Del 3 av 3
Eftersom OT-system (Operational Technology) styr och övervakar fysiska processer så skiljer de sig en del från IT och de typer av system vi är vana vid att använda i vår vardag. Detta leder till att säkerhetsåtgärder från IT-sidan behöver noga övervägas innan de implementeras i OT-miljöer. Men hur skiljer sig OT-system från de mer traditionella IT-systemen egentligen? Och vilka liknande säkerhetsåtgärder finns det att implementera men på ett annat sätt?
OT-system är ofta en del av industriell infrastruktur där tillgängligheten har den högsta prioriteten när man pratar om CIA-triaden (Confidentiality, Integrity och Availability). Här är det vanligt att systemen har en livslängd på upp emot 15–20 år vilket leder till att det är en hel del legacy-system i drift idag som behöver anpassas efter föränderliga och digitaliserade verksamhets- och operationella processer. Det kan vara komplicerat att hålla dessa system uppdaterade då systemen inte får gå ner. Många av systemen inom industrier har utvecklats utan någon större tanke på cybersäkerhet vilket leder till att det idag finns en hel del att komma i kapp med.
IT-system å andra sidan har oftast konfidentialitet som den högsta prioriteten då det är oftast personuppgifter och annan känsliga data som behöver skyddas från obehörig exponering. Systemkomponenterna här har en betydligt kortare livslängd, cirka 3–5 år, samt att system- och säkerhetsuppdateringar genomförs utan större bekymmer. Många IT-system har utvecklats med tanken att de ska vara motståndskraftiga mot cyberhot och IT-säkerhet har länge varit ett stort fokus i dessa system.
För att få säkra system, vare sig de är på IT- eller OT-sidan, så finns det en hel del säkerhetsåtgärder att ha i åtanke och även implementera. Nedan listas några säkerhetsåtgärder hämtade från IT-sidan men vissa med specifika implementeringsförslag för hur de bör anpassas i OT-miljöer.
- OT-nätverket bör segmenteras för att minska (risken för) spridning av skadlig kod eller felaktigheter till de olika enheterna och systemen som är anslutna till och inom nätverket. Segmenteringen bör baseras på ett riskbaserat tillvägagångssätt.
- OT-nätet bör ha sin trafik, där så är lämpligt, krypterad för att skydda data under överföring. Det är dock viktigt att veta att kryptering av nätverkstrafik kan leda till ökad latens och det kan också påverka verktyg för exempelvis nätverksövervakning. Därför måste det vara ett avvägt beslut om och var det kan tillämpas i en OT-miljös dataflöden.
- OT-nätverkstrafiken bör övervakas och loggas för att kunna upptäcka händelser, avvikelseaktiviteter och/eller attacker som kan äventyra (cyber)säkerheten. Trafiken i den här typen av nätverk är ofta förutsägbar jämfört med den trafik som finns i IT-nätverk, vilket kan användas för att lättare upptäcka och förhindra händelser, aktiviteter och/eller attacker.
- OT-systemens styrprogram och operativsystemen bör härdas för att minimera deras attackytor, vilket inkluderar att inaktivera oanvända portar och protokoll, och att inaktivera tjänster som inte kommer att användas. Det kan också innebära förändring av standardkonfigurationer.
- OT-systemen bör ha en säker utrullning för sina program- och säkerhetsuppdateringar och ändringar för att säkerställa att de inte påverkar systemens funktionalitet och/eller säkerhet. Många OT-system är i drift dygnet runt med mycket liten eller ingen nedtid alls, liksom det finns OT-system som kan ha operativsystem som inte stöds längre idag.
Detta är ett urval av säkerhetsåtgärder att tillämpa i OT-system för att se till att de är motståndskraftiga och operationella. Det finns en hel del standarder och publikationer inom området med ytterligare säkerhetsåtgärder att förhålla sig till och/eller använda som vägledning i verksamhetens säkerhetsarbete, exempelvis:
- IEC 62443 är en serie standarder ämnat att öka konfidentialiteten, riktigheten och tillgängligheten av industriella kontrollsystem och deras komponenter.
- NIST Guide to Operational Technology (OT) Security (SP 800-53 r5) innehåller bland annat rekommenderade säkerhetsåtgärder specifikt för OT-system.
- MSBs Vägledning till ökad säkerhet i industriella informations- och styrsystem syftar till att ge rekommendationer för införande av säkerhetsåtgärder.
- CIS Critical Security Controls, eller CIS Controls, är bästa praxis för cyberförsvar och vägleder verksamheter till att uppnå regulatoriska krav.
Ett sätt för verksamheter att få kontroll om hur de ligger till säkerhetsmässigt kan vara att genomföra granskningar och GAP-analyser baserat på någon av ovan publikationer. Detta hjälper till att ge en indikation inom vilka områden som ytterligare arbete behöver utföras. För att tekniskt granska hela eller delar av nätverket kan även penetrationstester vara ett tillvägagångssätt för att identifiera sårbarheter. Vi på Omegapoint har experter oavsett vad din verksamhet behöver, hör av dig till oss så kommer vi fram till hur vi kan hjälpa just er.
Detta var den sista delen i miniserien om OT. Återbesök de två tidigare artiklarna om du vill ha en introduktion till OT och en översyn av regelverksutmaningar.
Författare: Chanelle Kero, OT-/Informationssäkerhetskonsult