Журнал "Системы Безопасности" № 4‘2020

зированных облачных сервисов, которые пред- ставляют те же производители оборудования и разработчики ПО, но они, как правило, являются иностранными компаниями, что несколько противоречит 187-ФЗ. Обычный 3G-модем На практике распространенным среди инжене- ров на объектах способом является предостав- ление удаленного доступа к оборудованию сверхзащищенной сети через обычный 3G- модем, несанкционированно установленный на сервере. Логика простая: от безопасников и сисадминов ничего не дождешься, а работу выполнять надо, тем более что это только один раз. Ну максимум два. Понятно, что эти дей- ствия чаще всего предпринимаются на посто- янной основе и могут похоронить всю выстраи- ваемую на корпоративном уровне политику информационной безопасности и иметь необратимые последствия на технологическом уровне: нередки случаи, когда управление целыми заводами останавливалось из-за виру- са-шифровальщика, случайно занесенного на сервер АСУ ТП. Однако в таких вопросах вина нередко действительно лежит на сотрудниках отделов информационной безопасности, кото- рые вместо организации нормального удален- ного доступа предпочитают "завинтить гайки" и отрезать любой доступ к технологической сети. А ведь задачу информирования персонала и организационной работы с ним тоже никто не отменял. Доступ к оборудованию полевого уровня Все описанное напрямую относится ко входу в технологическую сеть, но при этом задача предоставления удаленного доступа может быть более узконаправленной и относиться только к конкретному сетевому элементу, обо- рудованию полевого уровня. В России до сих пор в географически распределенных автома- тизированных системах часто применяют GSM- терминалы для удлинения интерфейса RS-485 (особенно в электроэнергетических системах, системах учета, технологического мониторин- га). Оставим в стороне вопрос безопасного использования беспроводной связи в техноло- гических сетях, это тема отдельной дискуссии, и просто примем ее наличие как свершившийся факт. В этом случае получение удаленного доступа к конечному устройству на полевом уровне фактически не затрагивает технологиче- скую сеть, а для подключения достаточно знать номер сим-карты терминала, связной номер устройства, пароль для доступа (необходимого для данной операции уровня) и, желательно, расписание опроса терминала с информацион- ного уровня технологической сети (для отсут- ствия пересечений с основным технологическим процессом). Очень удобный метод для вынуж- денной конфигурации оборудования или мони- торинга его работы. Но за удобство, как это часто бывает, расплачиваются безопасностью. Во-первых, никакой аутентификации поль- зователей в этом случае не предусмотрено. Во-вторых, злоумышленное использование даже такой элементарной информации, как номер сим-карты, может обрушить работу сети на данном участке: достаточно постоянно зани- мать линию и вы до прибора учета никогда не дозвонитесь. Ну и в-третьих, доступ к оборудо- ванию полевого уровня может быть интересен некоторым лицам на постоянной основе. Ваши конкуренты с удовольствием будут получать данные со счетчиков готовой продукции, а смежная электросетевая компания спит и видит, как получить возможность собственной синхронизации времени установленных на гра- нице приборов учета электроэнергии. Наиболее логичным шагом будет просто запре- тить такой доступ и хранить в тайне все адреса и пароли, но это не всегда возможно. Техниче- ских средств, которые позволят создать логич- ную структуру информационной безопасности, также нет (не считать же таковым активный раз- ветвитель интерфейса с еще одним модемом на приоритетном порте). Следовательно, остаются только организационные мероприятия, которые можно кратко сформулировать следующим образом: l не давайте пароль высокого уровня для про- стых операций (если пароля низкого уровня нет, создайте его, благо такая функция есть практически на всех типах устройств); l всегда меняйте пароль после его использова- ния третьими лицами; l тщательно выверяйте расписание опроса устройств по GSM-каналу; l регулярно меняйте связные номера устройств, пароли; l осуществляйте мониторинг подключений к устройству в первое время после предостав- ления данных для организации удаленного доступа; l задумайтесь об организации проводных каналов связи там, где это возможно. Указанные меры могут выглядеть несколько излишними, но даже их частичное применение позволит существенно увеличить безопасность в отношении устройств на GSM-каналах. Обо- рудование, включенное в технологическую сеть по физическим каналам, также может опрашиваться и конфигурироваться без использования виртуального рабочего стола сервера сети, но для этого АРМ с конфигура- ционным программным обеспечением должно получить вход в сеть, а дальше смотрите пара- граф про VPN. 8 важных выводов Так выглядит в очень простом изложении прак- тически весь доступный инструментарий для организации безопасного удаленного доступа к элементам технологической сети. Резюмируем все вышесказанное: 1. Вопрос создания безопасного удаленного доступа к технологическим сетям в большин- стве случаев является первостепенным для обеспечения нормального функционирования технологического оборудования компании. 2. Наиболее практичным инструментом для организации удаленного доступа является VPN. 3. В зависимости от имеющегося бюджета можно организовать VPN-сеть с защитой как на программном, так и на аппаратном уровне, причем последняя дороже, но эффективнее. 4. Прямой доступ к отдельным элементам тех- нологической сети также лучше организовать через VPN. 5. Чем больше современных технологий вы используете, тем более безопасным, медлен- ным и дорогим становится соединение. 6. Одной из проверенных и надежных техноло- гий, направленных на создание безопасного удаленного подключения, является многофак- торная аутентификация. 7. Использование незащищенных RDP-под- ключений и беспроводных модемов недопусти- мо, но для того, чтобы исключить такие случаи, надо организовать нормальный удаленный доступ к технологической сети. 8. Самая технически безопасная сеть может оказаться уязвимой, если в компании отсутству- ет внятная политика информационной безопас- ности и не ведется работа с персоналом. Я же надеюсь, что мне как автору статьи удалось показать, что информационная безопасность при удаленном доступе – это не нечто сложное и малодоступное, а вполне логичная и понятная сфера, которую обязательно надо развивать, причем не в ущерб основному производству. n www.secuteck.ru август – сентябрь 2020 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 79 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Редакция советует В статье обоснована актуальность вопросов удаленного доступа к технологическим сетям, описаны требования к информа- ционной безопасности, варианты предоставления удаленного доступа к сети в зависимости от задач (контроль или управ- ление). Решения для удаленного доступа предоставляют партнеры проекта "Информационная безопасность": ОКБ САПР – россий- ский разработчик программно-аппаратных средств защиты информации (СЗИ) от несанкционированного доступа (НСД) и Perimetrix – разработчик уникальных решений для реализации режима конфиденциальности данных, которые обеспечи- вают защиту документов ограниченного доступа на всех этапах жизненного цикла, мониторинг каналов коммуникаций и аудит электронных операций.