Risicofactoren in OT-cyberbeveiliging beoordelen:een gids voor automatiseringsingenieurs

Er wordt vaak gezegd:“Het internet is een slechte buurt”. En hoe waar dat ook lijkt te zijn, er zijn nog veel meer risico's en bedreigingen waarvan automatiseringsingenieurs zich bewust moeten zijn en die van invloed kunnen zijn op computersystemen die worden gebruikt bij automatisering en controle.

Operationele technologie, of OT, verwijst naar de fysieke hardware en software die wordt gebruikt voor het bewaken en besturen van industriële apparatuur, processen en infrastructuur. Dit zijn de zaken waar wij als automatiseringsingenieurs dagelijks mee bezig zijn.

In dit artikel wordt uitgebreid gekeken naar de risicofactoren in OT-cyberbeveiliging en hoe u deze risico's kunt verminderen.

Kritieke infrastructuur, zoals energiecentrales, dammen en windparken, maar ook kritische productiefabrieken, moeten zich bewust zijn van de vele bedreigingen waarmee hun systemen worden geconfronteerd. Bedreigingen kunnen bijvoorbeeld afkomstig zijn van een ontevreden medewerker die willens en wetens het netwerk infecteert met een virus.

Bedreigingen kunnen afkomstig zijn van een externe bron, zoals internet. Elk van deze typen bedreigingen kan aanzienlijke schade toebrengen aan de OT-infrastructuur van de fabriek.

Tegen welke risico's moeten uw systemen zich beschermen? Gewoon doen wat anderen doen of lukraak cyberbeveiligingshardware en -software gebruiken is niet voldoende om de veiligheid te garanderen.

Een systematische aanpak van cyberbeveiliging is een noodzakelijke cruciale stap om risico's te elimineren en uw systemen een vriendelijkere omgeving te maken.

Fundamenten van OT-cyberbeveiligingsrisicobeoordeling

OT-risicobeoordeling wordt gedefinieerd als het systematische proces voor het identificeren, evalueren en prioriteren van bedreigingen en kwetsbaarheden. Er zijn verschillende kenmerken die uniek zijn voor OT-omgevingen en die verschillen van IT-omgevingen.

Hiertoe behoren onder meer de prevalentie van oudere systemen, vereisten voor 24/7 beschikbaarheid en fysieke integraties met machines, actuatoren en sensoren waaruit het productieproces bestaat.

Bij risicobeoordelingen moeten alle betrokken belanghebbenden betrokken zijn, inclusief operationeel, technisch, IT- en managementpersoneel. Zoals ik eerder al zei, moet deze risicobeoordeling een systematische aanpak volgen om succesvol te zijn.

Laten we dus eens kijken naar de vijf stappen die bij deze beoordeling betrokken zijn.

Identificatie en inventaris van activa

Wanneer een verzekeringsmaatschappij wordt gevraagd uw woning te verzekeren, willen zij weten wat er in de woning aanwezig is, zodat zij weten wat verloren kan gaan, of met andere woorden:wat het risico loopt op verlies of beschadiging. Hetzelfde geldt voor risicobeoordelingen op het gebied van cyberbeveiliging.

Het inventariseren en in kaart brengen van al uw OT-middelen is de eerste cruciale stap. Alles moet in de inventaris worden vermeld, inclusief hardware zoals PLC's, SCADA-systemen en HMI-stations. Deze inventaris moet alle software en firmware bevatten die op uw OT-systemen is geïnstalleerd.

Deze activa lijken misschien niet fysiek van aard, maar ze lopen wel risico en zijn voor hackers de gemakkelijkste activa om te infecteren.

We moeten ook netwerkapparatuur zoals schakelaars en bekabeling meenemen. En vergeet externe verbindingen niet, zoals datapoorten voor leverancierstoegang of verbindingen voor onderhoud op afstand.

Een volledige inventarisatie is van cruciaal belang om het risicobeoordelingsteam in staat te stellen volledig te begrijpen wat het “dreigingslandschap” wordt genoemd.

Gemiste items, zoals datapoorten die zijn voorzien voor toegang tot leveranciers, kunnen een gemakkelijke route zijn voor systeeminfectie, zelfs als dit niet kwaadwillig gebeurt.

Identificatie van bedreigingen en kwetsbaarheden

Zodra we al onze bezittingen hebben vermeld, weten we welke items mogelijk worden aangevallen. Vervolgens moeten we de soorten bedreigingen identificeren die onze systemen kunnen uitlokken.

Deze bedreigingen kunnen interne bedreigingen zijn van insiders, zoals het afromen van geld van accounts of onbedoelde verkeerde configuraties van netwerkswitches waardoor de vereisten voor gebruikersauthenticatie kunnen worden omzeild.

De bedreigingen kunnen ook van buitenaf komen, afkomstig van internetbronnen, malware, hackers of nationale actoren die op zoek zijn naar waardevolle middelen, zoals formuleringen en recepten.

Vaak vergeten zijn veelvoorkomende kwetsbaarheden die kunnen optreden bij oudere OT-hardware en -software, zoals het gebrek aan patches, zwakke authenticatie en onveilige protocollen.

Impactanalyse

Nu we ons dreigingslandschap kennen, moeten we de gevolgen inschatten van het daadwerkelijk hebben van een gecompromitteerd systeem als gevolg van een aanval.

Deze gevolgen kunnen vele vormen aannemen, zoals veiligheidsrisico's voor personeel of het milieu, verstoring van de productie, operationele verstoringen, financiële verliezen, reputatieschade en overtredingen van regelgeving en compliance.

De gevolgen waarmee uw instelling te maken kan krijgen, zijn afhankelijk van uw unieke situatie en kunnen vele andere risico's met zich meebrengen.

Waarschijnlijkheidsbeoordeling

De volgende stap is de moeilijkste:het bepalen van de waarschijnlijkheid dat deze gevolgen daadwerkelijk zullen worden gerealiseerd.

Het bepalen van de kans op misbruik van de kwetsbaarheden van uw systeem omvat het voorspellen van uw blootstelling aan internetbedreigingen, het identificeren van bekende exploits en mogelijkheden van tegenstanders, en, belangrijker nog, de geschiedenis van incidenten die systemen zoals dat van u hebben getroffen.

Stuxnet was bijvoorbeeld een alomtegenwoordig en invaliderend virus dat de hardware van een specifieke leverancier aanviel. De Colonial Pipeline-aanval was een ransomware-cyberaanval die leidde tot het stilleggen van de activiteiten en aanzienlijke brandstoftekorten aan de oostkust. Wat kan er met uw operatie gebeuren en hoe waarschijnlijk is het dat dit gebeurt?

De risicomatrix

De laatste stap is het opstellen van een risicomatrix voor elke risicofactor. De risicomatrix vermeldt doorgaans de impact van een inbreuk op de cyberbeveiliging, afgezet tegen de waarschijnlijkheid dat de inbreuk zal plaatsvinden. Hier is een voorbeeldmatrix met drempelwaarden voor impact en waarschijnlijkheid als laag, gemiddeld en hoog.

Het risicobeoordelingsteam is verantwoordelijk voor het bepalen van de beste toewijzing van risico aan elk vierkant op de matrix. Uw team kan vaststellen dat een hoge waarschijnlijkheid van optreden met een gemiddelde impact ook als een hoog risico kan worden aangemerkt. De rangschikking hangt uitsluitend af van uw unieke situatie.

Waarom deze matrix genereren? Hiermee kunt u eenvoudig risico's identificeren die onmiddellijke mitigatie vereisen, zoals alle risicovolle items, maar ook risico's die kunnen worden uitgesteld, zoals items met een laag risico.

Bedrijven hebben beperkte budgetten voor cyberbeveiliging, dus de problemen met het hoogste risico moeten eerst worden aangepakt.

Uitdagingen en overwegingen bij OT-risicobeoordeling

Dit proces is doorgaans niet eenvoudig. Zaken als het begrijpen van alle beperkingen bij het patchen van oudere systemen kunnen lastig zijn. Er is mogelijk beperkt zicht op de aard van sommige bedreigingen.

Er kunnen organisatorische belemmeringen zijn voor het verkrijgen van alle gegevens die nodig zijn om de omvang van sommige bedreigingen te beoordelen. Er kunnen risico's voor de toeleveringsketen en derden bestaan die onbekend zijn.

Best practices voor effectieve OT-risicobeoordeling

Er bestaan best practices om een aantal van deze beperkingen te overwinnen en een effectief risicoprofiel te ontwikkelen. Het belangrijkste is dat alle belanghebbenden betrokken worden en meewerken aan de beoordeling.

Om dit proces te ondersteunen zijn er veel normen en raamwerken beschikbaar die teams begeleiden bij het risicobeoordelingsproces, zoals NIST CSF en IEC 62443.

Een sleutel tot effectieve risicobeoordelingsprogramma's voor cyberbeveiliging is het periodiek bijwerken van de beoordeling met behulp van actuele gegevens.

Conclusie

OT-cyberbeveiligingsrisicobeoordelingen vormen de basis voor het creëren van een effectieve verdediging tegen interne en externe bedreigingen. Door alle belanghebbenden bij het proces te betrekken, kan het meest complete beeld van de bedreigingen en de waarschijnlijkheid van optreden worden bepaald en in een risicomatrix worden uitgezet.

Op basis van de risicomatrix kunnen de juiste beslissingen worden genomen voor het inzetten van cyberbeveiligingsverdedigingen. Naarmate de OT-risico's evolueren, is het belangrijk dat faciliteiten proactief zijn en voortdurende risicobeoordelingen uitvoeren als basis voor hun OT-cyberbeveiligingsprogramma.

‍