Sådan øges sikkerheden i SCADA-netværket

1. Identificer alle forbindelser til SCADA-netværk

Kortlæg og vurder alle forbindelser til SCADA-netværket for at få overblik over, hvor godt disse forbindelser er beskyttet.

 

Identificer og vurder følgende typer af forbindelser

 

  • LAN- og WAN-netværk inklusiv det administrative netværk
  • Internetforbindelser
  • Trådløse forbindelser
  • Modem og opkaldsforbindelser
  • Forbindelser til leverandører og samarbejdspartnere.

2. Afbryd alle unødvendige forbindelser til SCADA-netværket

Isoler SCADA-netværket fra andre netværksforbindelser for at opnå den størst mulige grad af sikkerhed i SCADA-systemet.

 

Overvej eventuelle risici ved at etablere en direkte forbindelse til andre netværk, der overfører vigtige oplysninger.

 

Det primære mål er at sikre, at SCADA er beskyttet.

 

Selv om direkte forbindelser med andre netværk kan tillade vigtige oplysninger, der skal videregives effektivt og bekvemt, bør disse forbindelser overvejes nøje.

 

Brug eventuelt “demilitariseret zone” (DMZ) og “data warehousing” til at sikre overførsel af data fra SCADA-netværket til businessnetværk. Men overførslerne skal udformes og gennemføres korrekt for at undgå yderligere risiko ved en forkert konfiguration.

3. Vurdere og øg sikkerheden for de resterende forbindelser

Find ud af hvor sårbart systemet er ved at udføre test og analyser af de resterende forbindelser til SCADA-netværket.

 

Risikovurderingen bruges til at udvikle en robust sikring af forbindelser til SCADA-netværket.

 

Da SCADA-netværket kun er så sikkert som dets svageste punkt, er det vigtigt, at indføre firewalls, intrusion detectionsystemer (IDS) og andre passende sikkerhedsforanstaltninger på hvert forbindelsespunkt.

 

Konfigurer regler for firewall, der forbyder adgang til og fra SCADA-netværk og være så specifik som muligt, når der tillades forbindelser. For eksempel bør en uafhængig systemoperatør (ISO) ikke have “fuld netadgang (VPN)”, fordi der er behov for en forbindelse til visse dele af SCADA-systemet.

 

Placer strategisk IDS’er på hvert forbindelsespunkt, som advarer it-personalet med ansvar for sikkerheden, om mulige brud på netværkssikkerheden.

 

Desuden er det vigtigt, at ledelsen forstår og accepterer, at de har ansvaret for de risici, der er forbundet med enhver adgang til SCADA-netværket.

4. Fjern eller sluk unødige services

SCADA-servere, der er bygget på kommercielle eller open source-styresystemer, kan blive udsat for angreb igennem standardnetværkstjenester. Risikoen for angreb kan nedsættes ved at fjerne eller deaktivere services og netværksagenter. Det er især vigtigt, hvis SCADA-netværk er forbundet med andre netværk.

 

Tillad kun tjenester eller funktioner på et SCADA-netværk, hvis der er foretaget en grundig risikovurdering af konsekvensen af dem. Fordelen ved tjenester eller funktioner skal langt overstige risikoen. For eksempel bør funktion fjernskrivebord (Remote Desktop) deaktiveres.

 

På nettet findes der adskillige retningslinjer om sikker konfiguration for både kommercielle og open source operativsystem.

 

For at undgå nedetid og afbrydelser af services bør I have et tæt samarbejde med jeres SCADA-leverandør, og I bør være med til at identificere konfigurationer og koordinere alle ændringer af de operationelle systemer.

5. Stol ikke på proprietære protokoller

I skal sikre jer, at jeres leverandør dokumenterer eventuelle bagdøre eller leverandørgrænseflader til jeres SCADA-system, og I skal stille krav om, at de kan levere systemer, der kan sikres.

 

Nogle SCADA-systemer bruger unikke, beskyttede protokoller til kommunikation mellem eksterne enheder og servere, og ofte er sikkerheden i SCADA-systemer udelukkende baseret på hemmeligholdelse af disse protokoller.

 

Desværre giver proprietære protokoller meget lidt “rigtig” sikkerhed. Stol ikke på proprietære protokoller eller fabriksindstillinger, når dit system skal beskyttes.

6. Brug sikkerhedsindstillinger, som leveres af systemleverandørerne

De fleste ældre SCADA-systemer har ikke avancerede – og oftest ingen – sikkerhedsfunktioner. I skal sikre jer, at jeres systemleverandør gennemfører/installerer sikkerhedsfunktioner i form af produktrettigheder patches eller opgraderinger.

 

Visse nyere SCADA-enheder leveres med grundlæggende sikkerhedsfunktioner – men disse er normalt slået fra, for at sikre en nem installation.

 

Hver SCADA-enhed skal analyseres, for at afgøre om de basale sikkerhedsfunktioner er til stede.

 

Vær opmærksom på, at sikkerhedsindstillinger fra fabrikkens side (f.eks. i computerens firewall) ofte er indstillet til at give maksimal anvendelighed – men minimal sikkerhed.

 

Alle sikkerhedsfunktioner bør indstilles, så de giver det maksimale sikkerhedsniveau. Først efter en grundig risikovurdering af konsekvenserne ved at reducere sikkerhedsniveauet, bør I ændre på det.

7. Udvidet kontrol med alle forbindelse, der kan bruges som adgang til SCADA-netværket

Hvis der er bagdøre eller leverandørforbindelser til jeres SCADA-systemer, skal der oprettes en stærk godkendelse for at opnå en sikker kommunikation.

 

Modem, trådløse og kablede netværk, der bruges til kommunikation, udgør en betydelig sårbarhed/risiko for SCADA-netværket.

 

For at minimere risikoen for hackerangreb bør I deaktivere indgående opkald til SCADA-systemet og erstatte det med et tilbagekaldssystem.

8. Interne og eksterne IDS-systemer og døgnovervågning

For at kunne reagere effektivt på cyberangreb, skal man etablere en IDS-strategi, som omfatter alarmering af netværksadministratorer, når der opdages ondsindet netværksaktivitet, der stammer fra interne eller eksterne kilder.

 

Et IDS-overvågningssystemet (Intrusion Detection System) skal køre 24 timer i døgnet og kan oprettes ved SMS-alarmering eller lignende.

 

Desuden skal I have procedurer for ”incident response”, så I kan reagerer effektivt på eventuelle angreb.

 

Som supplement til overvågningen af netværket, bør I indføre logs på alle systemer. I bør dagligt gennemgå systemlogs, for at fange mistænkelige aktiviteter så hurtigt som muligt.

9. Teknisk revision for at identificere sikkerhedsmæssige udfordringer

En teknisk revision af SCADA-enheder og -netværk bidrager til at højne en effektiv sikkerhed.

 

Der findes mange forskellige kommercielle og open source sikkerhedsværktøjer, som kan bruges til:

 

  • Revision af systemer og netværk
  • Identifikation af aktive tjenester
  • Kontrol af patchniveau
  • Undersøge, om der er almindelig kendte sårbarheder.

 

Disse værktøjer løser ikke systematiske problemer, men de fjerner de “stier af mindst modstand”, som en hacker kan udnytte.

 

De sikkerhedsmæssige udfordringer, der findes, bør analyseres nøje for at finde ud af de rette tiltag. Systemerne bør testes igen, når ”hullerne” er udbedret.

10. Fysisk sikkerhedstjek på alle fjerntliggende og ubemandede opkoblingssteder

Alle steder, der har forbindelse til SCADA-netværket er potentielle mål. Især er ubemandede og fjernliggende steder sårbare.

 

Registrer derfor adgange på hvert anlæg, der har forbindelse til SCADA-systemet og foretag fysiske sikkerhedstjek af disse adgange. Sikkerheden på de fjerntliggende steder skal være tilstrækkelig til at opdage eller forhindre uautoriseret adgang.

 

Desuden bør I registrere og vurdere enhver kilde til information blandt andet ekstern telefon, computernetværk, fiberoptiske kabler, operatørpaneler, computere og trådløse lokalnetværk, som kan bruges til at skaffe sig adgang til netværket. Identificer og fjern ”single point of failures”.

 

Lad ikke produktionsnetværk have åbne adgangspunkter på ubemandede steder blot for bekvemmelighedens skyld.

11. Opret "Red Team" til at identificere og vurdere mulige angreb på SCADA-netværket

Etabler et “Red Team” der kan bidrage med at skaffe overblik over svagheder i det samlede netværk, SCADA-systemer, fysiske systemer og sikkerhedskontroller. Red Team bør sammensættes af en bred vifte af personer, der dagligt arbejder med systemerne og dermed har indsigt i, hvor eventuelle sårbarheder og potentielle angrebsmuligheder kan opstå.

 

Husk også på, at en ondsindet medarbejder udgør en sikkerhedsrisiko mod organisationen eller et netværk. Dette er en af de største trusler mod en organisation / et netværk.

 

Brug Red Teams oplysninger til risikostyringen til at vurdere og fastlægge hensigtsmæssige strategier til beskyttelse.

Ledelsens tiltag for at etablere et effektivt it-sikkerhedsprogram

12. Definer it-sikkerhedens rolle, ansvar og retningslinjer for ledere, systemadministratorer og brugere

Det er vigtigt, at de ansatte forstår vigtigheden af at beskytte oplysninger og teknologiske ressourcer. Det skal ske gennem klare og logiske roller og ansvar.

 

Hertil kommer at nøglepersoner skal have tilstrækkelige beføjelser til at udføre deres opgaver. Alt for ofte sker der det, at god it-sikkerhed er overladt til initiativ fra den enkelte, og det fører ofte til forskelligartet implementering og en ineffektiv sikkerhed.

 

Derfor skal ledelsen sikre, at der etableres en kultur, der støtter op om it-sikkerheden. Roller og ansvarsområder skal være nøje defineret, ligesom politikker for it-sikkerheder kendt og klart identificerer, hvordan spørgsmål om it-sikkerheds eskaleres, og hvem som adviseres i en nødsituation.

13. Dokumenter netværksarkitektur og identificer systemer

Opbyg en solid informationssikkerhedsarkitektur – og dokumenter den, som en del af en effektiv beskyttelsesstrategi.

 

Det er afgørende, at netværket bliver designet med sikkerhed for øje, og at der er fokus på at have en stærk forståelse af deres netværksarkitektur i hele netværkets livscyklus. Det er særligt vigtigt at have en tilbundsgående forståelse af de funktioner, som systemerne udfører og af hvor følsomme de lagrede oplysninger er.

 

Uden denne viden og forståelse er det umuligt at vurdere risici og beskyttelsesstrategi vil derfor ikke være tilstrækkelig.

 

Dokumentation af informationssikkerhedsarkitekturen og dens komponenter er afgørende for at forstå den overordnede beskyttelsesstrategi og for at identificere de enkelte ”points of failure”.

14. Løbende risikostyringsproces

Et effektivt it-sikkerhedsprogram kræver, at man har en grundig forståelse af de risici, som et ”denial-of-service”-angreb eller en kompromittering af følsomme oplysninger, kan medføre.

 

Risikovurderinger danner det tekniske grundlag for denne forståelse og er afgørende for at formulere effektive strategier til at afbøde følgerne af et angreb.

 

I første omgang udføres en grundlæggende risikoanalyse, som er baseret på den aktuelle trusselsvurdering. Den bruges til at udvikle en strategi til at beskytte netværket.

 

Skiftende teknologi og fremkomsten af nye trusler dagligt betyder, at der løbende må foretages risikovurderinger af processerne, så der kan foretages rutinemæssige ændringer i beskyttelsesstrategien for at sikre, at den fortsat er effektiv.

 

Grundlæggende for risikostyring er at identificere resterende risici og have en beskyttelsesstrategi for netværks på plads og få en accept af de resterende fra ledelsen.

15. Beskyttelsesstrategi baseret på princippet om ”forsvar-i-dybden”

”Defense-in-depth” eller ”forsvar-i-dybden” er et grundlæggende princip i enhver beskyttelsesstrategi for netværk.

 

”Defense-in-depth” skal tænkes ind tidligt i udviklingsprocessen og skal være en integreret del af overvejelserne i alle tekniske beslutninger om enheder, der er forbundet med nettet.

 

Tekniske og administrative kontroller kan så vidt det er muligt udnyttes til at forhindre trusler fra identificerede risici på alle niveauer i netværket.

 

It-sikkerhedsforsvaret skal lagdeles, så hvert lag er beskyttet mod andre systemer på det samme lag.

 

Derudover skal hvert lag være beskyttet mod andre systemer på det samme lag. Eksempelvis at beskytte mod en insidertrussel eller begrænse brugereadgange til de helt nødvendige ressourcer for at kunne udføre deres jobfunktioner m.v. Det er vigtigt, at der kun tildeles de rettigheder, der er behov for og ikke yderligere. Begræns brug/antal af administratorer og overvej at bruge andre roller, når det er muligt.

16. Identificer kravene til it-sikkerhed

Formaliserede politikker og procedurer er rigtig godt til at skabe en sammenhængende og standardbaseret tilgang til it-sikkerhed i hele organisationen. Politikker og procedurer informerer også de ansatte om deres specifikke ansvar i forhold til it-sikkerhed og konsekvenserne, hvis der fraviges fra politikker og procedurer.

 

Samtidig fungerer politikkerne som en vejledning til ansatte omkring foranstaltninger, der skal tages under it-sikkerhedshændelser.

 

Brugeroplevelser, meddelelser og advarselsbannere hører også med til at identificere kravene til it-sikkerhed.

 

Opstil krav for at minimere truslen fra ondsindede insidere, herunder behovet for at gennemføre baggrundskontrol og give begrænsende netværksprivilegier til det absolut nødvendige.

17. Effektiv proces for konfiguration

En grundlæggende change management proces til konfigurationsstyring er nødvendig for at opretholde et sikkert netværk.

 

Konfigurationsstyring skal dække både hardware- og softwarekonfigurationer. Ændringer i hardware eller software kan let medføre sårbarheder, der underminerer netværkssikkerheden. Processen er nødvendig for at evaluere og kontrollere alle forandring og sikre at netværket forbliver sikker.

 

Konfigurationsstyring begynder med velafprøvede og veldokumenterede sikkerhedsmæssige referencer for de forskellige systemer.

18. Rutinemæssige evalueringer

Det er nødvendigt at evaluere sikkerhedspolitikken og den tekniske implementering, for at få svar på om it-sikkerheden er effektiv.

 

Selvevalueringer er normalt er en del af et effektivt it-sikkerhedsprogram, som omfatter både rutinemæssig scanning for sårbarheder, automatiseret gennemgang af nettet, organisatoriske og individuelle præstationer.

19. Systembackup og nødplaner

Lav systembackup og nødplaner, så I hurtigt kan komme op og køre igen efter nødsituation, herunder it-angreb.

 

Man skal rutinemæssigt at øve og gennemgå nødplanerne for at sikre, at de fungerer, og at personalet er bekendt med dem. Med afsæt i erfaringer fra øvelserne kan I ændre nødplanerne.

20. Informer om forventninger til it-sikkerhed

Effektiv it-sikkerhed kræver engagement og lederskab fra toplederne i organisationen.

 

Det er vigtigt, at den øverste ledelse tydeligt informerer personalet om forventningerne til en stærk it-sikkerhed. Ligesom det er vigtigt, at der etableres en struktur for, hvordan et program for it-sikkerhed gennemføres. Denne struktur vil fremme sammenhængende gennemførelser og evnen til at opretholde et stærkt it-sikkerhedsprogram.

 

Endelig er det vigtigt tydeligt at melde ud, at enkeltpersoner kan holdes ansvarlige, hvis de ikke følger it-politikkerne – det gælder alle både ledere, systemadministratorer, teknikere, brugere og operatører.

21. Fastlæg politikker og sæt uddannelse på dagsordenen

Sæt uddannelse på dagsordenen, så de ansatte får viden om, hvad de må udtale sig om og hvilken adfærd de skal have.

 

På måde undgå I, at ansatte helt uforvarende kommer til at afsløre følsomme oplysninger om SCADA-systemets design, drift eller sikkerhedskontrol.

 

Det er vigtigt, at det er klart, at oplysninger, der er relateret til et SCADA-netværk – for eksempel navne og kontaktoplysninger om systemoperatører og -administratorer, operativsystemer og/eller fysiske og logiske placeringer af computere og netværksenheder – ikke udleveres, hverken over telefonen eller til personale, medmindre de er udtrykkeligt godkendt til at modtage sådanne oplysninger.

 

“Social engineering” – Indsamling af oplysninger om en computer eller computernetværk via spørgsmål til naive brugere, er ofte det første skridt i en ondsindet angreb på computernetværk. Jo mere information der afsløres om en computer eller et computernetværk, jo mere sårbar er computeren /netværket.

 

Hvis ukendte personer beder om oplysninger, skal deres forespørgsel sendes til en central netværksansvarlig til kontrol og godkendelse.

 

Personalet kan være et svagt led i et ellers sikkert netværk. Gør derfor meget ud af uddannelse til de ansatte, så de har fokus på at beskytte følsomme netværksoplysninger for eksempel deres passwords.

Publiceringsdato: 02/03 2018