NCSC:n uusien pilvipalveluiden SCADA-ohjeiden purkaminen
Sisällysluettelo:
Operational Technology (OT) -järjestelmät valvovat ja ohjaavat automaattisesti prosesseja ja laitteita, jotka käyttävät kaikkea voimalaitoksista älykkäisiin sairaaloihin. OT:n vika tai toimintahäiriö aiheuttaa fyysisiä vaaroja, joita IT-järjestelmissä ei ole. Turvallisuus, luotettavuus ja käytettävyys ovat etusijalla edellisessä.
Siksi uusi Kansallisen kyberturvallisuuskeskuksen (NCSC) ohjeistus on otettu laajalti vastaan. Se on suunniteltu auttamaan OT-organisaatioita määrittämään eri pilvialustojen soveltuvuuden valvonta- ja tiedonkeruujärjestelmien (SCADA) isännöintiin.
Miksi SCADA-turvallisuus on tärkeää
Tietoturvarikkomukset OT-järjestelmissä, kuten SCADA, voivat johtaa järjestelmän epäkäytettävyyteen ja arkaluonteisten tietojen paljastamiseen. Teollisuuslaitosten hakkerointi on johtanut sähkökatkoihin Ukraina, vammaiset turvajärjestelmät osoitteessa a petrokemian tehdas, ja vapautti käsittelemättömän jäteveden puistoihin ja jokiin. Mikään näistä hyökkäyksistä ei perustunut pilvipohjaisiin ohjaimiin murtautumiseen. Mutta siirtämällä nämä järjestelmät pilveen, organisaatiot voivat tietämättään antaa vastustajilleen uuden tavan tehdä kompromisseja.
Silti pilvisiirto on yhä useammin sitä, mitä OT-organisaatiot tekevät. Pilvipohjaiset SCADA-ohjaukset tarjoavat useita etuja, kuten skaalautuvuuden muuttuviin tarpeisiin, keskitetyn todennuksen parantamaan turvallisuutta, DDoS-suojauksen vähemmän kehittyneitä palvelunestohyökkäyksiä vastaan ja alhaisemmat alkukustannukset.
Alustava tervetulotoivotus
Tässä on NCSC:n ohjeistus. Siinä korostetaan riskitietoista lähestymistapaa, jossa otetaan huomioon eri organisaatioiden ainutlaatuiset turvallisuustarpeet ja perinteiset rajoitteet. Neuvonnassa hahmotellaan vaihtoehtoja yksinkertaisesta valmiustila-/palautusasetuksesta olemassa olevien sovellusten yhdistämiseksi uusiin pilvessä toimiviin järjestelmiin näiden olemassa olevien sovellusten täydelliseen korvaamiseen pilvipohjaisilla vaihtoehdoilla. Näin tehdessään se tarjoaa korkean tason yleiskatsauksen siitä, mitä on tehtävä, jotta pilvi- tai SaaS-ratkaisua voidaan käyttää turvallisesti.
ISMS.onlinen kysymät riippumattomat turvallisuusasiantuntijat ylistivät ohjetta hyödyllisen tiekartan tarjoamisesta, mutta väittivät, että tarkemmat tiedot erityisistä turvatoimista voisivat vahvistaa viitekehystä.
"Suojausarkkitehtuurin parhaiden käytäntöjen laajentaminen olisi hyödyllistä", APIContextin toimitusjohtaja Mayur Upadhyaya kertoo ISMS.onlinelle. "Tämä voisi sisältää ohjeita SCADA-järjestelmille räätälöidyistä verkon segmentointistrategioista sekä vankat identiteetin ja pääsynhallinnan (IAM) protokollat, jotka on suunniteltu erityisesti näitä kriittisiä ohjausympäristöjä varten."
Upadhyaya lisää: "Lisäksi pilvipohjaiselle SCADA:lle ominaisen kyberuhan maiseman yksityiskohtaisempi analyysi voisi tarkentaa riskinarviointeja ja antaa tietoa lieventämisstrategioista."
Operatiiviset riskit
SCADA-pohjaisten sovellusten siirtäminen pilveen lupaa helpottaa infrastruktuurin hallintaa ja vähentää samalla sisäisten IT-tiimien ylimääräisiä kustannuksia. Mutta tämä on otettava huomioon turvallisuus- ja toiminnanhallinnan riskien ohella. GuidePoint Securityn OT-tietoturvapäällikön Pat Gillespien mukaan näitä ovat kohonneet riskit tietomurroista, luvaton pääsy, haavoittuvuuksien hyödyntäminen ja palvelunestohyökkäykset.
"Pilviratkaisut lisäävät viivettä käytettäessä sovelluksia, tietokantoja ja palveluita", hän kertoo ISMS.onlinelle. Tämä on suuri ongelma, koska SCADA-ohjaimet ja teollisuussovellukset perustuvat reaaliaikaiseen dataan.
Koska turvallisuus ja saatavuus ovat kaikkien SCADA-järjestelmien tärkeimpiä prioriteetteja, pilviratkaisun, paikallisen Internet-palveluntarjoajan tai minkä tahansa Internet-palveluntarjoajan odottamattomat katkokset aiheuttavat näiden turvajärjestelmien epäonnistumisen.
Joitakin riskejä voidaan ainakin lieventää tai hallita Gillespien mukaan.
"On käyttötapauksia, joissa SCADA-tietojen käyttö pilvessä voi auttaa yrityksiä tekemään parempia päätöksiä, koska SCADA-ohjauslaitteet, IIoT-laitteet tai teollisuussovellukset siirtävät dataa pilveen data-analyysiä varten", hän selittää. "Kuitenkin korkean viiveen tai käyttökatkon sattuessa SCADA-ohjauslaitteiden on kyettävä suorittamaan prosessinsa ja toimintonsa turvallisuuden ja saatavuuden varmistamiseksi."
Muita vaihtoehtoja ovat AWS Outpost, jossa organisaatiot voivat isännöidä AWS-esiintymää paikallisessa laitoksessa, Gillespie lisää.
Turvallinen muuttoreitti
"Organisaatioiden on oltava varovaisia, vaikka ne eivät vain siirrä nykyisiä paikallisia asioitaan pilveen. Heidän täytyy vetää henkeä ja varmistaa, että he omaksuvat uuden toimintamallin täysin”, Qualys EMEA MD, Mat Middleton-Leal kertoo ISMS.onlinelle.
Useat haasteet, jotka liittyvät OT-ohjausten pilvipohjaiseen siirtoon, voivat myös saada varomattomat liikkeelle, lisää Chris Doman, Cado Securityn teknologiajohtaja.
"Ensinnäkin pilviosaaminen eroaa SCADA-osaamisesta, joten tarvitaan yhteistä lähestymistapaa", hän kertoo ISMS.online-sivustolle. "Toiseksi vanhat SCADA-järjestelmät eivät välttämättä integroidu saumattomasti pilvipohjaisiin ratkaisuihin. Lopuksi, yksityiskohtaisten käyttöoikeuksien hallinta voi olla vaikeaa vanhoissa ympäristöissä."
Esimerkiksi perinteiset SCADA-järjestelmät toimivat tyypillisesti paikan päällä ja suojataan sisäisten palomuurien ja ilmavälien kaltaisilla tekniikoilla. Kun nämä järjestelmät siirtyvät pilveen, ne on otettava käyttöön täydellisillä pilvipohjaisilla tietoturvamalleilla alusta alkaen.
"Tämä voi olla ongelmallista, kun kyseiset sovellukset ja järjestelmät ovat toimineet ympäristöissä, jotka eivät vaadi samoja suojausmalleja, jotka ovat käytössä pilvipalveluissa", Qualysin Middleton-Leal selittää.
Kriittisen infrastruktuurin siirtäminen pilveen vaatii myös huolellista suunnittelua pilvipalvelujen tarjoajien ja asiakkaiden yhteisen vastuun mallin vuoksi. Pilvipalveluntarjoaja turvaa infrastruktuurin, mutta asiakkaat ovat vastuussa tietoturvasta ja konfiguroinnista.
Cado Securityn Domanin mukaan kriittisen infrastruktuurin suojaaminen pilvessä vaatii monitahoista lähestymistapaa.
Hän väittää, että pilvipalvelujen tarjoajien, valtion virastojen ja kriittisten infrastruktuurien operaattoreiden välistä yhteistyötä, kriittisen infrastruktuurin organisaatioiden pilviosaamiseen investoimista ja vanhojen SCADA-järjestelmien modernisointia pilviratkaisujen integroinnin parantamiseksi tarvitaan.
Standardien noudattaminen
APIContextin Upadhyayan mukaan ISO-standardit, kuten ISO 27001 (Information Security Management) ja IEC 62443 (Security for Industrial Automation and Control Systems), tarjoavat arvokkaita puitteita OT-riskin hallintaan pilvessä.
"Nämä standardit tarjoavat jäsenneltyjä lähestymistapoja turvallisuuteen ja hahmottelevat ohjeet vankan turvallisuuden hallintajärjestelmän luomiseen ja ylläpitoon", Upadhyaya selittää.
"Tämä sisältää riskinarviointi- ja lieventämisstrategioita, jotka soveltuvat erityisesti sekä pilvi- että OT-ympäristöihin. Organisaatioiden tulee kuitenkin muistaa, että ISO-standardit tarjoavat mukautuvat puitteet, eivät yksikokoista ratkaisua."
Organisaatioiden menestys SCADA-ratkaisujensa turvallisessa siirtämisessä pilveen saattaa hyvinkin riippua niiden kyvystä mukauttaa tällaiset ohjeet ainutlaatuisiin vaatimuksiinsa.
