Korzystanie z urządzeń mobilnych do obsługi systemów CCTV, domowych systemów automatyki budynkowej czy innych urządzeń Internetu Rzeczy (IoT) stało się codziennością. Nic więc dziwnego, że firmy przemysłowe oraz coraz młodsza kadra inżynierska oczekuje podobnych możliwości w swoich systemach automatyki. Smartfony i tablety z bezpiecznym zdalnym dostępem stają się narzędziami wspierającymi pracę automatyków i personel utrzymania ruchu.

Poprawnie wdrożony zdalny dostęp na urządzenia mobilne daje następujące korzyści:

- bezpieczny dostęp do danych, 

- dostęp do powiadomień o ostrzeżeniach i alarmach,

- zdalna diagnostyka i konserwacja predykcyjna,

- zdalna kontrola jakości,

- zdalne sprawdzenie efektywności energetycznej,

- zdalne monitorowanie procesów, 

- zdalna kontrola stanowisk roboczych,

Bezpieczeństwo jest kluczowym priorytetem dla użytkowników w przemyśle oznacza to że zdalny dostęp ze smartfonów i tabletów powinien być szyfrowany, dodatkowo mobilny zdalny dostęp powinien być łatwy w konfiguracji i obsłudze oraz opłacalny do wdrożenia (np. brak subskrypcji za usługę). W organizacji powinny zostać określone procedury i polityki dotyczące korzystania z urządzeń mobilnych a użytkownicy powinni mieć przypisane odpowiednie uprawnienia dostępowe.

Coraz większa liczba urządzeń takich jak PLC, HMI jest wyposażona w web-serwery umożliwiające wyświetlenie informacji o urządzeniu z poziomu przeglądarki internetowej. Pojawiają się dedykowane aplikacje oferowane przez poszczególnych producentów, które dają nowe możliwości po zestawieniu zdalnego połączenia do urządzenia. Nie zapominajmy że korzystając z tunelu VPN stworzonego przy pomocy np. aplikacji mobilnej Tosibox Mobile Client możemy uruchomić popularny zdalny pulpit (Microsoft Remote Desktop) czy aplikacją VNC.

Jak uruchomić Tosibox Mobile Client?

 

Wymagania

Aby aktywować dożywotnią licencję Tosibox Mobile Client, potrzebujesz:
1. Urządzenia mobilnego z dostępem do Internetu i zainstalowaną aplikacją Tosibox Mobile Client (aplikację Tosibox Mobile Client można pobrać bezpłatnie ze sklepu Google Play lub Apple Store.

- Pobierz aplikację Tosibox Mobile Client na system Android.

- Pobierz aplikację Tosibox Mobile Client na system iOS.

- Tutaj Zakup licencję Tosibox Mobile Client.

2. Komputera PC/Mac z dostępem do Internetu.
3. Klucza sprzętowego Tosibox Key z oprogramowaniem w wersji 2.8.0 lub nowszej i zakupioną licencją lub licencjami Tosibox Mobile Client.
4. Dowolnego routera Tosibox Node z oprogramowaniem w wersji 2.8.0 lub nowszej (dla iPhone i iPad wymagane jest Tosibox Node w wersji 2.14.0 lub nowszej).

Jeżeli potrzebujesz licencję porady odnośnie systemu Tosibox, skontaktuj się z nami kliknjąc na link.

Aktywowanie Licencji Mobile Client

1. Podepnij klucz sprzętowy i otwórz oprogramowanie Tosibox Key na komputerze PC lub Mac.
   2. Z menu wybierz: Devices > Manage Keys.
   3. W oknie dialogowym, które się wyświetli przejdź do zakładki „Mobile Clients” i kliknij „Add”.
   4. Wpisz nazwę urządzenia mobilnego i kliknij „Continue”.
   5. W kolejnym oknie dialogowym, z listy routerów Tosibox Node, wybierz te do których dane urządzenie mobilne powinno mieć dostęp, i kliknij „Continue”. Pojawi się okno dialogowe z wygenerowanym kodem QR i kodem literowo-cyfrowym.

Kontynuuj konfigurację Tosibox Mobile Client na urządzeniu mobilnym

1. Otwórz aplikację Tosibox Mobile Client na urządzeniu mobilnym.
   2. Kliknij ikonę, aby rozpocząć proces parowania.
   3. Zeskanuj kod QR wygenerowany na ekranie komputera PC/Mac lub alternatywnie wpisz wygenerowany kod ręcznie w urządzeniu mobilnym.
   4. Po zakończeniu procesu parowania ustaw hasło dla aplikacji Tosibox Mobile Client.
   5. Gotowe! Aplikacja Tosibox Mobile Client został skonfigurowana i może łączyć się z przypisanymi do niej routerami Tosibox Node, wybranymi urządzeniami IP z podsieci LAN routera i sieciami OT.

Uwaga: Administrator może w dowolnej chwili edytować uprawnienia dostępowe np. dodać dostęp do kolejnych routerów Tosibox Node, ograniczyć dostęp dla danej aplikacji do wybranych adresów IP lub deaktywować licencję Tosibox Mobile Client aby przenieść ją na inne urządzenie mobilne. Do jednego klucza Tosibox Key administratora systemu Tosibox może być przypisanych wiele licencji Tosibox Mobile Client. Licencje Tosibox Mobile Client są dożywotnie.

Pierwsze użycie aplikacji

📲 Na urządzeniu z systemem Android: użytkownik musi zatwierdzić zgodę na ustanowienie połączenia VPN, klikając „OK” lub „I trust this application”.
📲 Na urządzeniu iPhone/iPad: użytkownik musi autoryzować instalację profilu VPN, wpisując kod blokady urządzenia.

Łączenie się z urządzeniami sieciowymi

Uruchom aplikację, kliknij Connect aby zestawić połączenie VPN z routerem Tosibox Node. Po zestawieniu połączenia pojawi się lista urządzeń z sieci LAN routera, aby otworzyć web serwer urządzenia sieciowego w przeglądarce, kliknij wybrane urządzenie w aplikacji Tosibox Mobile Client a następnie wybierz Open in browser. Jeżeli urządzenie nie ma interfejsu webowego (HTTP/HTTPS), możesz skorzystać z zewnętrznych aplikacji do połączenia, można je znaleźć w Google Play i App Store.

Wskazówka: Nie musisz wpisywać ręcznie adresu IP. Możesz skopiować go do schowka za pomocą przycisku Copy IP Address, a następnie wkleić go do aplikacji zewnętrznej lub przeglądarki.

Poniżej przykładowe aplikacje, które można wykorzystać do diagnostyki lub podglądu danych po zestawieniu szyfrowanego tunelu VPN. Aplikacje te były dostępne w momencie pisania instrukcji i służą wyłącznie jako przykłady. Tosibox nie gwarantuje ich działania ani utrzymania.

1. Aplikacja SIMATIC WinCC Sm@rtClient umożliwia zdalny szyfrowany dostęp do urządzeń SIMATIC HMI ze smartfonów i tabletów z systemem Android i iOS. 

Zakres koncepcji Sm@rtClient pozwala na udostępnienie ekranu stacji operatorskiej w aplikacji. Stacja ta pełni rolę Sm@rtServera, natomiast smartfon lub tablet działa jako Sm@rtClient. Funkcjonalność Sm@rtServera można łatwo aktywować jednym kliknięciem w ustawieniach konfiguracyjnych urządzenia. Aplikacja Sm@rtClient nie tylko wyświetla wybraną wizualizację, ale także prezentuje cały układ stacji operatorskiej, w tym wszystkie przyciski sprzętowe urządzenia. Dzięki temu użytkownik może obsługiwać urządzenie tak, jakby znajdował się bezpośrednio przed nim – z tą różnicą, że zamiast fizycznego naciskania przycisków, aktywuje je poprzez ekran dotykowy smartfona lub tabletu.

- Pobierz aplikację Sm@rtClient na system Android

- Pobierz aplikację Sm@rtClient na system iOS.

Obejrzyj działanie aplikacji SmartClient w połączeniu z Tosibox Mobile Client, kliknij link.

1. Windows Remote Desktop Protocol (RDP)

Do połączeń RDP można używać następujących aplikacji:
- Pobierz Microsoft Remote Desktop na system Android                                                           

- Pobierz Microsoft Remote Desktop na system iOS

- Pobierz Parallels RDP Client na system Android

2. VNC (Virtual Network Computing)

Do połączeń VNC można używać następujących aplikacji:
- Pobierz bVNC na system Android
- Pobierz VNC Viewer na system Android,

- Pobierz VNC Viewer na system iOS

Zagrożenia związane ze zdalnym dostępem do interfejsów HMI bez dodatkowego szyfrowania połączenia np. poprzez system Tosibox. (źródło: CISA, https://www.cisa.gov)

Organizacje badawcze zaobserwowały, że hakerzy stosują różne techniki, aby uzyskać zdalny dostęp do interfejsów HMI i modyfikować działanie systemów OT. Wykorzystywane przez nich metody obejmują:

• Użycie protokołu VNC do uzyskania dostępu do interfejsów HMI i wprowadzania zmian w systemach OT. VNC jest powszechnie stosowany do zdalnego dostępu do graficznych interfejsów użytkownika, w tym interfejsów HMI, które sterują systemami OT.
• Wykorzystanie protokołu VNC Remote Frame Buffer (RFB) do logowania się do interfejsów HMI i przejmowania kontroli nad systemami OT.
• Dostęp do interfejsów HMI poprzez port 5900, z powodu stosowania domyślnych danych uwierzytelniających oraz słabych haseł, które nie są chronione uwierzytelnianiem wieloskładnikowym (MFA).

Ataki te stanowią poważne zagrożenie dla infrastruktury krytycznej i wymagają wdrożenia odpowiednich środków bezpieczeństwa, aby ograniczyć ryzyko nieautoryzowanego dostępu

Zabezpieczenie zdalnego dostępu do interfejsów HMI

Należy odłączyć wszystkie interfejsy HMI, takie jak ekrany dotykowe używane do monitorowania lub wprowadzania zmian w systemie, a także sterowniki PLC, od sieci publicznych. Jeśli zdalny dostęp jest konieczny, należy wdrożyć firewall i/lub tunelowanie VPN z silnym hasłem oraz uwierzytelnianiem wieloskładnikowym (MFA), aby kontrolować dostęp do urządzeń.

Należy włączyć uwierzytelnianie wieloskładnikowe (MFA) dla każdego zdalnego dostępu do sieci OT.

Należy zmienić wszystkie domyślne i słabe hasła w interfejsach HMI i ustawić silne, unikalne hasło.

Należy zaktualizować oprogramowanie VNC do najnowszej wersji i upewnić się, że wszystkie systemy oraz aplikacje są regularnie aktualizowane i zabezpieczane poprawkami bezpieczeństwa.

Należy wprowadzić listę dozwolonych adresów IP, która umożliwia dostęp tylko autoryzowanym urządzeniom.

Należy monitorować i rejestrować zdalne logowania do HMI, zwracając szczególną uwagę na nieudane próby logowania oraz dostęp w nietypowych godzinach.

Implementacja tych środków ochrony pozwoli zminimalizować ryzyko nieautoryzowanego dostępu do systemów OT i zwiększyć odporność infrastruktury na cyberzagrożenia.

Aplikacja Tosibox Mobile Client umożliwia bezpieczny, zdalny dostęp do urządzeń automatyki, systemów SCADA, PLC, HMI z urządzeń mobilnych i dodatkowo zabezpiecza protokoły takie jak VNC czy RDP wprowadzając tunelowanie VPN szyfrowane algorytmem AES-256 CBC.