. En VPN-tunnel gir i bunn og grunn kun kryptering av data som går mellom sender og mottager, slik at ingen andre på internett kan se innholdet i informasjon som sendes eller modifisere innholdet som sendes.
Avhengig av type VPN-løsning som benyttes kan man få direkte kommunikasjon mellom operativsystem på datamaskin som kobler opp og PLS eller datamaskin i den andre enden av VPN-linken. Man kan da overføre filer gjennom VPN-linken. Dette er ofte ønskelig hos f.eks. maskinbyggere som trenger å programmere PLS ute i felt.
Ulempen med denne type VPN-løsning er at skadevare kan smitte over til OT-systemet dersom f.eks. laptop på hjemmekontor er smittet med skadevare.
Før man tar i bruk fjerntilgang må man være bevisst på om man kobler opp mot en enkelt maskin bestående av PLS og HMI-panel, eller om man kobler opp mot et større OT-system.
Vi anbefaler også å kjøre en risikoanalyse i forkant slik at man er klar over hvilke sårbarheter som eksisterer på maskinen eller OT-miljøet man kobler opp mot, samt hvilken risiko man løper om maskinen eller OT-miljøet skulle bli utsatt for skadevare via VPN-tilkoblingen. Det kan du lese mer om i denne artikkelen.
Fjerntilgang til maskin eller frittstående utstyr
Nedenfor ser vi et eksempel på VPN-tilgang via en skyløsning (Talk2M fra HMS) til frittstående maskin bestående blant annet av en PLS og HMI-panel. Komponenter som det ofte kreves spesiell kompetanse for å utnytte.
Selv om vi her har VPN-tilkobling til en enkelt maskin, må visse grunnfunksjoner være på plass for VPN-løsningen. Brukeradministrasjon med definerte brukerrettigheter for hvem som har fjerntilgang, hva de har tilgang til og når de har tilgang, samt to-faktor autentisering bør være minimumskrav.
Det er dessuten viktig å sette krav til det utstyret som skal få tilgang. Virus-scanning er nødvendig, og man bør ikke være tilkoblet usikre nettverk. Mange velger å ha dedikerte maskiner til dette formålet, som kun benyttes til fjernoppkobling til dedikert kunde.
Fjerntilgang til OT-miljø og større anlegg
Ved fjerntilkobling til et OT-miljø må visse grunnfunksjoner på plass. Tilgang til et OT-Miljø medfører ofte en større risiko enn tilgang til en enkelt maskin, siden man potensielt kan forårsake stans i hele produksjonen. Risikoanalyser av OT-miljø setter ofte sikker fjerntilkobling som et av de viktigste tiltakene å starte med for å heve sikkerheten i anlegget.
Brukeradministrasjon med definerte brukerrettigheter for hvem som har fjerntilgang, hva de har tilgang til, og når de har tilgang, samt to-faktor autentisering bør være minimumskrav. Som sluttbruker må du vite hvem som er påkoblet til enhver tid, og hva de driver med. Enkelte systemer har full audit hvor det kan tas video opptak av all aktivitet som foretas.
I tillegg må vi sikre oss mot mulighet for direkte tilgang fra eksterne enheter rett inn i OT-miljøet f.eks. fra en laptop hos en maskinleverandør til en arbeidsstasjon i OT-miljøet. Grunnen til dette er at det i de fleste OT-miljø finnes en rekke sårbarheter man ikke får gjort noe med. Det er også gjerne eldre operativsystemer i slike miljøer som hverken kan oppdateres eller patches. Direkte kobling mellom eksterne usikrede nettverk og enheter inn til OT-miljøet utgjør en stor risiko og bør unngås.
For å løse dette kan teknologi tilsvarende det vi benytter for nettbank tas i bruk. Dette fungerer ved at det eneste som overføres fra datamaskinen man kobler opp med er SSL-krypterte skjermbilder og input via musbevegelser og tastatur. Det vil fjerne muligheten til å overføre skadevare direkte inn i det sårbare miljøet.
La oss se på noen alternativer.
eWon M2Web fra HMS
M2web er en tjeneste som benytter samme funksjon som nettbank ved at kun skjermbilde, musebevegelser og tastetrykk overføres kryptert. Det er ingen mulighet for filoverføring/ direkte kontakt. I M2Web-portalen logger man inn med kontonavn, brukernavn og passord. For økt sikkerhet kreves to-faktor autentisering før man får tilgang til M2Web portalen. Herfra settes det opp en VPN tunell (OpenVPN) hvor RDP, VNC eller WEB kan benyttes direkte ned til utstyr i produksjon. Pålogging med brukernavn og passord for VNC, RDP og WEB er valgfritt. Se også figur 2.
Her kan du lese mer om fjerntilkobling med eWon.
Secure Remote Access (SRA) fra Claroty
Claroty SRA går ett skritt videre ved å tilby en helhetlig portal for alle som har behov for fjerntilgang til OT-systemet. Claroty SRA gir støtte for ett stort antall fjernbrukere uten å kreve ulike VPN servere plassert rundt i OT-miljøet. Det er kun behov for å åpne en port i brannmur, noe som forenkler administrasjon og reduserer angrepsflaten.
Claroty SRA gir full kontroll over hvem som har fjerntilgang, når de har fjerntilgang og hva de har fjerntilgang til. Tidspunkt for når man har fjerntilgang er styrt via regler man setter opp i SRA-portalen. To-faktor autentisering ved bruk av Microsoft Authenticator eller tilsvarende apper benyttes for sikker pålogging.
Man kan også sette en automatisk begrensning for hvor lenge fjerntilgang skal være aktiv slik at man ikke trenger å huske å tilbakekalle fjerntilgangen. All aktivitet logges og lagres som et videoopptak slik at man senere kan se til minste detalj hva som ble utført under fjerntilgangen.
Claroty SRA splitter all trafikken i to separate VPN-tunneler. En VPN-tunnel mellom fjernbruker og SRA Central (SAC) med SSL kryptering (https) og en annen VPN-tunnel med SSH-kryptering mellom SRA Central og SRA Site.
Å splitte VPN-tunnelene fjerner enhver mulighet for direkte kommunikasjon mellom fjernbrukere og OT-systemet, reduserer antall VPN-servere som må kobles til OT-nettverket og reduserer antall porter som må være åpne i brannmurene.
Her kan du lese mer om Claroty Secure Remote Access.
Hvordan komme i gang?
Dagens teknologi åpner opp for nye muligheter, men introduserer samtidig ny risiko. Ved valg av fjerntilkoblingsløsninger må funksjonalitet og brukervennlighet vurderes opp mot sikkerhet. Mange sluttbrukere vil måtte sette strengere krav til sine samarbeidspartnere i tiden fremover, samtidig bør maskinbyggere, systemintegratorer og andre bidra til å redusere risiko overfor sine kunder. Gode løsninger som ivaretar begge parter er derfor viktig.
Hos Triple-S AS har vi lang erfaring og solid kompetanse på automasjonsløsninger, industrielle nettverk, industrielle protokoller, Cyber Security og fjerntilgang til ulike OT-miljøer. Det kan ofte være vanskelig å vite hvilken løsning som passer best i hvert enkelt tilfelle. Vi hjelper deg gjerne med råd og veiledning. Ta kontakt med oss for råd om sikker fjerntilgang.