Operasjonell teknologi og risikovurdering

1. Hva ligger i begrepet “operasjonell teknologi”?

Operasjonell teknologi (OT) er et bredt begrep som omfatter systemer og teknologier som brukes for å overvåke, styre og automatisere fysiske prosesser i industrielle miljøer. Dette kan vi bryte ned slik:

Delelementer innenfor operasjonell teknologi:

1. Datatekniske komponenter:

Kontrollsystemer:

• PLC (Programmable Logic Controllers)
• DCS (Distributed Control Systems)
• SCADA (Supervisory Control and Data Acquisition)
• IED (Intelligent Electronic Device)

Kommunikasjonsløsninger:

• Teknisk utstyr som bruker industrielle protokoller som Modbus, OPC UA, PROFIBUS, etc.
• Nettverksutstyr som switcher, rutere, og brannmurer

Sensorer og aktuatorer:

• Sensorer som måler tilstander (temperatur, trykk, nivå, fuktighet, osv)
• Aktuatorer som utfører handlinger (åpning av ventiler, aktivering av motorer).

2. Industrielle prosesser:

De fysiske prosessene som OT overvåker og styrer, for eksempel:

• Produksjonslinjer i fabrikker.
• Energiproduksjon i kraftverk.
• Smartgrids
• Vannforsyning og avløpssystemer.
• Produksjon av olje og gass.

Helheten i OT

Begrepet operasjonell teknologi omfatter både:

• De datatekniske systemene som styrer prosessene.
• De underliggende industrielle prosessene eller andre typer prosesser som disse systemene kontrollerer.

 

2. Hvordan designe et OT nettverk, med utgangspunkt i IEC 62443 serien?

Del 1. Risikovurdering av den underliggende prosessen

Dette første trinnet handler om å forstå de fysiske prosessene og deres risikoprofil:

Kartlegge prosessene: Identifiser alle prosessavsnitt og deres funksjoner med tilhørende risikoprofil, for eksempel, mulighet for ekplosjon, brann, oversvømmelse, skade på person eller tap av menneskeliv.

Vurdere konsekvenser: Analyser hva som kan skje dersom en feil eller et cyberangrep påvirker prosessene.

Eksempler:

• Prosessavbrudd
• Fysisk skade på utstyr
• Risiko for personell og miljø
• Økonomiske tap

bestemme nødvendige sikkerhetsnivåer: For hver prosessavsnitt fastsettes det nødvendige sikkerhetsnivået basert på risikovurderingen (typisk definert som Safety Integrity Level (SIL) eller lignende rammeverk).

Resultat: En klar definisjon av hvilke prosessavsnitt som medfører grad av risko, slik at man ut i fra det kan bestemme hvilket sikkerhetsnivå som er nødvendig, for den aktuelle sone i nettverket, for å beskytte dem. Prosessavsnitt som medfører en forholdvis høy grad av risiko ved skade ved feilfunksjon, vil også kreve sone eller nettverksegment med en tilsvarende høy grad av cybersikkerhet, slik at sikkerhetsnivået for nettverkssonen tilpasses den underliggende prosessens risikoprofil.

 

Del 2. Design av nettverksløsning basert på “Zones and Conduits”

Når risikoen i prosessene er kartlagt, går man videre til å designe nettverket som beskytter disse prosessene ut i fra prinsippene rundt “zones and conduits“:

Opprette soner: Del OT-systemet inn i soner basert på sikkerhetsnivåkravene fra trinn 1. Hver sone inneholder systemer med lignende risiko og krav.

Eksempel: En kritisk kjemisk prosess kan plasseres i en sone med krav til SL 3 eller SL 4, mens administrative systemer kanskje kun krever SL 1.

Definere tilganger (conduits): Identifiser og design kontrollmekanismer for kommunikasjon mellom sonene.

Tilgangene kan beskyttes med brannmurer, kryptering, autentisering, etc.

Kommunikasjon mellom en lav-sikkerhetssone og en høy-sikkerhetssone krever streng kontroll.

Risikovurdering av designet: Vurder risikoen for cyberangrep på hver sone og tilgang, og implementer passende teknologier og prosedyrer for å redusere risikoen.

Praktiske løsninger: Intrusion detection systems (IDS), segmentering, regelsett for brannmurer.

Resultat: Et nettverksdesign delt opp i sikkerhetssoner, som oppfyller de sikkerhetskravene som glelder for hvert enkelt prosessavsnitt, og som sikrer nødvendig grad av kontroll over informasjonsflyten mellom de forskjellige sonene. (Prinsippet for zones and conduits.)

 

3. Primær forskjell mellom cybersikkerhet for IT og cybersikkerhet for OT.

For cybersikkerhet for IT så praktisrerer man et prinsipp som man forkorter CIA:

1. Confidentiality (konfidensialitet): Beskytte sensitiv informasjon mot uautorisert tilgang.
2. Integrity (integritet): Sikre at data ikke blir manipulert eller endret uten autorisasjon.
3. Availability (tilgjengelighet): Sørge for at systemer og data er tilgjengelige når de trengs.

Denne prioriteringen reflekterer fokus på databeskyttelse, spesielt i sektorer som finans, helse og andre områder hvor informasjonen i seg selv er den primære ressursen, og forkortelsen blir slik: AIC

Innenfor OT-sikkerhet er prioriteringen ofte annerledes fordi systemenes primære mål er å sikre driftssikkerhet og kontinuitet. Da blir rekkefølgen slik:

1. Availability (tilgjengelighet): Den høyeste prioriteten er å sikre at systemene kjører kontinuerlig og uten avbrudd. Et driftsstopp kan føre til farlige situasjoner, økonomiske tap eller skade på utstyr.
2. Integrity (integritet): Det er kritisk at dataene som styrer prosesser og utstyr, ikke blir endret uautorisert, da dette kan føre til feil i operasjonene og skade på systemene.
3. Confidentiality (konfidensialitet): Selv om dette også er viktig, er det ofte lavere prioritert i OT sammenlignet med IT. For eksempel kan kompromittering av konfidensialitet være alvorlig, men ikke nødvendigvis like kritisk som tap av tilgjengelighet eller integritet i OT-miljøer.

 

4. Oversikt over sikkerhetsnivåer (SL) i IEC 62443

IEC 62443 definerer fire sikkerhetsnivåer (Security Levels, SL):

SL 1: Beskyttelse mot utilsiktede hendelser

Dette nivået fokuserer på å beskytte systemet mot utilsiktede hendelser som kan oppstå på grunn av feil eller uforsiktig handling fra ansatte.

Krever grunnleggende sikkerhetstiltak som tilgangskontroll og enkel overvåkning.

SL 2: Beskyttelse mot bevisste, men lavteknologiske angrep

På dette nivået skal systemet være beskyttet mot trusler fra interne aktører eller eksterne med begrenset teknisk kompetanse.

Tiltak kan inkludere brannmurer, mer avansert tilgangskontroll og logging.

SL 3: Beskyttelse mot målrettede, høyt kompetente angrep

Krever at systemet beskytter mot angrep fra aktører med betydelig teknisk kompetanse og ressurser.

Dette nivået innebærer implementering av avanserte sikkerhetstiltak som kryptering, segmentering av nettverk og streng overvåkning.

SL 4: Beskyttelse mot avanserte, vedvarende trusler (APT)

Det høyeste sikkerhetsnivået, designet for å motstå sofistikerte og ressurssterke angrep over tid.

Typiske tiltak inkluderer dyp pakkeinspeksjon, adaptiv sikkerhet og omfattende hendelsesrespons.

 

5. Sikkerhetsnivåene i praksis

Sikkerhetsnivåene brukes til å vurdere risiko og fastsette nødvendige tiltak, for det enkelte prosessavsnitt og sikkerhertssone, basert på spesifikke trusselmodeller og systemets riskoprofil. Prosessen kan oppsummeres slik:

1. Risikovurdering: Identifisere potensielle trusler og sårbarheter.
2. Kravspesifikasjon: Bestemme hvilket sikkerhetsnivå systemet eller komponentene skal oppfylle.
3. Implementering og verifikasjon: Utvikle og teste sikkerhetstiltak for å sikre at de oppfyller kravene til det ønskede sikkerhetsnivået.

 

6. Purdue modellen og IEC-62443

I forhold til dagens “standard” og krav til sikkerhet, så må man vel kunne si at Purdue modelen utgjør vel i dag en slags første grov tilnærming til sikkerhetsproblematikken for OT. Puduemodellen inneholder jo en slags lagvis, eller nivå for nivå, soneindeling.

Hvis man legger til kravene til sikkerhet ut i fra IEC-62443, der man deler inn prosessavsnitt i nettverkssoner med ulike sikkerhetsnivå, og krav til sikkerhet, så kan man vel si at Purduemodellen også blir supplert med en inndeling i sikkerhetssoner i retning “øst-vest”, eller “sidelangs” om man vil.

Ved å bygge inn sikkerhet i mange nivåer, så kan man vel si at man bygger inn et prinsipp i det tekniske anlegget som man kan kalle for “zero trust for OT“, eller i hvert fall i de prosessavsnitt og deler av anlegget somhar behov for det.

 

7. Spesielle forhold rundt enkelte komponenter innenfor OT.

Innenfor OT så gjelder det et spesielt forhold, at man til dels benytter kompoenter som er “unsafe by design”. Dette kan dreie seg om eldre utstyr, eller det man kaller for “legasy utstyr”, men også forholdvis moderne utstyr som ikke er særlig godt beskyttet mot cyberangrep.

En PLC kan for eksempel styre og/eller regulere en prosess som representerer et forholdvis høyt risikonivå, samtig som PLC’en selv ikke er særlig godt beskyttet mot cyberangrep.

For å beskytte slikt utstyr så kan det ut i fra en risikovurdering være behov for en form for mikrosegmentering, eller mer eller mindre individuell beskyttelse bygget opp rundt den enkelte komponent.

På denne måten så kan utstyr som i utgangspunktet er “unsafe by design” få lagt til et “ekstra lag av ekstern sikkerhet” som medfører at sikkerhetsnivået for kompoenten og/eller utstyret er godt nok ivaretatt.

 

8. Hvordan definerer ISA begrepet “operasjonell teknologi”?

Her følger en kopi av teksten ifra ISA sin webside:

The ISA/IEC 62443 series of standards define requirements and processes for implementing and maintaining electronically secure industrial automation and control systems (IACS). These standards set best practices for security and provide a way to assess the level of security performance. Their approach to the cybersecurity challenge is a holistic one, bridging the gap between operations and information technology as well as between process safety and cybersecurity.

The ISA/IEC standards set cybersecurity benchmarks in all industry sectors that use IACS, including building automation, electric power generation and distribution, medical devices, transportation, and process industries such as chemicals and oil and gas.

• Link til webside

 

9. Eksempler på andre relevante standarder, som det vil være naturlig å se IEC-62443 i sammenheng med.

IEC 61508 er en internasjonal standard for funksjonell sikkerhet i elektriske, elektroniske og programmerbare systemer som brukes i sikkerhetskritiske applikasjoner. Den gir et rammeverk for å designe, implementere, verifisere og vedlikeholde systemer som skal oppfylle definerte sikkerhetskrav.

IEC 61511 – Funksjonell sikkerhet for prosessindustrien: Denne internasjonale standarden gir retningslinjer for utforming, implementering og vedlikehold av sikkerhetsinstrumenterte systemer (SIS) i prosessindustrien. Den dekker hele livssyklusen til SIS, inkludert risikovurdering, sikkerhetskravspesifikasjon, design, installasjon, drift og vedlikehold. IEC 61511 er spesielt relevant for å sikre at instrumenteringssystemer er tilstrekkelig pålitelige og effektive i å redusere risiko.

NORSOK-standarder: Utviklet av den norske petroleumsindustrien, NORSOK-standardene sikrer tilstrekkelig sikkerhet og kostnadseffektivitet i utvikling og drift av petroleumsanlegg. Spesielt NORSOK S-serien fokuserer på helse, miljø og sikkerhet (HMS), inkludert arbeidsmiljø, risikovurdering og beredskap. Disse standardene gir veiledning om hvordan man strukturerer instrumenteringssystemer og kontrollsoner for å opprettholde sikkerheten.

IEC 62351 er en internasjonal standard som fokuserer på informasjons- og cybersikkerhet for kommunikasjon i kraftsystemer. Den er utviklet av International Electrotechnical Commission (IEC) og adresserer sikkerhetsutfordringer i energisektoren, inkludert smartnett, transformatorstasjoner og SCADA-systemer.