Alle fabrikker og produksjonsmiljøer er forskjellige. Det betyr også at tilnærmingen til hvordan vi beskytter produksjonen vil være forskjellig fra miljø til miljø. Likevel er det noen felles tiltak som er vesentlige. Denne artikkelen belyser 5 kritiske tiltak som du bør fokusere på for å beskytte din produksjon.
Triple-S sin reise innen cybersikkerhet startet for mange år siden, men ble formelt skilt ut i et eget forretningsområde i 2017. Etter den tid har vi jobbet med mange kunder ved å levere både teknologi og rådgivende tjenester. Våre første oppdrag var å bistå kunder med risikovurderinger i henhold til IEC-62443.
Kartlegging og risikovurdering
IEC-62443 er en standard for ledelse av cybersikkerhetsprogram for virksomheter med industrielle kontrollsystemer. Standarden var fortsatt i “draft” da vi startet å jobbe med den. Den var altså ikke offisielt frisluppet, men var ventet å bli ferdigstilt innen kort tid.
I standarden er det et eget kapittel som fokuserer på risikovurdering (IEC 62443-3-2). Første oppgave i en slik vurdering er å kartlegge hvilken risiko bedriften kan akseptere. Et viktig punkt som involverer toppledelsen i selskapet. Neste oppgave er å kartlegge de absolutt verste scenariene for selskapet. Kan ting gå i lufta? Er det fare for menneskeliv? Er det stans over tid som er største konsekvens?
Neste oppgave er å bestemme hva som skal inkluderes i videre risikoanalyse, og dele inn produksjonen i soner. Derfra skal det gjøres detaljert risikoanalyse, kartlegge utstyr og sårbarheter. Som du sikkert forstår, så vil det drøye ganske lenge før vi får implementert noen tiltak dersom vi starter med en slik omfattende analyse.
3 grunnleggende tiltak
Mange selskaper sitter fast i dette arbeidet uten å få gjort et eneste tiltak som faktisk reduserer risikoen for angrep. Det viktigste er faktisk å gjøre noe, og ikke analysere seg “ihjel” før tiltakene blir implementert.
Etter å ha gjort en rekke slike risikovurderinger forsto vi at mange av tiltakene som ble anbefalt ut fra disse vurderingene var de samme. Vi kom frem til 3 tiltak som alltid ble en del av anbefalingene:
- Skille IT fra OT med en iDMZ
- Etablere en løsning for sikker fjerntilkobling til OT
- Etablere et system for overvåking av trafikk i OT og kartlegging av sårbarheter
Etter noen år stiftet vi bekjentskap med organisasjonen SANS Institute gjennom videreutdanning og sertifisering. SANS Institute er en opplæringsinstitusjon innen cybersikkerhet og er anerkjent som en av de ledende innen området.
5 Critical Controls
SANS Institute har egne kurs for ICS (Industrial Control Systems) og sommeren 2023 deltok vi på SANS ICS410 og tok tilhørende sertifisering (GICSP) senere på høsten. Som en del av denne prosessen oppdaget vi at SANS Institue hadde utviklet noen anbefalinger som omtales som “5 Critical Controls for ICS Cyber Security”, skrevet av Robert M. Lee og Tim Conway.
5 Critical Controls kan sees på som et sett med minimum anbefalte tiltak for å redusere risiko for angrep. Hver enkelt bedrift må imidlertid ha sitt eget sikkerhetsprogram hvor tiltakene er målrettet og tilpasset risikobildet for virksomheten.
5 Critical Controls for ICS anbefaler følgende:
- Etablere en Incident Respons-plan som inkluderer OT
- Implementere en beskyttende nettverksarkitektur
- Overvåking av nettverksttrafikk i OT
- Sikker fjerntilkobling til OT
- Risikobasert håndtering av sårbarheter i OT
La oss se mer på hva som ligger i disse.
1. Etablere en Incident Respons-plan som inkluderer OT
Produksjonsbedrifter bør ha en Incident Respons-plan som inkluderer produksjonsmiljøet. Produksjonsmiljøet og de industrielle kontrollsystemene er hjertet i virksomheten. Likevel er det ofte slik at virksomheter kun har en Incident Respons-plan for IT, som i denne konteksten er støttesystemene.
En feil mange virksomheter gjør er å tenke på Incident Respons helt til slutt i arbeidet med cybersikkerhet. Ved å tenke på Incident Respons først, vil det komme frem hvilke behov bedriften har for innsikt, kompetanse og ressurser dersom angrepet er en realitet.
Et eksempel på mangelfull planlegging er dersom bedriften kontakter en Incident Respons-ekspert ved en hendelse, og ikke har tenkt på OT i denne sammenhengen. Det første en slik ressurs vil spørre om er:
- “Hvilke systemer har dere i OT? Kan jeg se en liste over alle enheter i nettverket?”.
- “Hvilken risikovurdering har blitt gjort knyttet til produksjonen? Hvor er de områdene med størst risiko? Er det potensielt fare for menneskeliv ved et angrep?”
Mange bedrifter er ikke i stand til å svare på disse spørsmålene. Når hendelsen er en realitet er stressnivået høyt, og det er vanskelig å kartlegge denne informasjonen i en slik stund. Konsekvensen er at en profesjonell Incident Respons-ressurs må kartlegge systemene og risikoen som en del av arbeidet med å beskytte virksomheten under angrep. Dette er dyrt, forsinker arbeidet med å respondere på angrepet og er unødvendig bruk av ekspertise.
En Incident Respons-plan kan utvikles gjennom planlegging og øvelse. En slik øvelse kan arrangeres som en “Table Top Exercise”, som er et rollespill hvor organisasjonen blir utsatt for en rekke scenarier, og må komme opp med svar på ulike problemstillinger Det er mye læring i en slik øvelse og det er her virksomheten kan tilpasse planen til sitt risikobilde.
Les også: Forbered bedriften på cyberangrep: Slik lager du en responsplan
2. Implementere en beskyttende nettverksarkitektur
En beskyttende nettverksarkitektur reduserer risiko betydelig gjennom design. Vi vet med sikkerhet at største andelen av cyberangrep starter i IT, og at den største trusselen er Ransomware-aktører. IT er således den største angrepsvektoren til OT.
Ved å segmentere IT og OT fra hverandre vil sannsynligheten for at angrepet sprer seg til OT reduseres betydelig. Dette kan gjøres ved å implementere det som kalles en iDMZ. Det er også anbefalt å segmentere kritiske systemer i OT fra mindre kritiske systemer. Ved å segmentere ulike systemer fra hverandre vil det bli vanskeligere for en angriper å navigere seg rundt i OT-systemene.
3. Overvåking av nettverkstrafikk i OT
Dersom angriperen likevel trenger gjennom sikkerhetsbarrierene er det viktig å oppdage dette så raskt som mulig, slik at vi kan iverksette vår Incident Response-plan som også inkluderer OT. Uten at vi vet om vi har uønsket trafikk i OT har vi ingen forutsetning for å iverksette denne planen. Derfor er det viktig å oppdage angrepet så tidlig som mulig for å nøytralisere trusselen.
Passiv overvåking av nettverkstrafikk i OT er avgjørende for å oppdage trusler. Ved å lytte på trafikk omkring de mest kritiske systemene i OT beveger vi oss over til en proaktiv forsvarstaktikk som ytterligere reduserer risiko. Det er også mange andre fordeler ved å overvåke trafikk i OT. Overvåking av trafikk kan være med på å oppdage andre uregelmessigheter som for eksempel ustabilitet i nettverket.
4. Sikker fjerntilkobling til OT
Mange produksjonsbedrifter stoler for mye på sine maskinbyggere og underleverandører. Cybersikkerhet kan ikke delegeres til maskinbyggere. Det er sluttkunden som er systemeier og må sørge for sikkerheten i egne systemer.
Vi ser for ofte at maskinbyggere har direkte tilgang til nettverk i produksjonen gjennom fjerntilkoblingsløsninger som leveres som en del av leverandørens servicekonsept. Gjennom kartleggingsarbeid som Triple-S har utført for flere kunder finner vi ofte mange av disse enhetene i elektrotavlene. Dette er løsninger som ikke forvaltes av sluttkunden, og utgjør derfor en betydelig sikkerhetsrisiko.
Et tiltak som reduserer risiko betydelig, er derfor å etablere en løsning for sikker fjerntilkobling til OT som sluttkunden forvalter og som alle partnere og leverandører må forholde seg til. Disse løsningene må være laget for OT-miljø slik at partnere og leverandører raskt kan få tilgang til sitt utstyr ved behov. Løsningen må forvaltes av OT som kjenner leverandørene og egne systemer.
5. Risikobasert håndtering av sårbarheter i OT
Sårbarheter er svakheter i programvare eller enheter som en angriper kan utnytte for å skaffe seg tilgang. Sårbarheter utgjør en angrepsflate. Det er mange sårbarheter som fortsatt ikke er oppdaget.
Operativsystemer består av mange millioner linjer med kildekode. Antallet sårbarheter er derfor dynamisk fordi det hele tiden oppdages nye. Det er viktig å ha oversikt og hvilke sårbarheter som aktivt utnyttes i angrep, og som er relevant for de områdene sluttkundens produksjon med størst risiko. For dette behøver vi verktøy. Overvåking av nettverkstrafikk i #3 vil fungere som datainnsamling for å få oversikt over sårbarheter knyttet til OT-systemer. En risikobasert håndtering av disse sårbarhetene vil gjøre håndteringen overkommelig.
Vi kan ikke fjerne alle sårbarheter i OT. Det er ikke mulig. Vi må håndtere de sårbarhetene som utgjør størst risiko, enten ved å oppdatere programvaren eller iverksette andre risikoreduserende tiltak.
SANS 5 Critical Controls for ICS Cybersecurity er en god tilnærming for å redusere risiko. Det er viktig å iverksette raske tiltak som reduserer risikoen for cyber-angrep og heller benytte tiden til å “finslipe” strategien når grovarbeidet er gjennomført. Det absolutt viktigste er at vi gjør noe. Trusselbildet er økende, men dessverre øker ikke tiltakene hos selskapene i samme tempo.
“Defence is doable!”. Gjør noe, nå!