Bezpieczeństwo systemu sterowania

Industrial Control System (ICS) Cyberbezpieczeństwo to zapobieganie (umyślnej lub niezamierzonej) ingerencji w prawidłowe działanie systemów automatyki i sterowania przemysłowego . Te systemy kontroli zarządzają podstawowymi usługami, w tym elektrycznością, produkcją ropy naftowej, wodą, transportem, produkcją i komunikacją. Opierają się na komputerach, sieciach, systemach operacyjnych, aplikacjach i programowalnych kontrolerach , z których każdy może zawierać luki w zabezpieczeniach . Odkrycie robaka Stuxnet w 2010 roku pokazało podatność tych systemów na incydenty cybernetyczne. Stany Zjednoczone i inne rządy przyjęły przepisy dotyczące bezpieczeństwa cybernetycznego wymagające zwiększonej ochrony systemów sterowania obsługujących infrastrukturę krytyczną.

Bezpieczeństwo systemu sterowania jest znane pod kilkoma innymi nazwami, takimi jak bezpieczeństwo SCADA , bezpieczeństwo PCN , bezpieczeństwo sieci przemysłowej , cyberbezpieczeństwo systemu sterowania przemysłowego (ICS) , bezpieczeństwo technologii operacyjnej (OT) i cyberbezpieczeństwo systemu sterowania .

Ryzyka

Niepewność lub luki związane z systemami automatyki przemysłowej i sterowania (IACS) mogą prowadzić do poważnych konsekwencji w takich kategoriach, jak bezpieczeństwo, śmierć, obrażenia ciała, wpływ na środowisko, utrata produkcji, uszkodzenie sprzętu, kradzież informacji i wizerunek firmy. Wytyczne dotyczące oceny, oceny i łagodzenia tego potencjalnego ryzyka są dostarczane poprzez zastosowanie wielu rządowych, regulacyjnych, branżowych dokumentów i Globalnych Standardów, omówionych poniżej.

Podatność systemów sterowania

Automatyka przemysłowa i systemy sterowania stały się znacznie bardziej podatne na incydenty związane z bezpieczeństwem ze względu na następujące trendy, które miały miejsce w ciągu ostatnich 10 do 15 lat.

Intensywne korzystanie z komercyjnych gotowych technologii (COTS) i protokołów. Integracja technologii, takich jak MS Windows, SQL i Ethernet oznacza, że systemy sterowania procesami są teraz podatne na te same wirusy, robaki i trojany, które atakują systemy IT
Integracja przedsiębiorstwa (z wykorzystaniem sieci zakładowych, korporacyjnych, a nawet publicznych) oznacza, że systemy sterowania procesami (przestarzałe) są obecnie poddawane obciążeniom, dla których nie zostały zaprojektowane
Zapotrzebowanie na zdalny dostęp — całodobowy dostęp do inżynierii, operacji lub wsparcia technicznego oznacza bardziej niepewne lub nieuczciwe połączenia z systemem sterowania
Bezpieczeństwo przez zaciemnienie - Używanie niepublicznie dostępnych protokołów lub standardów jest szkodliwe dla bezpieczeństwa systemu

Zagrożenia cybernetyczne i strategie ataków na systemy automatyki szybko się zmieniają. Na szczęście regulacja bezpieczeństwa systemu sterowania jest rzadkością, ponieważ regulacja jest procesem powolnym. Na przykład Stany Zjednoczone robią to tylko w przypadku energetyki jądrowej i przemysłu chemicznego .

Wysiłki rządu

Zespół gotowości komputerowej rządu Stanów Zjednoczonych (US-CERT) pierwotnie ustanowił program bezpieczeństwa systemów kontroli (CSSP), obecnie Narodowe Centrum Integracji Cyberbezpieczeństwa i Komunikacji (NCCIC) Industrial Control Systems, które udostępniło duży zestaw bezpłatnych National Institute of Standards i Dokumenty standardów technologicznych (NIST) dotyczące bezpieczeństwa systemu sterowania. Demonstracja technologii Joint Capability Technology Demonstration (JCTD) rządu Stanów Zjednoczonych, znana jako MOSIACS (More Situational Awareness for Industrial Control Systems), to wstępna demonstracja zdolności obronnych cyberbezpieczeństwa dla systemów kontroli infrastruktury krytycznej. MOSAICS odpowiada na potrzeby operacyjne Departamentu Obrony (DOD) w zakresie możliwości cyberobrony w celu obrony systemów kontroli infrastruktury krytycznej przed cyberatakami, takimi jak energia, woda i ścieki, oraz kontrole bezpieczeństwa, które wpływają na środowisko fizyczne. Prototyp MOSAICS JCTD zostanie udostępniony przemysłowi komercyjnemu podczas Dni Przemysłu w celu dalszych badań i rozwoju, podejścia, które ma doprowadzić do innowacyjnych, zmieniających zasady gry możliwości cyberbezpieczeństwa dla systemów kontroli infrastruktury krytycznej.

Standardy cyberbezpieczeństwa przemysłowego

Międzynarodowym standardem cyberbezpieczeństwa w automatyce przemysłowej jest IEC 62443. Ponadto wiele organizacji krajowych, takich jak NIST i NERC w USA, wydało wytyczne i wymagania dotyczące cyberbezpieczeństwa w systemach sterowania.

IEC62443

Norma bezpieczeństwa cybernetycznego IEC 62443 określa procesy, techniki i wymagania dla systemów automatyki i sterowania przemysłowego (IACS). Jej dokumenty są wynikiem procesu tworzenia norm IEC, w którym wszystkie zaangażowane komitety narodowe uzgadniają wspólny standard. Na normę IEC 62443 miała wpływ seria norm ANSI/ISA-99 oraz wytyczne VDI/VDE 2182 i jest ona częściowo na nich oparta.

Zaplanowane i opublikowane produkty pracy IEC 62443 dla IACS Security.

Wszystkie normy IEC 62443 i raporty techniczne są podzielone na cztery ogólne kategorie: Ogólne , Zasady i procedury , System i Komponent .

Pierwsza kategoria obejmuje podstawowe informacje, takie jak pojęcia, modele i terminologia.
Druga kategoria produktów pracy jest przeznaczona dla właściciela zasobu. Dotyczą one różnych aspektów tworzenia i utrzymywania skutecznego programu bezpieczeństwa IACS.
Trzecia kategoria obejmuje produkty pracy, które opisują wytyczne dotyczące projektowania systemu i wymagania dotyczące bezpiecznej integracji systemów sterowania. Podstawą tego jest model projektowania stref i kanałów.
Czwarta kategoria obejmuje produkty pracy, które opisują rozwój konkretnego produktu i wymagania techniczne produktów systemu sterowania.

NERC

Najbardziej rozpoznawalnym nowoczesnym standardem bezpieczeństwa NERC jest NERC 1300, który jest modyfikacją/aktualizacją NERC 1200. Najnowsza wersja NERC 1300 nosi nazwy od CIP-002-3 do CIP-009-3, przy czym CIP odnosi się do ochrony infrastruktury krytycznej. Normy te są wykorzystywane do zabezpieczania masowych systemów elektrycznych, chociaż NERC stworzyła normy w innych obszarach. Zbiorcze standardy systemów elektrycznych zapewniają również administrowanie bezpieczeństwem sieci, jednocześnie wspierając procesy branżowe oparte na najlepszych praktykach.

System ochrony online (CSF) Publicznej Fundacji Wytycznych i Innowacji (NIST) to struktura stworzona przez Publiczne Ustanowienie Zasad i Innowacji (NIST), aby pomagać stowarzyszeniom w nadzorowaniu szans na bezpieczeństwo sieci. System jest przeznaczony do użytku przez stowarzyszenia różnej wielkości i we wszystkich branżach, i zapewnia typowy język i podejście do nadzorowania gier związanych z ochroną sieci.

Certyfikaty bezpieczeństwa systemów sterowania

Certyfikaty bezpieczeństwa systemów sterowania zostały ustanowione przez kilka światowych Jednostek Certyfikujących. Większość schematów opiera się na normie IEC 62443 i opisuje metody badań, politykę audytu nadzoru, politykę dokumentacji publicznej i inne specyficzne aspekty ich programu.

Linki zewnętrzne

Bibliografia _ Cusimano, John (luty 2012). „7 kroków do bezpieczeństwa ICS” . Tofino Security i exida Consulting LLC. Zarchiwizowane od oryginału w dniu 23 stycznia 2013 r . Źródło 3 marca 2011 r .
^ Gross, Michael Joseph (2011-04-01). „Deklaracja cyberwojny” . Targowisko próżności . Condé Nast. Zarchiwizowane od oryginału w dniu 13.07.2014 . Źródło 2017-11-29 .
^ „Standardy i odniesienia - NCCIC / ICS-CERT” . ics-cert.us-cert.gov/ . Zarchiwizowane od oryginału w dniu 2010-10-26 . Źródło 2010-10-27 .
^ „Większa świadomość sytuacyjna przemysłowych systemów sterowania (MOSAICS) Joint Capability Technology Demonstration (JCTD): opracowanie koncepcji obrony infrastruktury o znaczeniu krytycznym - HDIAC” . Źródło 2021-07-31 .
^ „Większa świadomość sytuacyjna dla przemysłowych systemów sterowania (MOSAICS): inżynieria i rozwój zdolności infrastruktury krytycznej do cyberobrony dla wysoce kontekstowych klas dynamicznych: część 1 - Inżynieria - HDIAC” . Źródło 2021-07-31 .
^ „Większa świadomość sytuacyjna dla przemysłowych systemów sterowania (MOSAICS): inżynieria i rozwój zdolności infrastruktury krytycznej do cyberobrony dla wysoce kontekstowych klas dynamicznych: część 2 - Rozwój - HDIAC” . Źródło 2021-07-31 .

[tofinoexida201202-1] Bibliografia _ Cusimano, John (luty 2012). „7 kroków do bezpieczeństwa ICS” . Tofino Security i exida Consulting LLC. Zarchiwizowane od oryginału w dniu 23 stycznia 2013 r . Źródło 3 marca 2011 r .

[gross201104-2] Gross, Michael Joseph (2011-04-01). „Deklaracja cyberwojny” . Targowisko próżności . Condé Nast. Zarchiwizowane od oryginału w dniu 13.07.2014 . Źródło 2017-11-29 .

[3] „Standardy i odniesienia - NCCIC / ICS-CERT” . ics-cert.us-cert.gov/ . Zarchiwizowane od oryginału w dniu 2010-10-26 . Źródło 2010-10-27 .

[4] „Większa świadomość sytuacyjna przemysłowych systemów sterowania (MOSAICS) Joint Capability Technology Demonstration (JCTD): opracowanie koncepcji obrony infrastruktury o znaczeniu krytycznym - HDIAC” . Źródło 2021-07-31 .

[5] „Większa świadomość sytuacyjna dla przemysłowych systemów sterowania (MOSAICS): inżynieria i rozwój zdolności infrastruktury krytycznej do cyberobrony dla wysoce kontekstowych klas dynamicznych: część 1 - Inżynieria - HDIAC” . Źródło 2021-07-31 .

[6] „Większa świadomość sytuacyjna dla przemysłowych systemów sterowania (MOSAICS): inżynieria i rozwój zdolności infrastruktury krytycznej do cyberobrony dla wysoce kontekstowych klas dynamicznych: część 2 - Rozwój - HDIAC” . Źródło 2021-07-31 .