Skriv ut

Hvor starter vi?!

"Det har vært nødvendig å skaffe spisskompetanse på kraftbransjens spesielle problematikk. Jan Tore er en av våre eksperter på sikkerhet i SCADA- og prosessnett og har bistått flere av våre kunder den siste tiden" sier Tønnes Ingebrigtsen, daglig leder i mnemonic.

Artikkelen under er ført i pennen av Jan Tore Sørensen, seniorkonsulent i mnemonic.

I de siste 15 årene har industrien bygget ned skillet mellom SCADA- og produksjonsnett og interne kontornett for å trekke synergieffekter på tvers av begge miljøer. Overgangen innebærer at IP i veldig stor grad er felles kommunikasjonsbærer mellom SCADA og kontornett. Dette medfører et helt nytt risikobilde for de tidligere lukkede SCADA- og prosessnettene og åpner for en hel verden av nye angrepsvektorer. Stuxnet var første store demonstrasjon av at angriperne har startet arbeid med skreddersydd malware mot denne typen miljøer.

Skille på IT og driftskontroll/produksjonssystemer

Historisk sett har produksjonssystemer og vanlige IT-systemer hatt ulikt opphav og utvikling. Mannskapet som drifter og håndterer disse systemene har dermed også ulik bakgrunn og ulik kompetanse. Erfaringsmessig er miljøene ikke lengre skilt teknisk sett, men praktisk drift og samarbeid er hos mange fremdeles ikke samkjørt. Med to verdener som møtes på teknisk side er dette et skille som bør fjernes.

Ikke lengre adskilte miljøer

Med nye forretningskrav er det rent teknisk behov for åpninger mellom produksjonsmiljøer og kontornett. Åpning i seg selv har ikke vært veldig farlig da kommunikasjon på produksjonsnett har gått på proprietære protokoller og via serielle grensesnitt. Med  overgang til IP-basert kommunikasjon kan det finnes enda flere måter å nå SCADA-systemene på. Dette skaper store endringer i risikobildet; sannsynligheten for at angripere både finner, får tilgang til og utnytter sårbarheter øker betraktelig. Stadig oftere ser vi at det er mulig å nå driftskontrollsystemer fra internett, på tross av at det internt snakkes om at det er et helt klart skille mellom driftskontroll/produksjonsnett og kontornett.

Som et eksempel på hvor sårbare miljøet kan være fikk forsker Luigi Auriemma i løpet av kort tid oppsiktsvekkende resultater da han lette etter hull i proprietære systemer spesielt brukt i SCADA- og prosessnett. Ikke bare fant og dokumenterte han over 30 sikkerhetshull i et enkelt system, men over halvparten av hullene ble verifisert av fagmiljøet som "gode nok til alene å kompromittere systemet". Dessverre er dette trolig regelen og ikke unntaket. Løsningen? La i det minste systemet stå så alene som mulig i nettverket slik at skader ved eventuelle kompromitteringer kan begrenses!

Krav fra NVE

Beredskapsforskriften fra NVE gir retningslinjer for informasjonssikkerhet i kraftsektoren. Med nye angrepsvektorer blir disse viktigere og viktigere å oppfylle. Men hva må til for å oppfylle kravene? Vi ser at mange har utfordringer med å oversette krav til praktisk virkelighet. Med ulike løsninger og ulike miljøer er det tilnærmet umulig å gi standardoppskrifter på hva som bør implementeres, men noen krav viser seg å gå igjen som de største utfordringene. Krav til kompetanse, roller, risikostyring og oppdagelse og håndtering av hendelser er gjengangere. Med utgangspunkt i dagens trusselbilde bør den enkelte bedrift lage sin egen plan for hvordan håndtere de ulike truslene basert på de forutsetninger og målsetninger de selv har.

 

Oversikt er nøkkelen

Utfordringen for mange er å få oversikt. Oversikt over eget miljø, oversikt over trusselbildet slik det er i dag, og oversikt over status i forhold til beskyttelse mot disse truslene i eget miljø. Det er ulike måter å få oversikt på, ved ekstern hjelp eller ved intern kompetanse, men forståelsen av konsekvenser av tingenes tilstand må ligge internt. Det viktigste er ikke metoden, men resultatet, og vi ser at strukturert arbeid på den ene eller andre måten er den eneste måten å oppnå tilfredsstillende resultater.

Vi har oversikt, hva nå?

Veien videre handler mye om å skaffe struktur i arbeidet som utføres, og vi ser gjerne at følgende punkter er alfa og omega for suksess:

  • Først og fremst må informasjonssikkerhet bli et lederansvar. Dette betyr at lederforum må vedta overordnede retningslinjer og krav, og sette av ressurser til gjennomføring.
  • Avgjørelser av størrelse må basere seg på fakta og analyse, noe som fordrer risikostyring.
  • Roller som kreves må opprettes. For å ha en organisasjon som fungerer må det stilles krav til de ulike rollene: ansvarsområder må defineres og rapportering følges opp.
  • Kompetanse må holdes på et nivå som gjør at daglig drift og hendelser kan håndteres. Om dette betyr avtaler eller kompetanse in-house er opp til den enkelte bedrift å bestemme.
  • For å kunne møte krav om å oppdage hendelser må man implementere tekniske hjelpemidler for å kunne få beskjed om unormaliteter i systemene. Hvilke systemer som implementeres må avgjøres med grunnlag i den enkelte bedrift, men felles for denne typen implementeringer er at bedriften må håndtere resultatene systemene gir. Om ikke resultatene håndteres gir kostnaden ved implementering ingen avkastning.
  • Verifiser at tradisjonell IT og SCADA- og prosessnett har beredskapsplaner som er samkjørte. Ofte ser vi at dette er ulike rammeverk uten komunikasjon, eskalering på tvers eller øvelser der fellesproblemer belyses.

Jan Tore Sørensen Seniorkonsulent 412 17 881
 

Wergelandsveien 25, 0167 Oslo - Telefon 23 20 47 00 - Fax 23 20 47 01 kontakt@mnemonic.no