Забезпечення кібербезпеки веб-доступу до систем керування та моніторингу когенераційних установок

By Published Новини

Методичні рекомендації

Дані методичні рекомендації визначають обов’язкові підходи до організації віддаленого доступу, моніторингу та керування когенераційними установками (далі — КГУ) з використанням вбудованих веб-панелей та мережевих інтерфейсів. Рекомендації призначені для застосування під час проєктування, впровадження та експлуатації систем керування КГУ на промислових і енергетичних об’єктах.

Основною метою рекомендацій є мінімізація ризиків несанкціонованого доступу, порушення роботи обладнання та втрати керованості шляхом застосування багаторівневої архітектури кібербезпеки. Усі наведені вимоги базуються на принципі заборони прямого доступу до систем керування з мережі Інтернет та передбачають використання захищених каналів зв’язку, сегментації мережі та контролю доступів.

Важливі попередження перед початком налаштування:

  • Ніколи не відкривайте веб-інтерфейс безпосередньо на публічний IP- адресі (наприклад, через port forwarding на маршрутизаторі). Це може призвести до атак (DDoS, brute-force, вразливості в firmware).
  • Використовуйте принцип “Zero Trust”: Перевіряйте кожен доступ, незалежно від джерела.
  • Дотримуйтеся стандартів IEC 62443 (кібербезпека для промислових систем) та вимог НКРЕКУ (для енергетичних об’єктів в Україні).
  • Важливо використовувати промисловий маршрутизатор або шлюз, а не звичайний домашній пристрій (наприклад TP-Link чи D-Link), оскільки промислові рішення: підтримують детальне логування підключень та дій, що дозволяє відстежувати активність у мережі; забезпечують сегментацію мережі (VLAN) та контроль доступу між підмережами, ізолюючи критичні системи від інших пристроїв; мають надійніші механізми безпеки, наприклад контроль за портами, firewall та обмеження сервісів.
  • Тестуйте налаштування в локальній мережі перед підключенням до інтернету.
  • Документуйте всі зміни (паролі, IP, конфігурації) в захищеному місці (наприклад, encrypted файл).

Перш за все необхідно (з використанням USB-Console кабелю) переглянути базові налаштування модуля керування КГУ. Як правило, паролі, що встановлюються за замовчуванням на таких системах не відповідають базовим критеріям складних паролів, та, відповідно, підлягають зміні. Крім того, на деяких системах також присутні сервіси такі як Telnet, FTP та ін., які створюють додаткові точки несанкціонованого доступу до системи керування. Відповідно до вищезазначеного, наступним кроком необхідно переглянути такі сервіси, та за умови їх невикористання – вимкнути. Поряд з цим, деякі системи дозволяють створювати додаткові облікові записи з обмеженням рівнів доступу до моніторингу (або керування) різних параметрів роботи КГУ. У разі наявності такої опції – створити додаткові облікові записи з обмеженими правами доступу.

Починати розгортання веб-доступу до системи керування також варто з оцінки необхідності доступу до такої системи з мережі Інтернет.

Найбезпечнішим рішенням для розгортання веб-інтерфейсу системи керування є його розгортання в локальній мережі (повністю виключити прямий доступ через WAN). У цьому випадку веб-застосунок та PLC/ECU доступні тільки для пристроїв, підключених до внутрішньої мережі, і не мають прямого виходу в Інтернет. Такий підхід виключає ризик несанкціонованого доступу ззовні та значно знижує ймовірність кібератак.

Для безпечної роботи всередині локальної мережі рекомендується:

  • обмежити доступ до веб-панелі керування маршрутизатором через WAN IP-адресу.
  • обмежити доступ до контролерів та веб-інтерфейсів лише авторизованим користувачам;
  • відключити непотрібні сервіси та протоколи на маршрутизаторі і контролерах;
  • вести базове логування підключень і дій на маршрутизаторі;
  • контролювати фізичний доступ до мережевого обладнання.

Такий підхід забезпечує максимальний рівень безпеки без ускладнень віддаленого доступу.

У випадку необхідності отримання доступу до такої системи з мережі Інтернет вбачається за доцільне використовувати VPN-тунель, який дозволяє інженерам підключатися до локальної мережі об’єкта так, ніби вони перебувають безпосередньо на місці. У цьому випадку критичні контролери та веб-інтерфейси залишаються ізольованими від прямого доступу з Інтернету, а весь трафік віддалених користувачів шифрується.

Для реалізації VPN можна використовувати апаратні рішення (як приклад):

  •  FortiGate 60F або 100F — забезпечує IPsec та SSL VPN, централізоване управління користувачами, підтримку 2FA та логування сесій;
  • Cisco ASA 5506-X — класичний корпоративний VPN-шлюз з можливістю налаштування сегментації мереж та обмеження доступу по портам;
  • Sophos XG 115/125 — дозволяє швидко налаштувати SSL VPN, 2FA та контроль доступу до конкретних підмереж.
    Як програмне рішення для невеликих або середніх об’єктів можна застосувати (як приклад):
  • OpenVPN Access Server — забезпечує SSL VPN, підтримує сертифікати та токени для аутентифікації, легко інтегрується з Active Directory;
  • WireGuard — легкий і швидкий VPN з мінімальними налаштуваннями, підходить для прямого тунелювання на об’єкті;
  • pfSense — програмний маршрутизатор з підтримкою VPN, сегментації та журналювання сесій, можна встановити на звичайний сервер або міні-ПК.

Додатково можна застосувати джамп-хост (bastion host), який розташовується у сегментованій DMZ або безпосередньо у локальній мережі перед контролерами. Він є єдиною точкою доступу до систем КГУ, через яку проходять усі віддалені дії інженерів. На джамп-хості можна централізовано логувати підключення, обмежувати доступ лише до потрібних IP і портів, а також застосовувати багаторівневу аутентифікацію з токенами, наприклад Duo Security, YubiKey або
Google Authenticator.