OT-risikovurdering

Nu hvor hyppigheden af cyber-angreb på Operationel Teknologi (OT) stiger, er det vigtigere end nogensinde før at sikre din virksomheds OT-miljø. Angribere bruger forskellige metoder til at infiltrere netværk og skabe alle mulige former for økonomiske skader: enten ved direkte at stoppe eller forsinke produktionsfaciliteter eller indirekte ved at stjæle og sælge jeres virksomheds forretningshemmeligheder. For at reducere risikoen for et cyber-angreb er man nødt til at identificere og implementere mulige modforanstaltninger. Hvis man ikke implementerer modforanstaltninger eller gør det forkert, udsætter man sin virksomhed for risici.

Hvor bør man foretage en risikovurdering?

En cyber-risikovurdering hjælper jer med at fastslå strukturmæssigt, hvilke cyber-risici der findes i jeres omgivelser. Det er kun muligt at forstå effektiviteten af (eksisterende) modforanstaltninger, efter man eksplicit har identificeret disse risici. Dette gør det til gengæld muligt at begrunde eventuelle nye modforanstaltninger og deres potentielle effekt. Derudover gør vurderingen af alvorligheden af de identificerede risici det muligt at træffe en beslutning om og prioritere modforanstaltninger og træffe en begrundet beslutning, hvis omkostningerne ved at implementere disse opvejer de potentielle konsekvenser. At udføre en risikovurdering vil også give et komplet overblik over styrker og svagheder i jeres virksomhed. Dette overblik kan bruges til at forbedre beredskabet under et cyber-angreb eller afværge et angreb ved at fjerne de identificerede svagheder.
 

Hvorfor er en OT-tilpasset risikovurdering nødvendig?

Modsat IT har risici i OT-miljøer ikke kun en indflydelse på fortrolighed, integritet og tilgængeligheden af data og processer. De kan påvirke faciliteternes driftssikkerhed, resultater og sikkerhed. Derudover kræver de forskellige typer af industrielle kontrolsystemer (ICS) såsom PLC’er, DCS’er og SCADA-systemer entydig opmærksomhed, da de er rygraden i ethvert OT-miljø. For at kunne vurdere risici korrekt og foreslå modforanstaltninger i disse miljøer, bør disse forskelle overvejes.

Hvad omfatter en OT-risikovurdering?

Secura anvender sin egen navnebeskyttede aktivbaserede risikovurderingsmetodologi: “Quantitatively Assessing Risk in Operational Technology” (QAROT). Denne metodologi er i overensstemmelse med IEC 62443-3-2 og indbefatter styrkerne ved MITRE’s ATT&CK til ICS og ISO 31010. Ved at kombinere disse standarder er vi i stand til at udføre en risikovurdering, som gør mere end bare at leve op til reglerne. Sammen med vores kunder definerer vi de krævede IEC 62443-3-2 sikkerhedsmål, på hvilke vi systematisk baserer vurderingsmålene. QAROT integrerer andre standarder fra IEC 62443-familien såsom -3-3 og -4-2 for at kunne give sammenhængende og handlingsrettede råd baseret på de generelle sikkerhedskrav, beskrevet i disse standarder. Derudover anvender QAROT Securas offentligt tilgængelige Operational Technology Cyber Attack Database (OTCAD) til at fastslå, hvor alvorlige de fundne risici er.
 

QAROT-metodologien

QAROT anvender en top-down tilgang til at identificere og vurdere risici og drager fordel af anvendelige modforanstaltninger ved at tage alle aktiver i et OT-miljø i betragtning. Disse modforanstaltninger er baseret på ATT&CK til ICS og kombineres med IEC 62443-3-3 og -4-2 for objektivt at kunne vurdere deres implementering og effektivitet i det pågældende system. Denne kombination gør det muligt for Secura strukturmæssigt at identificere potentielle mangler, og den risiko de udgør. Vurderingen starter ved, at man danner et zone- & kanaldiagram med udgangspunkt i virksomhedens netværkstegninger og liste over aktiver. Diagramindholdet drøftes med kunden på en workshop for at sikre, at de viser det vurderede miljø korrekt. På hinanden følgende workshops beslutter vi sammen med kunden effekten af eventuelle fjendtlige mål, og vi fastsætter de opnåede sikkerhedsniveauer for eksisterende aktiv- og zone-/kanal-baserede modforanstaltninger.
 

Resultatet af en OT-risikovurdering

For alle de mangler, der fastslås under disse workshops, kommer Secura med skræddersyede og handlingsrettede råd til, hvordan man håndterer disse. Ved hjælp af QAROT’s navnebeskyttede beregninger oplistes og rangeres risici kvantitativt, hvilket gør det nemmere at sammenligne og prioritere disse. Ved hjælp af IEC 62443’s grundlæggende krav kan man kategorisere de tilstrækkeligt implementerede afbødende handlinger, så kunden hurtig kan se overensstemmelsen mellem forskellige cybersikkerhedsområder. Vi leverer disse oversigter, identificerede risici inkl. vores anbefalinger og en opfølgningsplan i en rapport, som vi præsenterer på et afsluttende møde.

Læs om cyber security eller vend tilbage til vores ydelser inden for industriel cyber security (OT).