home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

Een ICS-beveiligingschecklist

In traditionele cyberbeveiliging kan een inbreuk bedrijfsgegevenssystemen blootleggen, beschadigen of zelfs gevangen houden .

Terwijl een traditioneel datalek geld kan kosten en de IT-systemen van ondernemingen kan verzwakken, kan een cyberaanval op industriële controlesystemen van invloed zijn op bedrijfskritieke gegevens en operaties. Aangezien industriële controlesystemen alles controleren, van kerncentrales tot raffinaderijen, elektriciteitsnetten, fabrieken en zwaar materieel, is ICS-beveiliging van vitaal belang.

Terwijl IT-systemen hardware in software zijn in traditionele bedrijfsomgevingen, omvatten industriële besturingssystemen - ook wel bekend als operationele technologie (OT) - apparaten, systemen en netwerken om industriële processen te bedienen en/of te automatiseren.

Hier bieden we een reeks ICS-beveiligingsprincipes om professionals uit de industrie te helpen hun cyberbeveiligingsrisico te verlagen.

1. Begrijp uw vermogen 

De meeste industriële organisaties zijn niet klaar voor geavanceerde cyberbeveiligingstechnieken. Ze moeten bij de basis beginnen. "De meeste organisaties weten niet welke technologie ze hebben geïmplementeerd", zegt Bill Malik, vice-president infrastructuurstrategieën bij Trend Micro.

Een deel van de uitdaging is het feit dat operationele technologie-assets vaak verschillen van IT-assets, zegt Jason Haward-Grau, chief information security officer bij PAS. Een server in een datacenter is bijvoorbeeld een IT-asset. Maar een systeem in een serverruimte in een fabriek is een "mogelijkheid die je naar een troef brengt", voegde hij eraan toe. "Het zal een besturingssysteem uitvoeren voor PLC's [programmeerbare logische controllers], SCADA [supervisory control en data-acquisitie] of DCS [distributed control system]-systemen."

Dus het tellen van servers, IP-adressen of netwerkswitches zal niet het volledige plaatje weergeven. "Er zijn een heleboel [industriële] systemen die zich niet op een formeel netwerk bevinden", zei Haward-Grau. Een andere uitdaging is het verouderen van apparatuur. "Er is nog steeds technologie uit de jaren zestig en zeventig in de kern van veel fabrieken", voegde hij eraan toe.

In de onderneming is het uitvoeren van een kwetsbaarheidsbeoordeling of het opstellen van activa-inventarisatie over het algemeen eenvoudig, diezelfde acties in de wereld van OT en ICS zijn dat meestal niet. Een inventariscontrole uitvoeren "in de OT-omgeving kan een apparaat of een hele omgeving platleggen", zegt Sean Peasley, Deloitte Risk en Financial Advisory Partner IoT Security Leader. Gespecialiseerde ICS-beveiligingsleveranciers kunnen passief apparaten inventariseren, zei hij.

2. Kijk naar Frameworks for Help 

Het beveiligen van industriële infrastructuur kan een uitdaging zijn, maar er is een groeiend aantal normen die kunnen helpen. Het hebben van een gemeenschappelijk raamwerk dat cyberbeveiliging omvat, kan de kloof tussen IT en OT overbruggen en een "holistische denkwijze" in een industriële organisatie bevorderen, zei Peasley.

Er is een aanzienlijke overlap tussen de meeste ICS-normen, zei Haward-Grau. “Begin met een kader. Het maakt me niet uit welke", adviseerde hij.

Relevante normen en kaders zijn onder meer: 

  • De strategische principes van het DHS voor het beveiligen van het internet der dingen
  • ISA/IEC 62443
  • ISO/IEC 27001
  • MITRE ATT&CK Framework voor industriële besturingssystemen
  • NERC CIP
  • NIST Cybersecurity Framework, NIST Guide to Industrial Control Systems (ICS) Security en NIST-aanbevelingen voor fabrikanten van IoT-apparaten 
  • UL 2900-normen

3. Heb een Cyber ​​Disaster Recovery Plan

Hoewel de standaarddocumenten voor cyberbeveiliging vaak dik zijn, moet een raamwerk het personeel uiteindelijk in staat stellen om cyberbeveiliging in gewoon Engels te bespreken en hen een plan te geven voor hoe te reageren op cybernachtmerriescenario's. “[Met] kaders hebben we het over:‘Hoe identificeer en bescherm ik dingen? Hoe kan ik [cyberaanvallen] detecteren, erop reageren en, belangrijker nog, herstellen?'", zei Haward-Grau.

4. Investeren in cyberverzekeringen

Omdat cyberaanvallen vaak leiden tot cyberverzekeringen is deze van onschatbare waarde. Het afsluiten van een verzekering is echter niet eenvoudig. Verouderde industriële apparatuur is gemeengoed, dus het is logischer om industriële processen te verzekeren in plaats van specifieke technologie, aldus Haward-Grau. "Als ik dingen heb die ik niet kan patchen, gaat de cyberverzekeraar op zoek naar compenserende controles", zei hij. Zelfs met een robuust cyberbeveiligingsprogramma, kunnen er andere uitsluitingen in de verzekeringspolis zijn om op te merken.

5. Omarm 'Minste privilege'

In cybersecurity adviseert het 'least privilege'-concept dat een organisatie toegangscontroles tussen IT-systemen en gebruikers moet beperken zonder kernactiviteiten te omvatten.

Firewalls zijn een traditionele, op IT gebaseerde strategie om dit doel te bereiken, maar ze zijn ook van vitaal belang in OT-beveiliging. "Bedenk hoe malware zich over een productiefaciliteit kan verspreiden en stel firewalls in", zei Malik. Om mogelijke interferentie te voorkomen, zet u toegestane processen op de witte lijst.

"Minste privileges" zijn meer dan firewalls, zegt David Goldstein, CEO van AssetLink Global. Goldstein adviseerde bijvoorbeeld "verkeer te beperken in richtingen die niet nodig zijn voor de toepassing. Als je alleen aan het monitoren bent, schakel dan de mogelijkheid om te controleren uit, enzovoort.”

Toegang op afstand is een andere zorg. "Gebruik unieke ID's voor onderhoudstaken", zei Malik. "Bij toegang tot technologie via IP-netwerken in een industriële omgeving, moet elke gebruiker een unieke authenticatie hebben."

Ook het gebruik van een generieke pc in een ICS-omgeving is een risico. “Sluit het op slot. Schakel installaties uit, verwijder compilers en schakel onbekende of onnodige processen uit', zei Malik.

6. Overweeg een Bug Bounty-programma 

Bug bounty-programma's - waarbij een beloning wordt gegeven aan ontwikkelaars die systeemkwetsbaarheden identificeren - zijn de afgelopen jaren populairder geworden, ook in industriële contexten. "Bug bounty-programma's zijn een kenmerk van vooruitstrevende IoT- en industriële IoT-leveranciers", zei Malik.

"De hele digitaliseringsreis gaat de manier waarop fabrieken werken veranderen", zei Haward-Grau. "Als je IIoT-apparaten en 5G gaat introduceren, heb je bug bounties nodig."

Maar dat betekent niet dat het zin heeft om in alle gevallen prioriteit te geven aan bug bounties. Een organisatie met tientallen jaren oude apparatuur en werkstations met niet-gepatchte of verouderde besturingssystemen, zou de resultaten van een bug-bounty-programma waarschijnlijk overweldigend vinden.

7. Risico's van derden beheren 

Risicobeheerprogramma's van derden worden steeds belangrijker in de OT-wereld, zei Peasley. Maar het beheersen van risico's in een uitgebreide toeleveringsketen is vaak een uitdaging, benadrukte hij. "Voor grote bedrijven zijn er misschien duizenden verschillende derde-, vierde- en vijfde partijen waarmee ze rekening moeten houden," zei hij. “Of het nu een leverancier is die iets integreert in een subcomponent of... een softwareproduct, met al die zaken moet rekening worden gehouden”, voegde Peasley eraan toe.

8. Inspiratie halen uit veiligheidsprogramma's

Veel industriële organisaties hebben al tientallen jaren veiligheidsprogramma's. Nu cyberbeveiligingsbedreigingen veiligheidsgerelateerde bedreigingen kunnen veroorzaken, "moeten we een vergelijkbare mentaliteit hebben rond beveiliging", zei Peasley.

Het idee heeft terrein gewonnen. Het American Institute of Chemical Engineers beveelt bijvoorbeeld aan om cyberbeveiligingsoverwegingen te integreren in traditionele procesgevarenanalyse, die traditioneel gericht is op het risico van menselijke fouten, apparatuurstoringen en dergelijke in chemische technische faciliteiten.

Een strategie om industriële faciliteiten te beschermen tegen mogelijke rampen is het gebruik van veiligheidsinstrumenten. Maar dergelijke systemen zelf kunnen kwetsbaar zijn voor compromissen, zei Malik. En het achteraf inbouwen van beveiligingsfunctionaliteit in bestaande veiligheidsinstrumenten is volgens Malik niet aan te raden. "Je zou een infrastructuur bouwen bovenop een platform dat nooit is ontworpen om cyberveilig te zijn", zei hij.

Hoewel Haward-Grau erkende dat systemen met veiligheidsinstrumenten onvolmaakt zijn, benadrukte hij dat ze een essentiële verdediging vormen. "Naarmate we onze activiteiten beginnen uit te breiden en we meer dingen met elkaar verbinden, zal de behoefte aan effectievere systemen met veiligheidsinstrumenten niet verdwijnen. Ze worden belangrijker.”


Internet of Things-technologie

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. Het groeiende bedreigingslandschap van ICS en het IIoT aanpakken
    2. Productie:beveilig netwerken naar cel/gebiedszone
    3. De weg naar industriële IoT-beveiliging
    4. Beveiligingsproblemen van het industriële IoT aanpakken
    5. Hoe u uw ICS-respons op cyberbeveiligingsincidenten plant
    6. Achteraf aanpassen van cyberbeveiliging
    7. Industrieel IoT beschermen:een toenemende beveiligingsuitdaging – deel 1
    8. ICS Security, Medical Devices and the Accidental Bogeyman
    9. ICS Security Attack maakt afstandsbediening van gebouwen mogelijk
    10. Zes stappen bij het implementeren van industriële IoT-beveiliging
    11. ICS-beveiliging in de schijnwerpers vanwege spanningen met Iran