De viktigaste cybersäkerhetskontrollerna inom industriautomation | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

De viktigaste cybersäkerhetskontrollerna inom industriautomation

Ett vanligt problem med hanteringen av industrins cybersäkerhet är att bestämma vilka hanteringsmetoder det lönar sig att koncentrera sig på i synnerhet i produktionsmiljöer. Lyckligtvis har flera aktörer analyserat frågan och publicerat anvisningar om god praxis. I den här anvisningen kombinerar vi rekommendationer ur publikationer av myndigheter och informationssäkerhetsföretag i flera olika länder och kompletterar dem med våra egna erfarenheter.

Det finns aldrig tillräckligt med resurser för att ha fullständig kontroll över cybersäkerheten. Hur kan man säkerställa att de hanteringsmetoder som man beslutar sig för att införa ger tillräcklig säkerhet? Frågan är särskilt knivig inom industrin, där den digitala tekniken är av kritisk betydelse för produktionen. Den allvarligaste faran i produktionsmiljöer är att produktionen oväntat avbryts eller att produktionsprocessen löper amok. Därför skiljer sig prioriteringarna i verksamheten på ett betydande sätt från cybersäkerheten vid användning av vanlig informationsteknik.

I forsknings- och utbildningsorganisationen för informationssäkerhet SANS publikation ”The Five ICS Cybersecurity Critical Controls” definieras de fem viktigaste kontrollerna för att övervaka produktionsnätverken. Dragos, ett företag som specialiserat sig på hanteringen av cybersäkerhet inom industriautomation, hänvisar till dem i sin årsrapport 2022 och bedömer hur väl de genomförts i fallen som de har behandlat.

Vi har anpassat SANS fem anvisningar med hjälp av anvisningarna som utfärdats av Irlands Cybersäkerhetscenter, USA:s cybersäkerhetsmyndighet CISA och energiministerium (DoE) samt Cybersäkerhetscentret självt.

För beredskapen behövs en definierad, upprätthållen, dokumenterad och övad incidenthanteringsprocess (incident response). I praktiken innebär detta hur man kan upptäcka, analysera och reagera på cyberincidenter i produktionsmiljöer och hur man återhämtar sig efter incidenterna. Det väsentliga för upptäckten är förmågan att analysera datakommunikationen. Dessutom bör grundorsaken till incidenterna alltid kunna hittas. Utan en tillräckligt omfattande insamling av loggdata är detta ofta omöjligt. Det är bra att samla loggdata på en centraliserad plats så att observationerna kan korreleras och aggregeras.

Cybermätaren, som utvecklats av Cybersäkerhetscentret, hjälper företag att uppfatta sin förmåga att avvärja cyberhot. I den del av Cybermätaren där hanteringen av händelser och störningssituationer bedöms granskas företagets förmåga att hantera, reagera på och återhämta sig från cyberhändelser och -störningar. Cybermätaren kan användas för att bedöma hur mogen produktionsnätverkens cybersäkerhet är, och med den kan man hitta delar av miljön som är bristfälliga och behöver utvecklas.

Syftet med den systemarkitektur som planerats på försvarsförmågans villkor är att minska sannolikheten för att riskerna förverkligas och minska effekterna av förverkligade risker samt att underlätta försvaret. Det är bra att stödja ibruktagandet och hanteringen av skyddande informationssäkerhetskontroller redan i planeringsskedet av arkitekturen. Viktiga informationssäkerhetskontroller som stöds är bland annat insamling av loggar, synlighet och fysiska eller logiska undernät.

En väl utförd differentiering och isolering av nätmiljöer underlättar till exempel skyddet av miljön, förhindrar att brottslingar rör sig fritt efter dataintrång och ger bättre möjligheter att övervaka trafiken till och från miljöerna såsom även den interna trafiken inom produktionsmiljöerna. I Cybersäkerhetscentrets projekt Tonttu, som undersökte hur hanteringsmetoder för cybersäkerhet kunde genomföras på ett smidigt sätt, upptäckte man att det ofta finns brister i isoleringen av nät även i viktiga miljöer. I systemplaneringen lönar det sig att använda befintliga goda protokoll och standarder.

Bristfällig synlighet för datakommunikation och utrustning i produktionsmiljöer medför utmaningar när det gäller att upptäcka och undersöka incidenter, och i synnerhet att upprätthålla en noggrann inventarieförteckning. Bristen på en inventarieförteckning gör riskhanteringen svår, om inte omöjlig. För att säkerställa synligheten utan att bryta isoleringen av näten från varandra krävs särskild noggrannhet.

I Cybersäkerhetscentrets projekt Lauttatonttu år 2021 kartlade man bland annat skyddsobjekt i nätet och larmade om oväntade oskyddade objekt som upptäcktes. Vi rekommenderar att man följer kommande Tonttu-projekt som hänför sig till temat.

Med säker fjärrstyrning kan endast identifierade och godkända användare ansluta sig till produktionsmiljöer på ett tillåtet sätt. Enligt Dragos är det vanligaste sättet att göra intrång i produktionsmiljöer missbruk av fjärrstyrningsanslutningar som byggts i dem. Problemet gäller framförallt miljöer där samma användarkoder används inom informations- (IT) och produktionstekniken (OT).

Flerstegsautentisering (MFA) kan tillämpas på ett säkert sätt i de flesta produktionsmiljöer och har visat sig minska antalet lyckade angrepp avsevärt. MFA måste börja användas framförallt i delade nätverk mellan organisationer och i tjänster som är synliga på det offentliga Internet. Om MFA inte kan användas måste skyddet ske på något annat sätt, till exempel genom att isolera systemen bakom noggrant övervakade hoppmaskiner. Vid tryggandet av fjärråtkomst lönar det sig att i mån av möjlighet också använda sessionsbaserade inloggningar. Detta innebär i praktiken att man fastställer tidsgränser för till exempel fjärråtkomstens längd och användningen av systemen.

Enligt Cybersäkerhetscentrets observationer är otrygg fjärrstyrning ibland förknippad med problem med isoleringen av näten. Till exempel kan fel i utformningen och redigeringen av brandväggsregler göra fjärrstyrningstjänster som är avsedda att vara säkra eller olika inloggningsfönster för enheter och tjänster synliga för allmänheten på internet. En av Cybersäkerhetscentrets lagstadgade uppgifter är att kartlägga oskyddade automationssystem som syns på internet. Vid kartläggningarna avslöjas inloggningsgränssnitt upprepade gånger.

Riskbaserad sårbarhetshantering kräver en uppdaterad inventarieförteckning och förmåga att prioritera sårbarheter och system. Om en enhets- och systemtillverkare tillhandahåller information om sina produkter med en programvaruförteckning (SBOM), lönar det sig definitivt att använda den. Man kan också få hjälp av verktyget Cybermätaren och dess avsnitt om hantering av hot och sårbarheter som bedömer organisationens förmåga att fastställa och upprätthålla planer, processer och tekniker för att upptäcka, identifiera, analysera, hantera och ingripa i cyberhot och -sårbarheter – i förhållande till de risker som berör organisationen och organisationens mål.

Tillverkare av automationssystem rapporterar tyvärr sällan i sina sårbarhetsmeddelanden om andra hanteringsmetoder än uppdatering av sårbar programvara. Programvaruuppdateringar är i allmänhet endast möjliga under driftsstopp, men sannolikheten för och konsekvenserna av missbruk av sårbara system borde på något sätt kunna minskas redan under tiden mellan publiceringen av sårbarhetsmeddelandet och driftsstoppet.

Ett annat centralt problem med installationen av korrigerande programuppdateringar är att det i många produktionsmiljöer inte är möjligt för anläggningens ägare att själv uppdatera sårbara system, utan uppdateringarna kan endast göras av systemleverantörens personal. Det skulle vara dyrt och långsamt för tillverkarens personal att resa till olika produktionsanläggningar, så i allmänhet ordnar man en fjärråtkomst till produktionsanläggningen. Utöver en säker lösning för fjärrstyrningen är det viktigt att trygga leveranskedjan, eftersom de hotaktörer som utgör den allvarligaste risken utnyttjar organisationernas förtroende för sina leverantörer.

Målet med Cybersäkerhetscentrets projekt Ketjutonttu är att hjälpa finländska företag och deras leverantörer att hantera cyberrisker i anslutning till leveranskedjorna. Organisationer kan dessutom använda verktyget Cybermätaren och dess avsnitt om hanteringen av leverenskedjor och beroenden, där man bedömer organisationens förmåga att identifiera och hantera risker relaterade till leveranskedjor och tredje parter.

Sidan är senast uppdaterad