Dette indlæg er alene udtryk for skribentens egen holdning.

Meget mere Industrial Cyber Security - Please, Part III

13. september 2015 kl. 21:05
Artiklen er ældre end 30 dage

Har du erkendt dit problem?

Hvis du ikke allerede har læst Industrial Cyber Security, Part I - Har du et problem, eller er det blot endnu et smart buzzword, så opfordres du til at læse dette tidligere blogindlæg først.

Udgangspunktet for at løse et problem er jo nemlig først, at erkende at du har et problem.

Har du et overblik, eller famler du rundt i blinde?

Hvis du ikke allerede har læst Industrial Cyber Security, Part II - Har du et overblik, eller famler du rundt i blinde, så opfordres du til at læse dette tidligere blogindlæg først.

Udgangspunktet for at løse et problem er jo nemlig først, at få et overblik over problemets omfang og kompleksitet.

Har du en løsning?

Illustration: Privatfoto.

Artiklen fortsætter efter annoncen

Der er ingen ”quick fixes” til komplekse problemstillinger, det gælder også omkring Industrial Cyber Security.

Når du har erkendt at du har et problem og kender problemets omfang, så kan du begynde at implementere de nødvendige tiltag.

Defense in Depth – En hurtig intro

Du kan lige så godt være ærlig, du er i åben krig – en Cyber War.

Som i en ”rigtig” krig, gælder det både om at have de rigtige forsvars- og angrebsvåben, have den nødvendige organisation, det nødvendige overblik, den rigtige strategi og taktik, samt den nødvendige tid.

Artiklen fortsætter efter annoncen

Det er derfor ikke overraskende at du i en Industrial Cyber Security sammenhæng, ofte hører begrebet ”Defense in Depth”, som stammer fra militærlitteraturen.

Jeg har fundet denne video, der på kinesisk (men heldigvis med engelske undertekster) ganske overbevisende giver en hurtig introduktion til Defense in Depth.

[video: https://youtu.be/qnTfGNJffHk]

Videoen er fra Hong Kong, hvilket blot beviser at Cyber Security er en global udfordring.

Defense in Depth – Et skridt dybere

Defence in Depth tager altså udgangspunkt i, at du skal have et samlet forsvarssystem, der er opdelt i forskellige lag der adressere forskellige del-problemer.

Tiden hvor en Firewall eller et Antivirus program alene kunne løse problemet, er endegyldig forbi.

Sofistikerede angreb kræver sofistikerede modangreb.

Sikring af produktionsapparatet

I første omgang er opgaven at beskytte de fysiske faciliteter og systemer via effektive adgangskontrol systemer.

Ligeledes er der en række organisatoriske og procesmæssige forhold du skal håndtere.

  • Fysisk adgangskontrol

Har du sikret dig, at kun autoriserede personer har adgang til selve fabrikken, til server rummet og andre computere på netværket?

  • Processer og guidelines jf. ISA99 / IEC 62443

Disse standarder beskriver en række forhold som skal håndteres.

Ved at følge disse standarder, sikrer du dig at alle taler samme sprog (både internt i din organisation og i din dialog med kunder, leverandører og partnere) således at du får det hele med og undgår misforståelser.

  • Plant Security Services

Som beskrevet i seneste blogindlæg, er det at foretage et self-assestment omkring ens risikoprofil ekstremt vigtigt.

Dette er en løbende proces, som skal sikre at din organisation og din teknologi altid er ”klar til at være klar” og dermed kan reagere hurtigt og effektivt i tilfælde at et angreb.

Netværks sikkerhed

Her er fokus på selve netværksstrukturen og de valgte hardware og software kommunikations komponenter.

  • Demilitarized zone (DMZ)

Er dit netværk opdelt i passende zoner (DMZ), således at adgangen for både brugere og applikationer kan styres i detaljer?

Er dit netværk opdelt i passende zoner (DMZ), således at den fortsatte drift at hele anlægget sikres bedst muligt i tilfælde at et angreb?

Hvorfor var nu nu at Titanic sank?

Hun sejlede ind i et isbjerk og sprang læk.

Men hvorfor sank hun?

  • Firewalls

Er der et passende antal brandmure mellem de enkelte rum i dit hus?

Har du sikret dig, at en brand et sted i huset ikke spreder sig til hele huset i løbet af ingen tid, men at branden begrænses til der hvor branden opstod?

Har du sikret dig at brandmurene kan holde så længe at brandvæsenet kan nå frem og iværksætte en effektiv brandslukning?

Ovennævnte 3 spørgsmål gælder både indenfor bygningskonstruktion og i overført betydning også indenfor Industrial Cyber Security.

  • Virtual Private Networks (VPN)

Har du sikret dig at kommunikation af data (det være sig eksternt og internt) er passende krypteret og beskyttet?

Bruger du VPN forbindelser og/eller andre data krypteringsprotokoller?

Systemintegritet

Her er fokus på deltagerne i netværket, fx på PLC’erne og SCADA systemerne?

  • System robusthed

Er dine automationskomponenter designet til at kunne modstå uautoriseret adgang?

Er der kopibeskyttelse indbygget, således at data ikke stjæles eller manipuleres?

  • Bruger administration

Er dine systemer, fx PLC’er og SCADA systemer password beskyttet på en professionel måde, således at det sikres at kun autoriseret personel har adgang til konkrete systemer og data (on a need to know basis)?

Har du implementeret et professionelt password håndteringsmekanisme?

  • Patch Management

I en foranderlig verden er en ting sikkert, nemlig at alt er foranderligt.

Der vil komme nye sikkerhedsmæssige udfordringer, der kræver opdateringer af hardware, firmware og software.

Der vil være udfordringer i at opdatere fx operativsystemer og firmware på kørende anlæg.

Patch Management er et af de mest kritiske aspekter ved Industrial Cyber Security, bl.a. fordi patches fra fx Microsoft ikke nødvendigvis er kompatible med det kørende automationssoftware.

  • Opdagelse af angreb (IDS)

Intrusion Detection System (IDS) er et udtryk for din evne til at opdage et Cyber Attack.

Der findes en række koncepter, der kan hjælpe dig med at opdage unormal adfærd på dit netværk og dermed give dig en advarsel om et muligt angreb.

Formålet med IDS – i samspil med DMZ og Firewalls etc. - er at give dig det fornødne overblik og den fornødne tid til at stoppe angrebet, begrænse skaden og iværksætte et ”modangreb”.

Defense in Depth – Beskrevet i detaljer via ISA99 / IEC 62443

Du vil kunne finde en masse yderligere information omkring Defense in Depth på nettet, fx via ISA99

McClane har fokus på industriel IT sikkerhed

Problemstillingen er reel nok, løsningen nok lidt for........men det er en god film :-)

Remote video URL

DAu har også fokus på industriel IT sikkerhed

I samarbejde med IDA Automation afholder vi en DAu konference omkring emnet.

Mød op og erkend dit problem, få et overblik, vi har måske også løsningen…?

Læs mere om konferencen her.

Illustration: Privatfoto.

Læs mere om DAu på vores hjemmeside, på LinkedIn og nu også på Facebook.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger