Meget mere Industrial Cyber Security - Please, Part III
Har du erkendt dit problem?
Hvis du ikke allerede har læst Industrial Cyber Security, Part I - Har du et problem, eller er det blot endnu et smart buzzword, så opfordres du til at læse dette tidligere blogindlæg først.
Udgangspunktet for at løse et problem er jo nemlig først, at erkende at du har et problem.
Har du et overblik, eller famler du rundt i blinde?
Hvis du ikke allerede har læst Industrial Cyber Security, Part II - Har du et overblik, eller famler du rundt i blinde, så opfordres du til at læse dette tidligere blogindlæg først.
Udgangspunktet for at løse et problem er jo nemlig først, at få et overblik over problemets omfang og kompleksitet.
Har du en løsning?
Der er ingen ”quick fixes” til komplekse problemstillinger, det gælder også omkring Industrial Cyber Security.
Når du har erkendt at du har et problem og kender problemets omfang, så kan du begynde at implementere de nødvendige tiltag.
Defense in Depth – En hurtig intro
Du kan lige så godt være ærlig, du er i åben krig – en Cyber War.
Som i en ”rigtig” krig, gælder det både om at have de rigtige forsvars- og angrebsvåben, have den nødvendige organisation, det nødvendige overblik, den rigtige strategi og taktik, samt den nødvendige tid.
Det er derfor ikke overraskende at du i en Industrial Cyber Security sammenhæng, ofte hører begrebet ”Defense in Depth”, som stammer fra militærlitteraturen.
Jeg har fundet denne video, der på kinesisk (men heldigvis med engelske undertekster) ganske overbevisende giver en hurtig introduktion til Defense in Depth.
[video: https://youtu.be/qnTfGNJffHk]
Videoen er fra Hong Kong, hvilket blot beviser at Cyber Security er en global udfordring.
Defense in Depth – Et skridt dybere
Defence in Depth tager altså udgangspunkt i, at du skal have et samlet forsvarssystem, der er opdelt i forskellige lag der adressere forskellige del-problemer.
Tiden hvor en Firewall eller et Antivirus program alene kunne løse problemet, er endegyldig forbi.
Sofistikerede angreb kræver sofistikerede modangreb.
Sikring af produktionsapparatet
I første omgang er opgaven at beskytte de fysiske faciliteter og systemer via effektive adgangskontrol systemer.
Ligeledes er der en række organisatoriske og procesmæssige forhold du skal håndtere.
- Fysisk adgangskontrol
Har du sikret dig, at kun autoriserede personer har adgang til selve fabrikken, til server rummet og andre computere på netværket?
- Processer og guidelines jf. ISA99 / IEC 62443
Disse standarder beskriver en række forhold som skal håndteres.
Ved at følge disse standarder, sikrer du dig at alle taler samme sprog (både internt i din organisation og i din dialog med kunder, leverandører og partnere) således at du får det hele med og undgår misforståelser.
- Plant Security Services
Som beskrevet i seneste blogindlæg, er det at foretage et self-assestment omkring ens risikoprofil ekstremt vigtigt.
Dette er en løbende proces, som skal sikre at din organisation og din teknologi altid er ”klar til at være klar” og dermed kan reagere hurtigt og effektivt i tilfælde at et angreb.
Netværks sikkerhed
Her er fokus på selve netværksstrukturen og de valgte hardware og software kommunikations komponenter.
- Demilitarized zone (DMZ)
Er dit netværk opdelt i passende zoner (DMZ), således at adgangen for både brugere og applikationer kan styres i detaljer?
Er dit netværk opdelt i passende zoner (DMZ), således at den fortsatte drift at hele anlægget sikres bedst muligt i tilfælde at et angreb?
Hvorfor var nu nu at Titanic sank?
Hun sejlede ind i et isbjerk og sprang læk.
Men hvorfor sank hun?
- Firewalls
Er der et passende antal brandmure mellem de enkelte rum i dit hus?
Har du sikret dig, at en brand et sted i huset ikke spreder sig til hele huset i løbet af ingen tid, men at branden begrænses til der hvor branden opstod?
Har du sikret dig at brandmurene kan holde så længe at brandvæsenet kan nå frem og iværksætte en effektiv brandslukning?
Ovennævnte 3 spørgsmål gælder både indenfor bygningskonstruktion og i overført betydning også indenfor Industrial Cyber Security.
- Virtual Private Networks (VPN)
Har du sikret dig at kommunikation af data (det være sig eksternt og internt) er passende krypteret og beskyttet?
Bruger du VPN forbindelser og/eller andre data krypteringsprotokoller?
Systemintegritet
Her er fokus på deltagerne i netværket, fx på PLC’erne og SCADA systemerne?
- System robusthed
Er dine automationskomponenter designet til at kunne modstå uautoriseret adgang?
Er der kopibeskyttelse indbygget, således at data ikke stjæles eller manipuleres?
- Bruger administration
Er dine systemer, fx PLC’er og SCADA systemer password beskyttet på en professionel måde, således at det sikres at kun autoriseret personel har adgang til konkrete systemer og data (on a need to know basis)?
Har du implementeret et professionelt password håndteringsmekanisme?
- Patch Management
I en foranderlig verden er en ting sikkert, nemlig at alt er foranderligt.
Der vil komme nye sikkerhedsmæssige udfordringer, der kræver opdateringer af hardware, firmware og software.
Der vil være udfordringer i at opdatere fx operativsystemer og firmware på kørende anlæg.
Patch Management er et af de mest kritiske aspekter ved Industrial Cyber Security, bl.a. fordi patches fra fx Microsoft ikke nødvendigvis er kompatible med det kørende automationssoftware.
- Opdagelse af angreb (IDS)
Intrusion Detection System (IDS) er et udtryk for din evne til at opdage et Cyber Attack.
Der findes en række koncepter, der kan hjælpe dig med at opdage unormal adfærd på dit netværk og dermed give dig en advarsel om et muligt angreb.
Formålet med IDS – i samspil med DMZ og Firewalls etc. - er at give dig det fornødne overblik og den fornødne tid til at stoppe angrebet, begrænse skaden og iværksætte et ”modangreb”.
Defense in Depth – Beskrevet i detaljer via ISA99 / IEC 62443
Du vil kunne finde en masse yderligere information omkring Defense in Depth på nettet, fx via ISA99
McClane har fokus på industriel IT sikkerhed
Problemstillingen er reel nok, løsningen nok lidt for........men det er en god film :-)
DAu har også fokus på industriel IT sikkerhed
I samarbejde med IDA Automation afholder vi en DAu konference omkring emnet.
Mød op og erkend dit problem, få et overblik, vi har måske også løsningen…?
Læs mere om DAu på vores hjemmeside, på LinkedIn og nu også på Facebook.
