Debattinlägg: Cybersäkerhetsbyråer varnar för stora brister i OT-säkerheten
1 maj släppte tio cybersäkerhetsbyråer, inklusive FBI, NSA och brittiska National Cyber Security Centre, en gemensam rapport där de varnar för en våg av Rysslands-backade attacker mot industriella kontrollsystem. Attackerna har drabbat vatten och avlopp, energiförsörjning och vattenkraftsdammar, men även mat och dryck.
Tre viktiga åtgärder
Rapporten rekommenderar tre åtgärder företag bör ta omedelbart:
● Ändra lösenord från ursprungsinställningen på alla OT-enheter, inklusive PLC (Programmable Logic Controllers) och HMI (Human Machine Interfaces).
● Inför flerfaktors-identifiering på alla accesspunkter till OT-nätet.
● Identifiera OT-enheter uppkopplade mot internet. De senaste attackerne har ofta utnyttjat digitala verktyg som VCN (Virtual Networking Computing) för att ta sig in i industrins kontrollsystem.
Ovan åtgärder skyddar mot attacker utifrån. Men interna attacker kommer på tredjeplatsen över angrepp, tätt efter malware och ransomware. Det gäller därför att även förhindra att någon med legitim tillgång kan gå in och ändra, avsiktligt eller oavsiktligt.
Många organisationer har tyvärr dålig kontroll över sin OT-miljö. Cybersäkerhetsföretaget Dragos hittade okända externa kopplingar, från OEM, IT-nät eller internet, till OT-nätverk i 46% av sina uppdrag. 61% av företag hade dessutom väldigt liten eller ingen översikt över sin OT-miljö, något som försvårar upptäckt och hantering av cyberattacker.
Tre steg mot bättre OT-säkerhet
Frågor som vilka OT-tillgångar har verksamheten, hur är de uppkopplade och hur kommunicerar de, är en bra start. Det gäller inte bara Windows-maskiner och routrar, utan även specifika kontrollsystem som distribuerade kontrollsystem DCS och PLC.
Inventarieförteckningen kan sedan jämföras med öppna databaser som NIST:s National Vulnerability Database.
Med en inventarieförteckning kan organisationen genomföra flera av de rekommenderade stegen i cybersäkerhetsbyråernas rapport, för att minska utsattheten. De kan se över internet-kopplade enheter, jämföra med öppna databaser över vanliga hot, som till exempel NIST:s National Vulnerability Database och prioritera vilka steg som bör tas för att minska sårbarheterna i verksamheten.
För de som vill gå längre kan en detaljerad basnivå för OT-säkerhet, med hantering av konfigureringar, policy och arbetsflöden ge skydd mot både externa och interna hot. Det underlättar upptäckt, minskar effekterna av och förenklar hanteringen av intrång.
Organisationer bör sikta mot att automatisera inventarieprocessen för att hålla den uppdaterad, men bristen på kompetens är stor. Enligt ENISA, EUs cybersäkerhetsbyrå, har 76 procent av organisationerna inom samhällsviktig verksamhet inte specifika roller för ICT/OT cybersäkerhet och färre än hälften har en dedikerad budget.
Med de verktyg som cybersäkerhetsbyråerna erbjuder kan verksamheter ta viktiga steg för att genomföra åtgärder. Det finns även verktyg på marknaden som underlättar automatisering och prioritering som gör att företag kan använda sina, ofta hårt pressade resurser, på bästa sätt genom att få bort manuella processer som inte bara är tidsödande utan även ökar riskerna för verksamheten.
Skriven av: Jens Olav Nordanger, Nordisk account manager, Hexagon Asset Lifecycle Intelligence