Рекомендации по выбору устройств удаленного доступа для обеспечения безопасности

Операционные группы, управляющие промышленными системами, полагаются на устройства удаленного доступа для выполнения своей работы и редко думают о нетехнических и некоммерческих соображениях при покупке. Но недавняя история говорит нам о том, что происхождение устройства и даже его компонентов имеет гораздо большее значение, чем мы понимаем.

Атаки на цепочку поставок — это серьезно

Атака на цепочку поставок — это категория атак кибербезопасности, при которой доступ осуществляется путем нацеливания на вышестоящие элементы в цепочке поставок. Неспециалист, покупающий устройство — например, чтобы ввести его в эксплуатацию на выходных — может подумать, что риск недостаточно значителен, чтобы повлиять на решение о покупке, но это так.

Атаки на цепочку поставок чрезвычайно популярны среди злоумышленников, потому что, внедрившись в одного поставщика, они могут получить доступ ко многим конечным пользователям. Например, Stuxnet был эффективной атакой на цепочку поставок, нацеленной на ПЛК, используемые в программе обогащения урана. NotPetya, которая нанесла ущерб организациям, включая Merck и Saint-Gobain, примерно на 10 миллиардов долларов, распространялась через программное обеспечение для расчета налогов. Совсем недавно SUNBURST предоставил черный доступ до 18 000 организаций и распространялся через программное обеспечение SolarWinds. Это случалось много раз и будет продолжаться из-за расплаты злоумышленника.

Атаки по цепочке поставок на АСУ через устройства удаленного доступа

Идея атаки цепочки поставок, нацеленной на АСУ ТП через устройство удаленного доступа, не просто теоретическая — это случалось раньше. В 2014 году вредоносное ПО Dragonfly заразило многие организации и распространялось через установочные пакеты приложений Talk2M компании Ewon, которые представляют собой программное обеспечение, используемое для предоставления VPN-доступа к оборудованию АСУ ТП. Институт SANS предоставил документ об атаке и ее последствиях, который вы можете прочитать здесь.

Соображения перед покупкой

Итак, вернемся к непрофессионалу, покупающему устройство, чтобы ввести его в эксплуатацию. Что ему делать?

В ситуациях, когда вы не являетесь — и не можете быть — экспертом, разумно посмотреть, что делают эксперты. В случае безопасности одним из таких экспертов будет Министерство обороны США. Они прямо запрещают покупать и использовать устройства или заключать контракты с поставщиками, использующими устройства, у определенных иностранных производителей из-за рисков в цепочке поставок. В одном из меморандумов Министерства обороны от июля 2020 года описана эта практика, и с ним можно ознакомиться здесь. Названной важной компанией является Huawei Technologies Company (и ее дочерние и зависимые компании) из-за широкого использования их чипов, в том числе в устройствах удаленного доступа, таких как Tosibox.

Таким образом, один вывод для непрофессионала здесь может заключаться в том, чтобы покупать отечественные, когда это возможно. Следует отметить, что покупка продуктов отечественного производства и продуктов, разработанных с высоким уровнем безопасности, непроста и обычно требует надбавки к цене, но, несомненно, стоит затрат для пользователя, особенно для удаленного доступа к промышленным системам.

Помимо рисков цепочки поставок, при внедрении удаленного доступа необходимо учитывать множество технических и организационных соображений. Я изучил их в рамках рабочей группы Организации по автоматизации и управлению машинами (OMAC), которая затем опубликовала Практическое руководство по удаленному доступу к производственному оборудованию, которое я рекомендую прочитать.