Koncepcie a štandardy Kybernetickej bezpečnosti OT systémov
Táto kapitola slúži ako základné odporúčanie pre všetkých Prevádzkovateľov základnej služby, ktorí prevádzkujú priemyselné zariadenia.
Hľadaním účinných opatrení kybernetickej bezpečnosti priemyselných OT systémov sa zaoberajú rôzne inštitúcie na celom svete. Jednotlivé koncepcie majú svoj historický vývoj a líšia sa podľa miesta a času ich vzniku a pristupujú k riešeniu kybernetickej bezpečnosti z rôznych uhlov pohľadu. Priekopníkmi boli inštitúcie ako NIST, NERC, ANSI/ISA a ďalšie, ktoré mali prevažne národnú alebo regionálnu pôsobnosť (USA, Canada, Mexiko,…)
Kybernetické hrozby sa neustále vyvíjajú a prinášajú nové spôsoby útokov. Štatistiky kybernetických incidentov jednoznačne potvrdzujú, že cca 20% útokov je „zvoku“ systémov a cca 80% útokov je „zvnútra“ systémov. Ukazuje sa, že opatrenia založené na organizačných opatreniach a „ľudskom faktore“ poskytujú iba čiastočnú a pre OT systémy málo účinnú kybernetickú bezpečnosť.
Kým v minulosti postačovalo na dosiahnutie kybernetickej bezpečnosti implementovať organizačné a procesné opatrenia v kombinácii s jednoduchými technickými riešeniami (napr. Firewall na perimetri systému pre oddelenie sietí, prihlasovacie meno/heslo alebo monitoring komunikácií) v súčasnosti už takéto opatrenia nepostačujú.
Spoľahlivé a overené opatrenia v oblasti kybernetickej bezpečnosti v súčasnosti predstavuje viacúrovňový koncept „defense-in-depth“ implementovaný v každom jednotlivom prístroji (koncovom zariadení), ako aj na úrovni systému. Jednotlivé funkcie aktívnej kybernetickej bezpečnosti defense-in-depth musia byť implementované na úrovni hardvéru a operačného systému koncových zariadení.
Tento koncept vznikol vďaka spolupráci viacerých európskych užívateľov a prevádzkovateľov systémov kritickej infraštruktúry s cieľom formulovať požiadavky, opatrenia a mechanizmy účinného riešenia kybernetickej bezpečnosti súčasnosti a aj s výhľadom do budúcnosti.
V súčasnosti je koncept Defense-in-depth podporovaný renomovanými výrobcami prístrojov OT a je implementovaný v európskych spoločnostiach prevádzkujúcich energetické systémy.
Tento koncept je súčasťou nasledovných odporúčaných štandardov:
- IEC 62443 koncepcia pre priemyselnú automatizáciu a riadiace systémy
- BDEW White paper odporúčaná smernica pre riadiace systémy energetických zariadení
Historický chronologický prehľad inštitúcií a štandardov zaoberajúcich sa témou kybernetickej bezpečnosti:
NIST (National Institute of Standards and Technology), od 1988, pôsobnosť regionálna/národná USA, mimovládne vedecké laboratórium obchodnej komory USA, zameranie na oblasť informačné technológie a ochrana informácií
Odporúčanie: Pre riešenie kybernetickej bezpečnosti OT systémov v pôsobnosti EU, využívať len informatívne.
NERC (North American Electric Reliability Corporation) od 2006, pôsobnosť regionálna/národná USA, Kanada a Mexiko, nezisková organizácia pre bezpečnosť energetických spoločnosti severnej Ameriky, špecifikuje štandardy a požiadavky Informačnej bezpečnosti pre sektor energetiky
Odporúčanie: Pre riešenie kybernetickej bezpečnosti OT systémov v pôsobnosti EU, využívať len informatívne.
ANSI/ISA 62443 od 2010 (predtým ISA-99), pôsobnosť regionálna/národná USA, koordinácia národnej legislatívy s medzinárodnými štandardami
ANSI American National Standards Institute, Americký Národný Inštitút Štandardizácie, od 1918,
ISA International Society for Automation, Medzinárodná Asociácia Automatizácie, od 2007
Odporúčanie: Pre riešenie kybernetickej bezpečnosti OT systémov v pôsobnosti EU, využívať len informatívne.
IEC 62443 od 2018, pôsobnosť medzinárodná EÚ, (tiež ako ISA/IEC 62443), štandardy kybernetickej bezpečnosti pre systémy IACS, resp. DCS (prevzaté a doplnené z ANSI/ISA 62443)
IACS Industrial Automation and Control Systems, priemyselná automatizáciu a riadiace systémy
DCS Distribueted Control Systems, distribuované riadiace systémy
Odporúčanie: Vhodné pre riešenie kybernetickej bezpečnosti OT systémov v pôsobnosti EU, oblasť výrobného priemyslu.
Štruktúra dokumentu:
ISA/IEC 62443-1-x Všeobecná terminológia, politiky, modely KB
ISA/IEC 62443-2-x Management procesov, organizačné zabezpečenia KB
- požiadavky na prevádzkovateľov
ISA/IEC 62443-3-x odporúčania a požiadavky z pohľadu systémov IACS
- požiadavky na integrátora/zhotoviteľa
ISA/IEC 62443-4-x odporúčania a požiadavky z pohľadu prístrojov (koncových zariadení)
- požiadavky na výrobcu
ISO 27001, od 2013, medzinárodná pôsobnosť, (tiež ako ISO/IEC 27001)
- popisuje a preveruje implementáciu koncepcie riadenia Informačnej bezpečnosti v organizáciách
ISO – International Organization for Standardization, Medzinárodná Organizácia pre štandardizáciu systémov ISMS,
ISMS – Information Security Management System, Systémy riadenia informačnej bezpečnosti
Odporúčanie: Vhodné pre riešenie informačnej bezpečnosti vo vnútri organizácií, v pôsobnosti EU, pre všetky oblasti
BDEW White paper, 7.5.2018 / 2. aktualizované vydanie, pôsobnosť EU, smernica BDEW White paper popisuje v praxi odskúšané koncepcie a riešenia kybernetickej bezpečnosti zariadení Defense-in-depth, jednak na úrovni systémov ako aj na úrovni jednotlivých OT komponentov (koncových zariadení).
Odporúčanie: Smernica je odporúčaná pre účinné riešenie kybernetickej bezpečnosti OT systémov v pôsobnosti EU, oblasti energetika, doprava, voda.
Defence-in-depth principle, princíp komplexného riešenia kybernetickej bezpečnosti na viacerých úrovniach (princíp „cibule“ – viacero vrstiev ochrany)
- viac čítaj v kapitole: Odporúčania pre sektor Energetika