Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

A fenyegetéselemzés az energiaszektor egyik leghatékonyabb eszköze a kibertámadások elleni küzdelemben

2020. március 21. - icscybersec

A Stuxnet napvilágra kerülése óta eltelt közel egy évtizedben a különböző országok (jellemzően a hírszerző szolgálatok és/vagy a fegyveres erők) által támogatott APT-csoportok száma és képességei nagyságrendekkel növekedtek és ma már rutinszerűek a kritikus infrastruktúrák és azon belül is a villamosenergia-rendszert működtető szervezetek elleni kibertámadások. Bár az üzemzavarok és leállások minden iparágban, minden cég számára károsak (elég csak a Norsk Hydro elleni ransomware-támadás okozta károkra gondolni), a villamosenergia-rendszer elemei elleni támadásoknál nagyobb hatással egy sem járhat. Ráadásul ahogy az energiaszektor cégei egyre nagyobb számban használnak az ICS rendszerek mellett hagyományos IT és újabban IoT rendszereket is (főként a hatékonyság növelése és a kontinensnyi összekapcsolt villamosenergia-rendszerek és villamosenergia-piacok mindinkább időkritikus követelményeknek megfelelő üzemeltetése érdekében, úgy nő ezeknek a cégeknek és az ICS és IT rendszereiknek a kitettsége is.

Ezt a fajta kitettséget csökkenteni és egy, a villamosenergia-rendszer egyes részeinek zavartalan üzemeltetéséért felelős szervezetet hatékonyan megvédeni a kiberbiztonsági fenyegetésektől egyáltalán nem könnyű feladat. Egy-egy nagyobb méretű szervezet nap szinten is több tíz- vagy százezer fenyegetéssel kell, hogy megbírkózzanak, ami már önmagában is elég lehet arra, hogy folyamatosan túlterheljék a (különösen a mai magyar IT és IT biztonsági munkaerőpiaci helyzet mellett) nem túlzottan nagy létszámú IT biztonsági csoportokat. Ráadásul a villamosenergia-szektorban működő vállalatok IT biztonsági szakembereinek nem egy esetben a ma elképzelhető legkifinomultabb támadásokat kell felfedezniük és megbirkózniuk a támadók leleményességével.

Ez az a pont, ahol a fenyegetéselemzés segítségére lehet a mindig erőforrás szűkével küszködő szakembereknek, akik képesek lehetnek priorizálni a feladataikat és olyan tevékenységekre fordítani a véges idejüket és erőforrásaikat, amik a legnagyobb eséllyel segíthetnek megelőzni biztonsági incidenseket.

Néhány tevékenység, aminek bevezetésén minden érintett szervezetnek ajánlott elgondolkodnia:

- Sérülékenység-menedzsment: A villamosenergia-rendszer működésért felelős szervezetek egyenként is nagyon nagy és nagyon bonyolult rendszereket üzemeltetnek. Ahhoz, hogy ezt a feladatukat megfelelően tudják végezni, képesnek kell lenniük pontosan azonosítani és javítani a rendszerek legveszélyesebb sérülékenységeit. A fenyegetéselemzés képessé tudja tenni a szervezeteket arra, hogy az egyes sérülékenységek adott szervezetre gyakorolt kockázatnövelő hatása alapján priorizálja a hibajavítások telepítését.

- A biztonsági megoldások elhelyezésének kérdése: Bár Magyarországon még csak mostanában kezdi felismerni a szabályozó, hogy a közmű- és benne a villamosenergia-szektorra vonatkozóan is az eddigieknél jobb (és szigorúbb) szabályokat kell kidolgozni kiberbiztonsági témakörben is (hasonlóan ahhoz, ahogy a pénzügyi szektorra már legalább 15-20 éve megtörtént), az energiaszektor általános kiberbiztonsági helyzete sok szempontból nem vagy nem sokkal rosszabb, mint más szektoroké, de ez sem jelenti azt, hogy a villamosenergia-ipari cégek IT biztonsági eszközök végtelen tárházával rendelkeznének. A fenyegetéselemzés egy módszere lehet a cégek biztonsági programjai esetén az érettségi állapot értékelésének és alapját adhatják azoknak a döntéseknek, hogy a véges erőforrások telepítése esetén hol lehet a legnagyobb hatást elérni egy új eszköz vagy eljárás bevezetésével.

- Megelőző intézkedések: Az olyan, egy-egy közösség szempontjából elsődleges fontosságú közműszolgáltatás esetén, mint amilyen a villamosenergia-szolgáltatás, az incidensek megelőzését szolgáló intézkedések alapvető fontosságúak. Ezek az intézkedések általában a behatolás-teszteket (hálózatok, alkalmazások, weboldalak, hardverek és más eszközök tesztjeit) és más hasonló tevékenységeket jelentenek, amikkel azonban meglehetősen könnyű szem elől téveszteni az eredeti célt. Ennek a célnak a középpontban tartására is kiváló eszköz lehet a fenyegetéselemzés és segíthet azokra a rendszerekre és eszközökre fókuszálni az aktív védelmi intézkedéseket, amik a legnagyobb kockázatoknak vannak kitéve.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7215488288

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

logiman 2020.03.21. 09:42:52

De mindenek előtt: tanulni a már megtörtént - főleg a 2015-ös és 2016-os ukrajnai - támadások tanulságaiból. Biztos, hogy ennek kapcsán nálunk minden illetékes megcsinálta a maga "házi feladatát"?!...

icscybersec 2020.03.21. 12:22:21

@logiman: Bátran merem azt válaszolni, hogy biztosan nem. A legtöbb ipari szervezetnél dolgozó IT és OT szakember (tisztelet a ritka kivételnek) még mindig a rendelkezésre állás bűvkörében él, a biztonsági incidens számukra egyenlő a rendelkezésre állás sérülését okozó incidensekkel és csak legyintenek, amikor az általad is említett ukrán incidensekre hivatkozik valaki.

Az igazán szörnyű az, hogy mindeközben a felügyeleti szervek és az állam sem igyekezett az elmúlt 5 évben egy átfogó (akár a nemzeti kritikus infrastruktúrák közül azokat szervezeteket érintő, ahol ICS rendszereket használnak - pedig a mostani veszélyhelyzetből látszik, van listája az államnak arról, melyik szervezeteket is tartja kiemelten fontosnak) és egyenszilárd kiberbiztonsági szabályrendszert kidolgozni, bevezetni/bevezettetni és (ami talán a legfontosabb lenne) számonkérni. Hiszen látjuk, hogy a 2013. évi L törvény és a kapcsolódó 41/2015. BM rendelet (ami ugyan az ipari szervezeteknél az IT-ra inkább, OT-ra kevésbé alkalmazható) is velünk él lassan 5 éve (az L törvény 7 éve, de a végrehajtási rendelet határozza meg pontosan az elvárásokat), de leszámítva a számlázó rendszerek éves kötelező auditálást, tudtommal még soha, senkin nem kérték számon ezeket a biztonsági követelményeket. Úgy pedig nagyon kevesen fognak jelentős összegeket a kiberbiztonság fejlesztésére fordítani, hogy senki nem kötelezi őket erre - a saját jól felfogott(?) érdekükön kívül.
süti beállítások módosítása