Informationsteknologi kombinerat med operativ teknologi
Metoden som nämns är baserad på standarden IEC 62443, ett måste för den som arbetar med säkerhet inom operational technology. Advenica förklarar hur system bäst kopplas samman.
Såhär gör du för att säkert integrera IT/OT
1. Identifiera systemet
Ofta finns det ett eller flera styrsystem kopplade till ett SCADA-system. Detta SCADA-system innehåller information som man vill exportera till kontorsmiljön. Exempelvis kan det röra sig om mätvärden eller statistik från de olika processerna. Man kan även ha behov av att underhålla OT/SCADA-miljön och behöver då importera data från kontorsmiljön. När man segmenterar sitt system försöker man hitta var gränsen mellan IT och OT går – ofta är det någonstans mellan SCADA-systemet och kontorsmiljön.
Huvudsyftet i detta steg är att rama in projektet och bestämma sig för vad man ska segmentera. Det är viktigt att definiera för den allmänna förståelsen för projektet då en organisation kan ha många anläggningar som är integrerade med IT-miljön. Då är det extra viktigt att kartlägga vilka som ska tas med och inte.
2. Initial riskanalys
Nästa steg är att göra en initial, enkel riskanalys och i den identifiera det värsta som kan hända idag utan att ha introducerat några riskreducerande åtgärder. Baserat på detta kan man senare göra en första gruppering av system och flöden.
Man behöver en del input i denna fas, så som:
- Övergripande systemarkitektur
- Riskkriterier och riskmatris med tolererbar risk – vilka risker kan vi acceptera och vad måste vi åtgärda?
- Befintliga riskanalyser
- Information om hotbild – vad skulle kunna hända?
Utifrån denna input kan man räkna ut en worst case-risk som de olika delarna i systemet blir utsatta för utan säkerhetsfunktioner eller segmentering. Det man ska fråga sig är vilken påverkan en cyberattack som medför att systemen sätts ur spel får på verksamheten? Hur stor blir spridningseffekten? Hur stora geografiska områden påverkas och hur många människor påverkas? Om exempelvis eldistributionen skulle stängas av kan många människor påverkas. Finns det kritisk verksamhet (t.ex. sjukhus) som är beroende av eltillförsel? Genom att placera in scenarierna på en skala av konsekvensnivå blir det tydligt vilket scenario som man anser vara mest allvarligt.
3. Zonindelning och dataflöden
Vid denna fas är det viktigt att inte endast se till resultaten från riskanalysen, utan att även ta med andra faktorer. Det som kan vara en ledstjärna när man segmenterar är att gruppera tillgångar som har samma krav på säkerhetsnivå. Basera grupperingen på riskanalysen, men även på best practices och referensarkitekturer (exempelvis Purdue).
När systemen ska placeras in i zoner delar man in dem i exempelvis Kontor, DMZ, SCADA och Anläggningar. I denna analys lägger vi inte fokus på segmenteringen mellan, eller inne i, anläggningarna. Det ligger utanför IT/OT och handlar snarare om OT/OT segmentering.
När det gäller segmentering av dataflöden kan det vara svårt och komplext att reda ut exakt vilka de är. När man ska ner på protokollnivå kräver det ganska detaljerad teknisk kompetens. Man kan använda sig av trafikanalys för att reda ut exakt vilka protokoll man har och vad som pågår i nätverket. Ett sätt att göra detta är att spela in trafik från sitt nätverk och sedan titta på trafiken med ett eller flera analysverktyg. Efter att man gjort en trafikanalys får man ut vilken slags data det är som flödar mellan zonerna.
4. Detaljerad riskanalys
Enligt IEC 62443 gör man en detaljerad riskanalys om den initiala risken överskrider den acceptabla risken. I den detaljerade riskanalysen gör man en riskanalys per zon och flöde. Samma riskmatris och metod bör användas som i den initiala riskanalysen och denna bloggtext kommer bara gå vidare med de flöden och zoner som ligger mellan IT och OT. I den detaljerade analysen följs ett antal steg:
- Identifiera hot och hotaktörer mot zoner och flöden
- Identifiera sårbarheter i zoner och flöden som kan utnyttjas
- Bedöm omitigerade risker
- Inför riskreducerande åtgärder
- Bedöm reducerad risk
- Är den reducerade risken accepterbar? Om inte, inför fler åtgärder.
När den reducerade risken understiger den accepterbara risken har man kommit i mål med sina riskreducerande åtgärder och kan gå vidare till nästa steg.
5. Design
När man färdigställt den detaljerade riskanalysen är det dags att fokusera på design. Designen blir resultatet av våra analyser – här ser vi hur den slutgiltiga segmenteringslösningen kommer att se ut. En lösning på att se till att dataflödet blir enkelriktat ut ur zonerna är att använda datadioder. Exempelvis kan man skapa en enkelriktad exportkanal av mätdata med hjälp av en datadiod.
Standarden IEC 62443 definierar 5 säkerhetsnivåer som hjälper till att härleda säkerhetsrelaterad kravställning och ringa in styrkan på segmenteringslösningen. Om du vill arbeta med säkerhet inom OT är detta ett självklart dokument att ha som ledstjärna när du bygger din lösning!