OT-sitevurdering

Efterhånden som industrielle styresystemer bliver mere forbundne, bliver de også mere udsatte for cyper-trusler. Konsekvenserne ved et cyber-angreb kan have en negativ effekt på virksomhedens effektivitet, sammenhæng og sågar sikkerheden. Det er vigtigt for virksomheder at have fokus på disse risici for at beskytte deres industrielle styresystemer (Industrial Control Systems (ICS)).

Risiko for angreb på ICS- og SCADA-systemer

Cyber-angreb på ICS- og SCADA-systemer kan have en indvirkning på sikkerhed, tilgængelighed og driftssikkerhed i forbindelse med systemer, drift og værdikæder med katastrofale følger. Virksomheder, som potentielt påvirkes af disse følger, findes inden for forskellige industrier fx el, vand, atomkraft, fabriksproduktion, infrastruktur, transport (jernbaner, havne og lufthavne) samt olie & gas (upstream, midstream, downstream).

Virksomheder inden for disse industrier har forskellige bekymringer såsom cyber-angreb, som kan skade omdømmet, interessenters tillid, miljøet og forårsage systemudfald, produktionstab, skader eller sågar dødsfald. Derfor er virksomheder nødt til at vurdere, om de har de rette afbødende handlinger til at opretholde ICS-sikkerheden. Mens IT og OT i stigende grad har været konvergerende over de seneste år, synes der fortsat at være en kløft mellem OT- og IT-sikkerhed, når det kommer til forståelse og praksis. Denne graverende kløft medfører sårbarheder i sikkerheden, hvilket ofte overvåges, men bør identificeres og håndteres korrekt.

Hvad er en OT-sitevurdering?

Secura har udviklet en dokumenteret OT-sitevurderingsmetodologi, som følger internationalt anerkendte standarder og bedste praksis såsom IEC 62443, NIST SP 800-82 og ALARP, som er særligt tilpasset Industrial Automation Control Systems (IACS). OT-sitevurderingen er særligt udviklet til at identificere tekniske risici på siteniveau modsat risici på virksomhedsniveau. Det drejer sig om en bottom-up-tilgang, som inkluderer besøg på sites, gennemgang af systemopbygning og interviews med eksperter inden for området. Vurderingen kan eventuelt udvides med en avanceret penetrationstest for at verificere beskyttelsesniveauet mellem IT-OT eller passiv packet capture og analyse. OT-sitevurderingsydelsen inkluderer følgende IEC 62443-aspekter og omhandler følgende emner inden for hvert område.

Ydelser i forbindelse med en OT-sitevurdering

En detaljeret OT-sitevurderingsrapport leveres med alle fundne risici, hver med sin egen forklaring og anbefaling. Alle resultater leveres med en kvalitativ risikovurdering. Secura følger et standardrisikovurderingssystem, som kan tilpasses jeres virksomhed. Ikke kun ICS-risici identificeres, men også områder, som skal opretholdes, er inkluderet i rapporten, og som indikerer de pågældende anlægs sikkerhedsstyrker.

Fysiske cyber-angrebsscenarier skitseres ved hjælp af en detaljeret beskrivelse af, hvordan en angriber potentielt kan angribe det specifikke site inden for området. Fysiske cyber-angrebsscenarier kan omfatte alle funktionelle krav i IEC 62443.

Slutresultatet

Resultatet af Securas OT-sitevurdering giver jer indblik i følgende:

  • Hvor effektiv den implementerede OT-sikkerhedsstyring er
  • Hvordan disse risici er kortlagt iht. relevante dele af kravene i IEC 62443
  • Hvor forbedringer er nødvendige inkl. vores anbefalinger
IEC 62443 funktionelle krav
IEC 62443OT-sitevurderingsområder 
FR1
Identifikation og godkendelse		Vurdering af omfanget af insider-risici med fokus på den effekt, som en gruppe insidere kan skabe på baggrund af eksisterende afbødende foranstaltninger.Vurdering af potentielle fysiske cyber-angrebsrisici ved at analysere procesflowdiagram-resultater, udføre SME-interviews og analysere industrielle hændelsesrapporter fra virkelige angrebsscenarier
FR2
Anvendelseskontrol		Undersøgelse af ekstern eksponering såsom uønskede, tilgængelige, eksterne domæner, IP-adresser og modemopkobling samt fysiske sikkerhedssårbarheder på hele siten, som kan påvirke tilgængeligheden og sikkerheden på siten.
FR3
Systemintegritet		Vurdering af OT Network Traffic-analyse for at undersøge forskellige former for opkoblinger on-site, eksponering uden for udpegede områder og fysiske   perimeter og eventuelle sikkerhedsproblemer, som kan identificeres passivt.

Vurdering af jeres virksomheds naturlige cyber-robusthed både arkitektonisk og konfigurationsmæssigt.
F4
Datafortrolighed		Vurdering af dataudsivningsrisici såsom adgang til immaterielle rettigheder og virksomhedshemmeligheder for at skaffe teknisk information i forberedelsen af sabotage.
F5
Begrænset dataflow		Passiv indsamling af netværkstrafik på aftalte lokationer ved at bruge passive netværksafhøringer eller monitorporte. Der vil ikke blive anvendt aktiv scanning, replay-angreb eller andre foranstaltninger, som kan forstyrre trafikken.
F6
Rettidig respons på episoder		Vurderingen af sikkerheden i OT-netværk og -systemer har til formål at finde ud af, om ondsindede enheder kan få adgang til jeres OT-netværk og se, hvad de eventuelt kan kompromittere (fx undersøgelse af firewall-konfiguration, laterale bevægelser og undersøgelse af usikre protokoller).
F7
Tilgængelige ressourcer		Vurderingen af sikkerheden i OT-netværk og -systemer har til formål at finde ud af, om ondsindede enheder kan få adgang til jeres OT-netværk og se, hvad de eventuelt kan kompromittere (fx undersøgelse af firewall-konfiguration, laterale bevægelser og undersøgelse af usikre protokoller).

Udførelsen af en afvigelsesanalyse mellem liste over aktiver, konstruktionstegninger og perimeter for at se, om ICS-synlighed og -styring håndteres i en sammenhæng.

Læs om cyber security eller vend tilbage til vores ydelser inden for industriel cyber security (OT).

Brug for os?

Står du over for en eller flere udfordringer inden for cyber security, som du ønsker, vi skal hjælpe med, er du velkommen til at kontakte os.

Peter Worck, Sales- & Training Manager
Telefon: +45 2250 6708 | Mail: peter.worck@bureauveritas.com

Kontakt os