Odporúčania pre sektor energetika

Energetické systémy sú jedným z hlavných prvkov zariadení Kritickej infraštruktúry.

Táto kapitola slúži ako základné odporúčanie pre všetkých Prevádzkovateľov základnej služby všetkých sektorov/podsektorov (ako sú doprava, energetika, priemysel, voda, plyn, ropa, chémia, hutníctvo) prevádzkujúcich energetické zariadenia.

Kybernetické hrozby sa neustále vyvíjajú a prinášajú nové spôsoby útokov. Štatistiky kybernetických incidentov jednoznačne potvrdzujú, že cca 20% útokov je „z voku“ systémov a cca 80% útokov je „z vnútra“ systémov. Ukazuje sa, že opatrenia založené na organizačných opatreniach a „ľudskom faktore“ neposkytujú dostatočnú a účinnú kybernetickú bezpečnosť.

Medzinárodne akceptovaná a v praxi odskúšaná smernica riešenia kybernetickej bezpečnosti riadiacich systémov energetických zariadení kritickej infraštruktúry je smernica BDEW White paper (2. aktualizované vydanie, 7.5.2018)

Základnými princípmi architektúry kybernetickej bezpečnosti sú:

Security by design, funkcie kybernetickej bezpečnosti musia byť základnou súčasťou návrhu a vývoja komponentov,
Minimal need-to-know principle, funkcie kybernetickej bezpečnosti musia byť užívateľsky prístupné a nesmú si vyžadovať úroveň znalosti administrátorov,
Defence-in-depth principle, princíp komplexného riešenia kybernetickej bezpečnosti na viacerých úrovniach (princíp „cibule“ – viacero vrstiev ochrany),
Redundancy principle, základný princíp prevádzkovej bezpečnosti, ktorý zabezpečí aby jednotlivá porucha nespôsobila nefunkčnosť celého systému alebo jeho významnej časti.

Dôležitou požiadavkou bezpečnosti je aby jednotlivé riešenia a funkcionality nespôsobili „Vendor Lock-in“, to znamená závislosť a odkázanosť na jednom výrobcovi.

V súčasnosti je smernica BDEW White paper podporovaná renomovanými výrobcami prístrojov OT a je implementovaná v európskych spoločnostiach prevádzkujúcich energetické systémy.

Smernica BDEW White paper popisuje v praxi odskúšané koncepcie a riešenia kybernetickej bezpečnosti jednak na úrovni systémov ako aj na úrovni jednotlivých komponentov (koncových zariadení).

Spoľahlivý a overený princíp v oblasti kybernetickej bezpečnosti v súčasnosti predstavuje viacúrovňový koncept „defense-in-depth:

Odporúčanie: Minimálne technické požiadavky kybernetickej bezpečnosti OT systémov, koncept „Defence-in-depth“

Minimálne technické požiadavky na kybernetickú bezpečnosť na úrovni jednotlivých komponentov sa týka každého jednotlivého OT prístroja – koncového zariadenia (obsahujúceho prvky ako sú mikroprocesorová jednotka, operačný systém, komunikačné rozhrania a pod.)

Jednotlivé funkcie aktívnej kybernetickej bezpečnosti defense-in-depth musia byť implementované na úrovni hardvéru a operačného systému koncových zariadení.

Minimálne technické požiadavky na funkcie a parametre aktívneho a účinného kybernetického zabezpečenia OT prístrojov sú:

funkcia generovania bezpečnostných Logov (Syslog),
zabezpečená komunikácia z monitorovania a analyzovania udalostí v sieťach a informačných systémoch (SIEM) protokolom Radius (Remote Authentication Dial-In User Service ),
funkcia manažmentu sietí SNMP v1,2,3 (Simple Network Management Protocol),
funkcia Host Firewall layer 2,3,4,7 (viď tabuľka ANSI)
funkcia Router, segmentácia sietí VLAN (Virtual LAN),
funkcia zabezpečeného prístupu do systému a riadenia oprávnení RBAC (Role-based Access Control) a mechanizmu AAA (Authentication-Authorization-Accounting),
funkcia zabezpečeného vzdialeného prístupu SSL (Secure Sockets Layer)/TLS (Transport Layer Security),
funkcia šifrovania komunikácie IPSec, OpenVPN,
funkcia šifrovania prostredníctvom HW Crypto-chip,
šifrovaná / certifikátom chránená pamäť SSHD, SD karta,
systém aktívnej antivírovej ochrany, IPS (Intrusion Prevention System), MAC (Mandatory Access Control),
systém autonómneho monitorovania a detekcie kybernetických incidentov IDS (Intrusion Detection System),
zaistenie upgrade a podpory (Patch-management) zo strany výrobcu počas celej životnosti systému (minimálne 15-20 rokov),

Odporúčanie: Organizačné a procesné zabezpečenie kybernetickej bezpečnosti

Jednotlivé odporúčania smernice BDEW White paper sú previazané aj na systém riešenia kybernetickej bezpečnosti v organizačnej a procesnej oblasti, ktorými sa podrobnejšie zaoberá medzinárodný štandard ISO/IEC 27001.

Minimálne technické požiadavky na kybernetickú bezpečnosť musia byť uplatnené a zadokumentované počas všetkých fáz životného cyklu OT zariadenia, to znamená počas:

akvizície (obchodno-technická dokumentácia pre výber zhotoviteľa, obchodná dodávateľská zmluva),
projektovej prípravy (technická realizačná dokumentácia, dokumentácia skutočného vyhotovenia),
realizácie (sprievodná technická dokumentácia, vývoj SW, skúšky),
prevádzky (manipulačný a prevádzkový poriadok, návody na obsluhu, návody na školenie),
údržby (návody na servis a údržbu, servisná zmluva).

Odporúčanie: Opatrenia kybernetickej bezpečnosti jestvujúcich OT systémov

Jedným zo špecifických znakov OT systémov je dĺžka životného cyklu , ktorý môže byť 15 až 20 rokov (v prípade IT systémov je to len 4 až 6 rokov). Takže je na mieste otázka ako sa dajú zabezpečiť jestvujúce systémy, ktoré majú ešte väčšinu životnosti pred sebou?

Odporúčanie č.1

Technologicky vyspelé systémy založené na modulárnej koncepcii hardvéru a softvéru umožňujú modifikovať, rozšíriť alebo aktualizovať časť zariadenia (hardvérové, resp. softvérové moduly) bez potreby výmeny celého zariadenia. V takomto prípade odporúčame kontaktovať výrobcu s požiadavkou na aktualizáciu alebo doplnenie potrebného hardvéru, resp. softvéru (väčšinou sa je jedná len o procesorovú jednotku) a tým plnohodnotne a bez veľkého zásahu riešiť bezpečnosť.

Odporúčanie č.2

V prípade ak použité systémy nie sú modulárnej architektúry a neumožňujú modifikovať, rozšíriť alebo aktualizovať časti zariadenia, je možné zvýšiť úroveň zabezpečenia formou doplnenia dodatočného prvku (hardvér+softvér), ktorý bude vykonávať niektoré základné funkcie ako napr. monitoring komunikačnej siete, riadený prístup do LAN siete a zariadení, hlásenie prienikov do systému a pod.

Odporúčanie č.3

Výrobcovia OT systémov ponúkajú rôzne technické prostriedky dodatočného zabezpečenia, či už sa jedná o „komunikačné gateway“, „LAN monitoring“ a iné. Pri výbere dodatočných technických prostriedkov odporúčame orientovať sa na prvky a prístroje založené na priemyselných štandardoch. Neodporúčame riešenie na báze Windows PC, ktoré je navrhnuté pre kancelárske účely.

Dôležité:

Je potrebné zdôrazniť, že uvedené odporúčania 2 a 3 sú len prechodné náhradné opatrenia, do času keď budú jestvujúce zaradenia modernizované alebo rekonštruované a pri tej príležitosti vymenené za nové technologicky vyspelé obsahujúce účinné zabezpečenie.

Dátum prvého zverejnenia 31. 3. 2020. Posledná aktualizácia 31. 3. 2020 14:34

Odporúčania pre sektor energetika

Odporúčanie: Minimálne technické požiadavky kybernetickej bezpečnosti OT systémov, koncept „Defence-in-depth“

Odporúčanie: Organizačné a procesné zabezpečenie kybernetickej bezpečnosti

Odporúčanie: Opatrenia kybernetickej bezpečnosti jestvujúcich OT systémov

Dôležité:

SK-CERT Bezpečnostné varovanie V20250520-08

SK-CERT Bezpečnostné varovanie V20250520-07

SK-CERT Bezpečnostné varovanie V20250520-06