Zarządzanie ryzykiem cybernetycznym w przemysłowych systemach sterowania oraz taktyczna obrona przemysłowych systemów ICS/OT są możliwe.
Jako menedżerowie ds. bezpieczeństwa przemysłowych systemów sterowania (ICS) wiemy, że osoby dokonujące cyberataków mają umiejętności znacznie wykraczające poza tradycyjne techniki włamań do systemów informatycznych (IT) oraz techniki eksfiltracji danych. Ludzie ci już dawno temu skierowali swoją uwagę na przemysłowe środowiska technologii operacyjnej (OT) i zademonstrowali znajomość systemów ICS oraz umiejętności tworzenia narzędzi zdolnych do skutecznego zaatakowania takich systemów w celu uzyskania do nich dostępu i spowodowania negatywnych skutków.
Cyberataki często koncentrują się na spowodowaniu wewnętrznych uszkodzeń systemów przemysłowych, których konsekwencje w przypadku systemów ICS są poważne i mogą przynosić również skutki zewnętrzne, ponieważ ataki te mogą wpływać na bezpieczeństwo ludzi i środowiska naturalnego w zależności od rodzaju obiektu. Włamania do systemów ICS mogą powodować zmiany fizyczne o katastrofalnych skutkach ? wyobraźmy sobie na przykład zaatakowany przez cyberprzestępców przyrządowy system bezpieczeństwa (SIS) gazociągu. System ten nie będzie w stanie monitorować i bezpiecznie wyłączyć tego gazociągu w przypadku nadmiernego wzrostu ciśnienia, co grozi katastrofą.
Znacznie poważniejsze konsekwencje cyberataków na nowoczesne systemy ICS mogą obejmować:
- masowe przerwy w dostawie energii elektrycznej w dużych miastach i całych regionach,
- awarie kluczowych urządzeń produkcyjnych,
- ogromne straty finansowe przedsiębiorstw,
- paraliż inteligentnej infrastruktury ratunkowej w dużych aglomeracjach,
- obrażenia pracowników zakładów produkcyjnych,
- poważne szkody w środowisku naturalnym.
Włamania do systemów ICS będą nadal występować i prawdopodobnie wzrośnie ich dotkliwość oraz zakres konsekwencji we wszystkich sektorach infrastruktury krytycznej. Jednak zarządzanie ryzykiem cybernetycznym systemów sterowania oraz taktyczna obrona systemów ICS/OT są możliwe. Dzięki nim można chronić kluczowe zasoby w zakładach i skupić się na odzyskiwaniu sprawności przez system po awarii, co poprawi cyberodporność przedsiębiorstwa i skróci średni czas odzyskiwania sprawności.
Proaktywna cyberobrona systemów ICS oraz odzyskiwanie przez nie sprawności po incydentach
Niezależnie od tego, czy jesteśmy nowymi, doświadczonymi lub początkującymi, awansującymi albo obecnymi menedżerami bezpieczeństwa systemów ICS”, dobrze zrobimy, skupiając się na zabezpieczeniach specyficznych dla ICS przede wszystkim po to, aby zapobiec przedostaniu się cyberprzestępców do sieci przemysłowej. Równolegle jednak, aby chronić przed atakiem infrastrukturę krytyczną, powinniśmy współpracować z działami inżynierskimi w celu udoskonalenia procesów odzyskiwania sprawności przez systemy po cyberatakach. Dzięki temu cyberodporność zakładu wzrośnie.
Jako menedżerowie ds. bezpieczeństwa systemów ICS musimy wspierać nasze zespoły i prowadzić je do sukcesu. Oznacza to przede wszystkim ustawienie członków naszego zespołu oraz posiadanych technologii w pozycji Aktywnej Obrony w modelu Przesuwnej Skali Cyberbezpieczeństwa firmy Sans. Aktywna cyberobrona to proces, w którym przeszkoleni analitycy ICS wykorzystują technologię do monitorowania, reagowania i wyciągania wniosków z zagrożeń wewnętrznych dla sieci sterowania. Aktywna obrona jest najbardziej efektywna, jeśli zbudować ją na szczycie architektury sieci ICS, a jej kolejnymi warstwami są obrona pasywna oraz udokumentowane zarządzanie zasobami.
Posiadanie właściwych informacji o zasobach w zakładzie pomaga w szybkim odzyskaniu sprawności przez system ICS po cyberataku
Identyfikację zasobów systemu ICS można podzielić na cztery metody, które mogą być realizowane przez Wasz zespół indywidualnie lub razem w celu zwiększenia dokładności. Są to: Inspekcja Fizyczna, Pasywna Analiza Ruchu Sieciowego, Aktywne Skanowanie i Analiza Konfiguracji. Każda z metod wiąże się z innym ryzykiem i czasem potrzebnym do jej wykonania.
Praktyczne kroki, które może podjąć Wasz zespół w celu ustanowienia zarządzania zasobami ICS, to połączenie inspekcji fizycznej, analizy konfiguracji i pasywnego przechwytywania ruchu sieciowego, na przykład w następujący sposób:
- Zaczynamy od przejrzenia wszelkich już stworzonych schematów sieciowych i dokumentacji technicznej, takiej jak ?dokumentacja powykonawcza?, aby zidentyfikować zasoby, o których mówi się, że są wykorzystywane w produkcji.
- Używamy zabezpieczonego laptopa z zainstalowanym co najmniej podstawowym arkuszem kalkulacyjnym, aby rozpocząć katalogowanie i zapisywanie informacji o zasobach systemu ICS podczas fizycznej inspekcji w obiekcie. Nie zapomnijmy swojego certyfikatu szkolenia w zakresie cyberbezpieczeństwa i środkach ochrony osobistej BHP, aby móc wejść do obiektu.
- Uzupełniamy fizyczną inspekcję obiektu pasywnym przechwytywaniem pakietów sieciowych w kluczowych segmentach sieci, w których znajdują się najważniejsze (krytyczne) zasoby ICS (sterowniki PLC, rejestratory danych, interfejsy operatorskie HMI i robocze stacje inżynierskie). Używamy do tego celu konfiguracji SPAN (Switched Port Analyzer) w pełni zarządzanego przełącznika sieciowego lub sprzętowego urządzenia umożliwiającego włączenie się do sieci (TAP-u; ang. Test Access Point).
- Upewniamy się, że konfiguracje urządzeń obiektowych są bezpiecznie zapisywane, przechowywane i dostępne do porównania podczas cyberincydentu, tak aby personel inżynierski mógł podczas działań naprawczych odzyskać dane lub wczytać aktualne, niezainfekowane pliki projektu oraz ustawienia urządzeń.
Jako minimum, Wasz zespół powinien uchwycić poniższe atrybuty z powszechnie branych na cel przez cyberprzestępców kluczowych zasobów zakładów przemysłowych, takich jak sterowniki PLC, rejestratory danych, panele operatorskie, inżynierskie stacje robocze, urządzenia sieciowe i aktywne systemy SIS. Może to być wykorzystane do zrozumienia powierzchni ryzyka opartej na ujawnionych słabych punktach i pomóc w mapowaniu zabezpieczeń przed umiejętnościami i metodami przeciwnika, uzyskanymi ze źródeł wywiadowczych.
1 oryg. step-up, step-over, or in-place ICS security manager
2 Sliding Scale of Cybersecurity
3 ang. IT asset inventory
4 ang. tradecraft
Artykuł ukazał się pierwotnie na stronie firmy SANS Institute. Jest ona partnerem merytorycznym CFE Media and Technology.