Оценка факторов риска в кибербезопасности ОТ:руководство для инженеров по автоматизации

Часто говорят:«Интернет — плохой сосед». И как бы это ни казалось правдой, существует множество других рисков и угроз, о которых должны знать инженеры по автоматизации, которые могут повлиять на компьютерные системы, используемые в автоматизации и управлении.

Операционная технология, или ОТ, относится к физическому аппаратному и программному обеспечению, используемому для мониторинга и управления промышленным оборудованием, процессами и инфраструктурой. Это те элементы, с которыми мы, инженеры по автоматизации, работаем каждый день.

В этой статье мы подробно рассмотрим факторы риска кибербезопасности ОТ и способы снижения этих рисков.

Критическая инфраструктура, такая как электростанции, плотины и ветряные электростанции, а также критически важные производственные предприятия, должны осознавать множество угроз, с которыми сталкиваются их системы. Например, угроза может исходить от недовольного сотрудника, который сознательно заражает сеть вирусом.

Угрозы могут исходить из внешнего источника, например из Интернета. Каждый из этих типов угроз может нанести существенный вред ОТ-инфраструктуре завода.

От каких рисков ваши системы должны защищаться? Просто делать то, что делают другие, или бессистемно использовать оборудование и программное обеспечение для обеспечения кибербезопасности недостаточно для обеспечения безопасности.

Системный подход к кибербезопасности – это необходимый жизненно важный шаг в устранении рисков и превращении ваших систем в более дружелюбное соседство.

Основы оценки рисков кибербезопасности ОТ

Оценка рисков ОТ определяется как систематический процесс выявления, оценки и определения приоритетности угроз и уязвимостей. Существует несколько характеристик, уникальных для сред OT и отличающихся от сред ИТ.

Среди них преобладание устаревших систем, требования к круглосуточной доступности и физическая интеграция с машинами, приводами и датчиками, которые составляют производственный процесс.

В оценке рисков должны участвовать все заинтересованные стороны, включая операционный, инженерный, ИТ- и управленческий персонал. Как я упоминал ранее, для того чтобы эта оценка риска была успешной, необходимо использовать систематический подход.

Итак, давайте рассмотрим пять этапов этой оценки.

Идентификация и инвентаризация активов

Когда страховую компанию просят застраховать ваш дом, они хотят знать, что находится в доме, чтобы знать, что может быть потеряно, или, другими словами, что находится под угрозой утраты или повреждения. То же самое относится и к оценке рисков в сфере кибербезопасности.

Инвентаризация и картирование всех ваших ОТ-активов — это первый важный шаг. В инвентаризации должно быть указано все, включая оборудование, такое как ПЛК, системы SCADA и станции HMI. Этот перечень должен включать все программное обеспечение и встроенное ПО, установленное в ваших OT-системах.

Эти активы могут показаться нефизическими по своей природе, но они подвержены риску и их легче всего заразить хакерам.

Мы также должны включить сетевое оборудование, такое как коммутаторы и кабели. И не забывайте о внешних соединениях, таких как порты данных, предусмотренные для доступа поставщика, или соединения для удаленного обслуживания.

Полная инвентаризация имеет решающее значение для того, чтобы группа по оценке рисков могла полностью понять то, что называется «ландшафтом угроз».

Пропущенные элементы, такие как порты данных, предоставленные поставщиком для доступа, могут стать легким путем для заражения системы, даже если это не было сделано злонамеренно.

Идентификация угроз и уязвимостей

Как только мы перечислим все наши активы, мы узнаем все объекты, которые могут быть атакованы. Далее нам нужно определить типы угроз, которые могут создавать наши системы.

Эти угрозы могут быть внутренними угрозами со стороны инсайдеров, например, снятие средств со счетов или непреднамеренные неправильные настройки сетевых коммутаторов, которые позволяют обходить требования аутентификации пользователей.

Угрозы также могут быть внешними, исходящими от интернет-источников, вредоносного ПО, хакеров или государственных субъектов, завладевших ценными активами, такими как составы и рецепты.

Часто забывают о распространенных уязвимостях, которые могут возникать в устаревшем оборудовании и программном обеспечении OT, таких как отсутствие исправлений, слабая аутентификация и небезопасные протоколы.

Анализ воздействия

Теперь, когда мы знаем наш ландшафт угроз, мы должны оценить последствия фактического взлома системы в результате атаки.

Эти последствия могут принимать различные формы, такие как риски для безопасности персонала или окружающей среды, сбои в производстве, операционные сбои, финансовые потери, репутационный ущерб, а также нарушения нормативных требований и нормативных требований.

Последствия, с которыми может столкнуться ваше учреждение, зависят от вашей уникальной ситуации и могут включать в себя множество других рисков.

Оценка вероятности

Следующий шаг самый сложный — определить вероятность того, что эти последствия действительно реализуются.

Определение вероятности использования уязвимостей вашей системы включает в себя прогнозирование вашей подверженности интернет-угрозам, выявление известных эксплойтов и возможностей злоумышленников, а также, что немаловажно, историю инцидентов, затронувших такие системы, как ваша.

Например, Stuxnet представлял собой широко распространенный и ослабляющий вирус, атаковавший оборудование конкретного поставщика. Атака Colonial Pipeline представляла собой кибератаку с использованием программы-вымогателя, которая привела к остановке операций и значительной нехватке топлива на восточном побережье. Что может случиться с вашей операцией и насколько вероятно, что это произойдет?

Матрица рисков

Последним шагом является построение матрицы рисков для каждого фактора риска. В Матрице рисков обычно перечисляются последствия нарушения кибербезопасности и вероятность того, что нарушение произойдет. Вот пример матрицы, в которой используются пороговые значения воздействия и вероятности:низкий, средний и высокий.

Группа оценки рисков отвечает за определение наилучшего распределения риска по каждому квадрату матрицы. Ваша команда может определить, что высокая вероятность возникновения со средним воздействием также будет квалифицироваться как высокий риск. Рейтинг зависит исключительно от вашей уникальной ситуации.

Зачем создавать эту матрицу? Это позволяет вам легко выявлять риски, требующие немедленного устранения, например все элементы с высоким риском, а также те, которые можно отложить, например, с низким риском.

У компаний ограниченный бюджет на кибербезопасность, поэтому в первую очередь следует решать проблемы с самым высоким риском.

Проблемы и соображения при оценке рисков ОТ

Обычно этот процесс не из легких. Такие вопросы, как понимание всех ограничений, связанных с исправлением устаревших систем, могут оказаться трудными. Характер некоторых угроз может быть ограничен.

Могут существовать организационные барьеры для получения всех данных, необходимых для оценки масштаба некоторых угроз. Могут существовать неизвестные риски, связанные с цепочкой поставок и сторонними организациями.