W pierwszym kroku okre\u015bla si\u0119 cel i zakres audytu, co obejmuje identyfikacj\u0119 system\u00f3w i sieci, kt\u00f3re zostan\u0105 poddane audytowi, a tak\u017ce ustalenie priorytet\u00f3w i cel\u00f3w audytu. W porozumieniu z klientem podj\u0119to decyzj\u0119, \u017ce audyt b\u0119dzie obejmowa\u0142 jedynie dwa systemy automatyki przemys\u0142owej:<\/p>\n\n\n\n
- \n
- Room Management System (RMS) \u2013 monitorowanie temperatury i wilgotno\u015bci pomieszcze\u0144,<\/li>\n\n\n\n
- Building Management System (BMS) \u2013 monitorowanie i zmiana konfiguracji nastaw, np. wentylacji.<\/li>\n<\/ul>\n\n\n\n
Te systemy nie s\u0105 bezpo\u015brednio zaanga\u017cowane w proces produkcji, ale maj\u0105 charakter priorytetowy z uwagi na konieczno\u015b\u0107 raportowania pomiar\u00f3w do G\u0142\u00f3wnego Inspektoratu Farmaceutycznego. Warunki \u015brodowiskowe s\u0105 niezwykle istotne <\/strong>z punktu widzenia w\u0142a\u015bciwego przygotowania produktu ko\u0144cowego. <\/p>\n\n\n\n
Celem audytu<\/strong> by\u0142a weryfikacja zabezpiecze\u0144 sieci teleinformatycznej, kt\u00f3ra odpowiada za przep\u0142yw danych pomi\u0119dzy elementami obu system\u00f3w.<\/p>\n\n\n\n
Zesp\u00f3\u0142 audytowy<\/strong><\/h2>\n\n\n\n
Na tym etapie tworzy si\u0119 zesp\u00f3\u0142 audytowy, kt\u00f3ry b\u0119dzie odpowiedzialny za przeprowadzenie audytu. Zesp\u00f3\u0142 ten powinien by\u0107 dobrze wykwalifikowany i posiada\u0107 wiedz\u0119 z zakresu bezpiecze\u0144stwa przemys\u0142owego<\/strong>. Zesp\u00f3\u0142 powinien sk\u0142ada\u0107 si\u0119 z nast\u0119puj\u0105cych cz\u0142onk\u00f3w:<\/p>\n\n\n\n
- \n
- Audytor,<\/li>\n\n\n\n
- In\u017cynier automatyki,<\/li>\n\n\n\n
- In\u017cynier sieci,<\/li>\n\n\n\n
- Cybersecurity SME,<\/li>\n\n\n\n
- Process Safety SME,<\/li>\n\n\n\n
- Operator z do\u015bwiadczeniem w obs\u0142udze procesu podlegaj\u0105cego audytowi.<\/li>\n<\/ul>\n\n\n\n
W sk\u0142ad zespo\u0142u powo\u0142ano osoby zar\u00f3wno z ramienia firmy, kt\u00f3ra jest poddawana audytowi, jak i z firm zewn\u0119trznych, kt\u00f3re sprawuj\u0105 kontrol\u0119 nad tymi systemami. Bardzo istotne jest, aby osoby zaanga\u017cowane do zespo\u0142u posiada\u0142y niezb\u0119dn\u0105 wiedz\u0119 z zakresu funkcjonowania i obs\u0142ugi systemu.<\/p>\n\n\n\n
Zbieranie informacji<\/strong><\/h2>\n\n\n\n
Przed rozpocz\u0119ciem audytu, zbiera si\u0119 informacje na temat sieci i system\u00f3w przemys\u0142owych, takie jak schematy sieci, konfiguracje urz\u0105dze\u0144, listy kontroli dost\u0119pu itp. Jest to niezb\u0119dny element maj\u0105cy na celu zrozumienie dzia\u0142ania system\u00f3w, okre\u015blenie konsekwencji oraz ocen\u0119 ryzyka, co umo\u017cliwia podejmowanie decyzji zmierzaj\u0105cych do minimalizacji nieakceptowalnych ryzyk. Aby to osi\u0105gn\u0105\u0107, nale\u017cy zrozumie\u0107 aktualne powi\u0105zane praktyki i procedury, analizowany system i kontrolowane procesy przemys\u0142owe.<\/p>\n\n\n\n
Bardzo wa\u017cnym elementem zbierania danych jest wizja lokalna, kt\u00f3rej celem jest:<\/p>\n\n\n\n
- \n
- wizualna ocena systemu,<\/li>\n\n\n\n
- przegl\u0105d bezpiecze\u0144stwa fizycznego,<\/li>\n\n\n\n
- por\u00f3wnanie rysunk\u00f3w z rzeczywist\u0105 instalacj\u0105,<\/li>\n\n\n\n
- obserwacja \u015brodowiska pracy,<\/li>\n\n\n\n
- przeprowadzenie wywiad\u00f3w z personelem operacyjnym,<\/li>\n\n\n\n
- okre\u015blenie krytyczno\u015bci urz\u0105dze\u0144,<\/li>\n\n\n\n
- opis proces\u00f3w, przep\u0142yw\u00f3w i zale\u017cno\u015bci.<\/li>\n<\/ul>\n\n\n\n
Zbieranie informacji w projekcie sk\u0142ada\u0142o si\u0119 z nast\u0119puj\u0105cych czynno\u015bci:<\/p>\n\n\n\n
- \n
- wizja lokalna wraz z obja\u015bnieniem procesu produkcji i wdro\u017conych zabezpiecze\u0144,<\/li>\n\n\n\n
- wywiad z pracownikami na temat procedur i funkcjonowania systemu,<\/li>\n\n\n\n
- wywiad z przedstawicielami firm wsp\u00f3\u0142pracuj\u0105cych w kwestii konfiguracji urz\u0105dze\u0144 sieciowych i ko\u0144cowych,<\/li>\n\n\n\n
- zapoznanie si\u0119 z dokumentacj\u0105, tak\u0105 jak lista urz\u0105dze\u0144, diagramy sieci, itd.,<\/li>\n\n\n\n
- zapis konfiguracji wybranych urz\u0105dze\u0144.<\/li>\n<\/ul>\n\n\n\n
Potencjalne zagro\u017cenia<\/strong><\/h2>\n\n\n\n
Podczas audytu identyfikuje si\u0119 potencjalne zagro\u017cenia dla infrastruktury przemys\u0142owej, takie jak: luki w zabezpieczeniach, nieaktualne oprogramowanie, nieautoryzowane urz\u0105dzenia lub dost\u0119p do sieci<\/strong>. \u0179r\u00f3d\u0142o zagro\u017cenia to podmiot, kt\u00f3ry mo\u017ce zainicjowa\u0107 zagro\u017cenie, czy to osoba, grupa os\u00f3b, obiekt (np. sprz\u0119t lub oprogramowanie) lub nawet zdarzenie \u015brodowiskowe, takie jak po\u017car lub pow\u00f3d\u017a. Podczas identyfikowania \u017ar\u00f3d\u0142a zagro\u017cenia pomocne jest okre\u015blenie niekt\u00f3rych cech \u017ar\u00f3d\u0142a, takich jak jego lokalizacja, mo\u017cliwo\u015bci i motywacja.<\/p>\n\n\n\n
Przyk\u0142adowe \u017ar\u00f3d\u0142a zagro\u017ce\u0144 to:<\/p>\n\n\n\n
- \n
- autoryzowany personel wewn\u0119trzny,<\/li>\n\n\n\n
- autoryzowana strona trzecia,<\/li>\n\n\n\n
- nieautoryzowany personel wewn\u0119trzny,<\/li>\n\n\n\n
- nieupowa\u017cniona osoba zewn\u0119trzna (haker),<\/li>\n\n\n\n
- z\u0142o\u015bliwe oprogramowanie,<\/li>\n\n\n\n
- sprz\u0119t,<\/li>\n\n\n\n
- \u015brodowisko.<\/li>\n<\/ul>\n\n\n\n
Przyk\u0142adowe sytuacje:<\/p>\n\n\n\n
- \n
- Pracownik fizycznie uzyskuje dost\u0119p do strefy kontroli procesu i pod\u0142\u0105cza pami\u0119\u0107 USB do jednego z komputer\u00f3w.<\/li>\n\n\n\n
- Autoryzowany personel wsparcia uzyskuje dost\u0119p do strefy kontroli procesu przy u\u017cyciu zainfekowanego laptopa, co powoduje zagro\u017cenie w postaci infekcji wirusowej.<\/li>\n\n\n\n
- Nie\u015bwiadomy pracownik otwiera wiadomo\u015b\u0107 e-mail typu phishing, kt\u00f3ra narusza jego dane uwierzytelniaj\u0105ce i umo\u017cliwia zewn\u0119trznemu atakuj\u0105cemu uzyskanie dost\u0119pu do poufnych danych.<\/li>\n<\/ul>\n\n\n\n
Identyfikacja zagro\u017ce\u0144<\/strong><\/h2>\n\n\n\n
Luka bezpiecze\u0144stwa (ang. vulnerability) to dowolna wada lub s\u0142abo\u015b\u0107 w projekcie, implementacji lub dzia\u0142aniu systemu, kt\u00f3r\u0105 mo\u017cna wykorzysta\u0107 do naruszenia bezpiecze\u0144stwa systemu. Nie zawsze jest konieczne identyfikowanie konkretnych szczeg\u00f3\u0142\u00f3w luk.<\/p>\n\n\n\n
Identyfikacja zagro\u017ce\u0144 polega\u0142a na wype\u0142nieniu kwestionariusza pyta\u0144 na podstawie informacji udzielonych przez cz\u0142onk\u00f3w zespo\u0142u audytowego, obserwacji w trakcie wizji lokalnej oraz dyskusji dotycz\u0105cych poszczeg\u00f3lnych kwestii.<\/p>\n\n\n\n
Wyznaczono 8 obszar\u00f3w<\/strong>, w ramach kt\u00f3rych dokonano oceny stanu faktycznego wdro\u017conych zabezpiecze\u0144 oraz identyfikacji zagro\u017ce\u0144, na jakie nara\u017cony jest system. Przedmiotowe obszary to:<\/p>\n\n\n\n
- \n
- Organizacja i zakres odpowiedzialno\u015bci.<\/li>\n\n\n\n
- Zarz\u0105dzanie ryzykiem.<\/li>\n\n\n\n
- Zarz\u0105dzanie kontami u\u017cytkownik\u00f3w, uwierzytelnieniem i autoryzacj\u0105.<\/li>\n\n\n\n
- Architektura sieci.<\/li>\n\n\n\n
- Kontrola dost\u0119pu.<\/li>\n\n\n\n
- Bezpiecze\u0144stwo urz\u0105dze\u0144 i danych.<\/li>\n\n\n\n
- Wykrywanie zagro\u017ce\u0144.<\/li>\n\n\n\n
- Ci\u0105g\u0142o\u015b\u0107 dzia\u0142ania i odtwarzanie systemu po awarii.<\/li>\n<\/ul>\n\n\n\n
Ocena ryzyka<\/strong><\/h2>\n\n\n\n
Ryzyko jest oceniane pod k\u0105tem potencjalnych skutk\u00f3w i prawdopodobie\u0144stwa wyst\u0105pienia zagro\u017ce\u0144. W wyniku tej oceny okre\u015bla si\u0119 priorytety i klasyfikuje ryzyka.<\/p>\n\n\n\n
Ocena krytyczno\u015bci obejmuje:<\/p>\n\n\n\n
- \n
- Ocen\u0119 krytyczno\u015bci zasobu IACS.<\/li>\n\n\n\n
- Miar\u0119 negatywnego wp\u0142ywu, jaki powinna mie\u0107 informacja, kt\u00f3ra mo\u017ce okaza\u0107 si\u0119 niedost\u0119pna, zawodna lub zagro\u017cona.<\/li>\n\n\n\n
- Rozwa\u017cenie czy informacja komunikuje si\u0119 z pracownikami\/wykonawcami, co jest wa\u017cnym elementem oceny ryzyka.<\/li>\n\n\n\n
- Wykorzystanie metodologii identyfikacji najgorszych konsekwencji.<\/li>\n<\/ul>\n\n\n\n
Krytyczno\u015b\u0107<\/strong> jest cz\u0119sto okre\u015blana za pomoc\u0105 metody CIA<\/strong>, kt\u00f3ra obejmuje:<\/p>\n\n\n\n
- \n
- Dost\u0119pno\u015b\u0107 (ang. availability) \u2013 jak powa\u017cne s\u0105 konsekwencje, je\u015bli dany zas\u00f3b nie jest w stanie wykona\u0107 swoich zada\u0144 lub zamierzonej funkcji, np. niemo\u017cno\u015b\u0107 komunikacji lub przetwarzania informacji.<\/li>\n\n\n\n
- Integralno\u015b\u0107 (ang. integrity) \u2013 jak powa\u017cne s\u0105 konsekwencje usuni\u0119cia lub modyfikacji informacji przetwarzanej lub przechowywanej na danym zasobie.<\/li>\n\n\n\n
- Poufno\u015b\u0107 \u2013 jak powa\u017cne s\u0105 konsekwencje ujawnienia informacji procesowanej lub sk\u0142adowanej na danym zasobie.<\/li>\n<\/ul>\n\n\n\n
Wz\u00f3r na ocen\u0119 ryzyka mo\u017cna przedstawi\u0107 jako:<\/p>\n\n\n\n
Ryzyko = zagro\u017cenie x podatno\u015b\u0107 x konsekwencje<\/strong><\/p>\n\n\n\n
R\u00f3wnanie mo\u017cna upro\u015bci\u0107, przekszta\u0142caj\u0105c \u201ezagro\u017cenie x podatno\u015b\u0107\u201d na \u201eprawdopodobie\u0144stwo\u201d, co pozwala na wyra\u017cenie ryzyka jako:<\/p>\n\n\n\n
Ryzyko = prawdopodobie\u0144stwo x konsekwencje<\/strong><\/p>\n\n\n\n
Na okre\u015blenie prawdopodobie\u0144stwa wp\u0142ywa wiele czynnik\u00f3w, takich jak cz\u0119stotliwo\u015b\u0107 pojawiania si\u0119 zagro\u017ce\u0144, atrakcyjno\u015b\u0107 celu, zakres ataku, umiej\u0119tno\u015bci atakuj\u0105cego, powszechnie znane luki, motywacja\/zamiary podmiotu tworz\u0105cego zagro\u017cenie. Okre\u015blenie prawdopodobie\u0144stwa jest cz\u0119sto trudne, zw\u0142aszcza gdy brak jest dost\u0119pnych statystyk.<\/p>\n\n\n\n
Dopuszczalne ryzyko<\/strong><\/h2>\n\n\n\n
Dopuszczalne ryzyko to poziom ryzyka uznawany za akceptowalny dla organizacji<\/strong>. Kierownictwo jest odpowiedzialne za okre\u015blenie tolerancji. Je\u015bli ryzyko jest poni\u017cej ryzyka tolerowanego, mo\u017cna je zaakceptowa\u0107. Je\u017celi ryzyko przekracza ryzyko tolerowane, podejmuje si\u0119 dzia\u0142ania takie jak zmniejszenie ryzyka, przeniesienie lub podzielenie ryzyka, eliminac\u0119 lub przeprojektowanie niepotrzebnych lub nieskutecznych kontroli.<\/p>\n\n\n\n
Organizacje powinny uwzgl\u0119dni\u0107 wymogi prawne podczas ustalania dopuszczalnego ryzyka. Dodatkowe wytyczne dotycz\u0105ce ustalania dopuszczalnego ryzyka mo\u017cna znale\u017a\u0107 w normach takich jak ISO 31000 i NIST 800-39<\/strong>. Poziom ryzyka czasem nazywany jest r\u00f3wnie\u017c \u201eapetytem na ryzyko\u201d.<\/p>\n\n\n\n
Wynik oceny ryzyka odnosi si\u0119 do poni\u017cszych kryteri\u00f3w:<\/p>\n\n\n\n
![\"Ocena](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/10\/Obraz1-3.png\")
<\/a>Tab. 1 Ocena ryzyka<\/figcaption><\/figure>\n\n\n\n Ka\u017cda kategoria sk\u0142ada si\u0119 z kilku pyta\u0144 lub punkt\u00f3w kontrolnych, a ocena stanowi ich \u015bredni\u0105 wa\u017con\u0105.
W ka\u017cdej kategorii mo\u017cna uzyska\u0107 maksymalnie ocen\u0119 4. Ocena 2 oznacza granic\u0119 minimalnych wymaga\u0144 w zakresie cyberbezpiecze\u0144stwa ICS.<\/p>\n\n\n\nAnaliza podatno\u015bci<\/strong><\/h2>\n\n\n\n
Podczas analizy podatno\u015bci system\u00f3w i sieci przemys\u0142owych sprawdza si\u0119, czy istniej\u0105 luki w zabezpieczeniach, kt\u00f3re mog\u0105 by\u0107 wykorzystane przez potencjalnych atakuj\u0105cych<\/strong>. Ocena luk w zabezpieczeniach cyberbezpiecze\u0144stwa IACS obejmuje nast\u0119puj\u0105ce elementy:<\/p>\n\n\n\n
- \n
- \u0106wiczenie maj\u0105ce na celu identyfikacj\u0119 i klasyfikacj\u0119 s\u0142abych punkt\u00f3w w przemys\u0142owym systemie sterowania i powi\u0105zanej z nimi infrastruktury sieci.<\/li>\n\n\n\n
- Ocen\u0119 projektu, wdro\u017cenia i konfiguracji IACS, a tak\u017ce jego funkcjonowanie i zarz\u0105dzanie.<\/li>\n\n\n\n
- Okre\u015blenie adekwatno\u015b\u0107 \u015brodk\u00f3w bezpiecze\u0144stwa i identyfikacja brak\u00f3w w zabezpieczeniach.<\/li>\n\n\n\n
- Identyfikacj\u0119 znanych luk w u\u017cywanych komponentach.<\/li>\n<\/ol>\n\n\n\n
Nale\u017cy jednak pami\u0119ta\u0107, \u017ce nie wszystkie luki stanowi\u0105 ryzyko dla \u015brodowiska OT<\/strong>. Wykorzystanie luki w zabezpieczeniach nie zawsze prowadzi do negatywnych konsekwencji, dlatego wa\u017cne jest dok\u0142adne zrozumienie potencjalnego wp\u0142ywu.<\/p>\n\n\n\n
Istnieje kilka rodzaj\u00f3w analizy podatno\u015bci w dziedzinie cyberbezpiecze\u0144stwa:<\/p>\n\n\n\n
- \n
- Ocena podatno\u015bci na wysokim poziomie:<\/strong>\n
- \n
- Ocenia istniej\u0105ce praktyki operacyjne i techniczne zwi\u0105zane z cyberbezpiecze\u0144stwem w organizacji.<\/li>\n\n\n\n
- Por\u00f3wnuje je z przepisami bran\u017cowymi, standardami i najlepszymi praktykami.<\/li>\n\n\n\n
- Dostarcza informacje zwrotne na temat wynik\u00f3w w por\u00f3wnaniu do konkurent\u00f3w z bran\u017cy.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Pasywna ocena podatno\u015bci:<\/strong>\n
- \n
- Wykrywa urz\u0105dzenia sieciowe za pomoc\u0105 \u015brodk\u00f3w pasywnych, takich jak przegl\u0105d dokumentacji, analiza ruchu, tablice ARP, przechwytywanie i analiza rzeczywistego ruchu sieciowego, zbieranie danych z urz\u0105dze\u0144 (np. logi), przegl\u0105d konfiguracji oraz badania z wykorzystaniem baz danych podatno\u015bci.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Aktywna ocena podatno\u015bci:<\/strong>\n
- \n
- Wykrywa urz\u0105dzenia sieciowe za pomoc\u0105 aktywnych narz\u0119dzi do skanowania sieci, takich jak Nmap, Ping Sweep lub ARP Scan.<\/li>\n\n\n\n
- Wykrywa luki w zabezpieczeniach za pomoc\u0105 aktywnych narz\u0119dzi do skanowania podatno\u015bci, takich jak OpenVAS, Nessus, Nexpose.<\/li>\n\n\n\n
- Pomaga zrozumie\u0107 system i proces przemys\u0142owy, co umo\u017cliwia identyfikacj\u0119 potencjalnych zagro\u017ce\u0144.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Test penetracyjny<\/strong><\/li>\n<\/ol>\n\n\n\n
Dost\u0119pnych jest wiele metod przeprowadzania bada\u0144 maj\u0105cych na celu zrozumienie aktualnych luk w zabezpieczeniach niekt\u00f3rych system\u00f3w IACS. Wszystkie powinny by\u0107 sklasyfikowane w ramach tych czterech typ\u00f3w.<\/p>\n\n\n\n
Testy penetracyjne<\/strong><\/h2>\n\n\n\n
W niekt\u00f3rych przypadkach przeprowadza si\u0119 testy penetracyjne, kt\u00f3re pozwalaj\u0105 sprawdzi\u0107, jak \u0142atwo mo\u017cna uzyska\u0107 dost\u0119p do system\u00f3w lub sieci przemys\u0142owych. <\/p>\n\n\n\n
Testy penetracyjne rozpoczyna si\u0119 od aktywnej oceny podatno\u015bci na cyberbezpiecze\u0144stwo z perspektywy hakera. Testy obejmuj\u0105 pr\u00f3by wykorzystania znanych i nieznanych luk w zabezpieczeniach przy u\u017cyciu narz\u0119dzi i technik exploit\u00f3w oraz sprawdzanie skuteczno\u015bci zabezpiecze\u0144 sieciowych.<\/p>\n\n\n\n
Ocena podatno\u015bci a testy penetracyjne<\/strong><\/h2>\n\n\n\n
Ocena podatno\u015bci polega na identyfikacji i klasyfikacji luk w zabezpieczeniach, identyfikacji s\u0142abych punkt\u00f3w i raportowaniu wykrytych luk. Natomiast testy penetracyjne polegaj\u0105 na wykorzystywaniu luk w zabezpieczeniach, pr\u00f3bach uzyskania nieautoryzowanego dost\u0119pu oraz u\u017cyciu agresywnych narz\u0119dzi i technik ataku oraz penetracji systemu.<\/p>\n\n\n\n
W ramach przedmiotowego audytu nie zdecydowano si\u0119 na przeprowadzenie test\u00f3w penetracyjnych.<\/p>\n\n\n\n
Z jednej strony, wi\u0105\u017ce si\u0119 to z dodatkowym nak\u0142adem pracy. Z drugiej strony, sie\u0107 OT jest z regu\u0142y bardzo stabilna<\/strong>, ale tak\u017ce bardzo wra\u017cliwa na interakcj\u0119 z innymi urz\u0105dzeniami <\/strong>pr\u00f3buj\u0105cymi w mniej lub bardziej agresywny spos\u00f3b aktywnie weryfikowa\u0107 stan urz\u0105dze\u0144 ko\u0144cowych.<\/p>\n\n\n\n
Nale\u017cy r\u00f3wnie\u017c zwr\u00f3ci\u0107 uwag\u0119 na fakt, \u017ce sieci OT cz\u0119sto sk\u0142adaj\u0105 si\u0119 z bardzo starych system\u00f3w, takich jak Windows XP czy nawet Windows 95, kt\u00f3re maj\u0105 ograniczon\u0105 moc obliczeniow\u0105 ze wzgl\u0119du na swoj\u0105 przestarza\u0142o\u015b\u0107. Te systemy cz\u0119sto s\u0105 wy\u0142\u0105czone z procesu zarz\u0105dzania poprawkami (ang. patch management) z zasady „p\u00f3ki dzia\u0142a, nie ruszamy”. To oznacza, \u017ce mog\u0105 by\u0107 podatne nawet na proste zapytania typu brute force lub ping sweep, kt\u00f3re dla nowoczesnych system\u00f3w nie stanowi\u0142yby \u017cadnego zagro\u017cenia.<\/p>\n\n\n\n
Rekomendacje i plan dzia\u0142a\u0144<\/strong><\/h2>\n\n\n\n
Na podstawie wynik\u00f3w audytu tworzy si\u0119 rekomendacje dotycz\u0105ce poprawy bezpiecze\u0144stwa. Przygotowuje si\u0119 r\u00f3wnie\u017c plan dzia\u0142a\u0144, kt\u00f3ry okre\u015bla kroki niezb\u0119dne do zminimalizowania ryzyka. Zrozumienie ryzyka ma fundamentalne znaczenie do okre\u015blenia najlepszych sposob\u00f3w ochrony system\u00f3w. <\/strong>Przed rozpocz\u0119ciem dzia\u0142a\u0144, musimy przej\u015b\u0107 przez kilka etap\u00f3w.<\/p>\n\n\n\n
Najpierw musimy zrozumie\u0107 ryzyko. Oznacza to okre\u015blenie realnych zagro\u017ce\u0144, zidentyfikowanie istniej\u0105cych luk w zabezpieczeniach, zrozumienie kluczowych zasob\u00f3w, zrozumienie konsekwencji i ocen\u0119 skuteczno\u015bci obecnych zabezpiecze\u0144.<\/p>\n\n\n\n
Nast\u0119pnie opracowujemy plan przeciwdzia\u0142ania ryzyku, kt\u00f3re uznajemy za nieakceptowalne. W ramach tego planu oceniamy istniej\u0105ce \u015brodki zaradcze, sugerujemy dodatkowe \u015brodki zaradcze, proponujemy zmiany w bie\u017c\u0105cych zasadach i procedurach oraz ustalamy priorytety dla rekomendacji w oparciu o wzgl\u0119dne ryzyko. Ponadto, oceniamy koszty i z\u0142o\u017cono\u015b\u0107 w por\u00f3wnaniu z efektywno\u015bci\u0105 tych dzia\u0142a\u0144.<\/p>\n\n\n\n
Warto zaznaczy\u0107, \u017ce cyberbezpiecze\u0144stwo to przede wszystkim zarz\u0105dzanie ryzykiem<\/strong>. Istnieje potrzeba znalezienia dobrej r\u00f3wnowagi, poniewa\u017c firmy nie zawsze mog\u0105 sobie pozwoli\u0107 na osi\u0105gni\u0119cie idealnego bezpiecze\u0144stwa. Redukcja ryzyka musi by\u0107 r\u00f3wnowa\u017cona kosztem wprowadzenia \u015brodk\u00f3w minimalizuj\u0105cych ryzyko.<\/p>\n\n\n\n
Przyk\u0142ady rekomendacji<\/strong><\/h2>\n\n\n\n
Ustanowienie stref i kana\u0142\u00f3w:<\/p>\n\n\n\n
- \n
- Rekomendacja:<\/strong> organizacja powinna grupowa\u0107 IACS i powi\u0105zane aktywa w strefy (ang. zony) lub kana\u0142y (ang. conduits) zgodnie okre\u015blonym wcze\u015bniej ryzykiem. Grupowanie opiera si\u0119 na wynikach oceny ryzyka lub innych kryteri\u00f3w, takich jak krytyczno\u015b\u0107 aktyw\u00f3w, funkcja operacyjna, lokalizacja fizyczna lub logiczna, wymagany dost\u0119p.<\/li>\n\n\n\n
- Uzasadnienie:<\/strong> celem grupowania aktyw\u00f3w w strefy i kana\u0142y jest identyfikacja tych aktyw\u00f3w, kt\u00f3re maj\u0105 wsp\u00f3lne wymogi bezpiecze\u0144stwa, co pozwala na identyfikacj\u0119 wsp\u00f3lnych \u015brodk\u00f3w bezpiecze\u0144stwa wymaganych w celu ograniczenia ryzyka. Przydzielenie aktyw\u00f3w IACS do stref i przewod\u00f3w mo\u017cna dostosowa\u0107 w oparciu o wyniki szczeg\u00f3\u0142owej analizy oceny ryzyka.<\/li>\n<\/ul>\n\n\n\n
Oddzielenie IT i OT:<\/p>\n\n\n\n
- \n
- Rekomendacja: <\/strong>aktywa IACS nale\u017cy pogrupowa\u0107 w strefy, kt\u00f3re s\u0105 logicznie lub fizycznie oddzielone od zasob\u00f3w IT przedsi\u0119biorstwa.<\/li>\n\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>IT i OT to dwa r\u00f3\u017cne typy system\u00f3w, kt\u00f3re musz\u0105 by\u0107 podzielone na odr\u0119bne strefy, zgodnie z ich funkcjonalno\u015bci\u0105. Wa\u017cne jest zrozumienie podstawowej r\u00f3\u017cnicy mi\u0119dzy dzia\u0142alno\u015bci\u0105 biznesow\u0105 a systemami IACS.<\/li>\n<\/ul>\n\n\n\n
Zastosowanie oddzielnych urz\u0105dze\u0144 zwi\u0105zanych z bezpiecze\u0144stwem:<\/p>\n\n\n\n
- \n
- Wym\u00f3g: <\/strong>urz\u0105dzenia IACS zwi\u0105zane z bezpiecze\u0144stwem nale\u017cy pogrupowa\u0107 w strefy, kt\u00f3re s\u0105 logicznie lub fizycznie oddzielone od stref niezwi\u0105zanych z bezpiecze\u0144stwem urz\u0105dze\u0144 IACS. Je\u017celi jednak nie da si\u0119 ich oddzieli\u0107, ca\u0142\u0105 stref\u0119 okre\u015bla si\u0119 jako stref\u0119 zwi\u0105zan\u0105 z bezpiecze\u0144stwem.<\/li>\n\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>urz\u0105dzenia IACS zwi\u0105zane z bezpiecze\u0144stwem maj\u0105 zazwyczaj inne wymagania dotycz\u0105ce zabezpiecze\u0144 ni\u017c podstawowe elementy system\u00f3w sterowania. Strefy zwi\u0105zane z bezpiecze\u0144stwem zwykle wymagaj\u0105 wy\u017cszego poziomu ochrony ze wzgl\u0119du na wi\u0119kszy potencja\u0142 w zakresie zdrowia, bezpiecze\u0144stwa i konsekwencji dla \u015brodowiska w przypadku naruszenia strefy.<\/li>\n<\/ul>\n\n\n\n
Oddzielenie tymczasowo pod\u0142\u0105czonych urz\u0105dze\u0144:<\/p>\n\n\n\n
- \n
- Rekomendacja: <\/strong>urz\u0105dzenia, kt\u00f3re mog\u0105 tymczasowo \u0142\u0105czy\u0107 si\u0119 z IACS,\u00a0powinny by\u0107 pogrupowane w oddzieln\u0105 stref\u0119 lub strefy od urz\u0105dze\u0144, kt\u00f3re maj\u0105 by\u0107 na sta\u0142e pod\u0142\u0105czona do sieci OT.<\/li>\n\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>urz\u0105dzenia tymczasowo pod\u0142\u0105czone do sieci OT (na przyk\u0142ad w celu konserwacji komputer\u00f3w przeno\u015bnych, przeno\u015bnego sprz\u0119tu przetwarzaj\u0105cego i urz\u0105dzenia USB) stwarzaj\u0105 wi\u0119ksze ryzyko atak\u00f3w ni\u017c urz\u0105dzenia b\u0119d\u0105ce na sta\u0142e cz\u0119\u015bci\u0105 strefy. Dlatego istnieje potrzeba izolowania tych urz\u0105dze\u0144 w odr\u0119bnych strefach. G\u0142\u00f3wnym powodem takiej izolacji jest fakt, \u017ce tymczasowo pod\u0142\u0105czone urz\u0105dzenia ze wzgl\u0119du na sw\u00f3j przemieszczalny charakter, mog\u0105 nawi\u0105zywa\u0107 po\u0142\u0105czenia z innymi sieciami poza stref\u0105. Niemniej istniej\u0105 wyj\u0105tki, np. urz\u0105dzenia przeno\u015bne wykorzystywane jedynie w jednej strefie, kt\u00f3re nigdy nie opuszczaj\u0105 jej granic i mog\u0105 pozosta\u0107 w tej samej strefie.<\/li>\n<\/ul>\n\n\n\n
Wykorzystanie oddzielnych urz\u0105dze\u0144 pod\u0142\u0105czonych za po\u015brednictwem sieci zewn\u0119trznych:<\/p>\n\n\n\n
- \n
- Rekomendacje: <\/strong>urz\u0105dzenia, kt\u00f3re mog\u0105 \u0142\u0105czy\u0107 si\u0119 z IACS za po\u015brednictwem sieci zewn\u0119trznych w stosunku do IACS, powinny zosta\u0107 zgrupowane w oddzieln\u0105 stref\u0119 lub strefy.<\/li>\n\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>cz\u0119sto organizacje przyznaj\u0105 zdalny dost\u0119p personelowi, takiemu jak pracownicy, dostawcy i inne podmioty, w celach konserwacji, optymalizacji i raportowania. Poniewa\u017c zdalny dost\u0119p znajduje si\u0119 poza fizyczn\u0105 granic\u0105 IACS, zaleca si\u0119 modelowanie go jako oddzielnej strefy lub stref.<\/li>\n<\/ul>\n\n\n\n
Przemy\u015blenie zmian<\/strong><\/h2>\n\n\n\n
Najtrudniejszym elementem prowadzenia audytu, opr\u00f3cz trafnej analizy zagro\u017ce\u0144 i zwi\u0105zanego z nimi ryzyka, jest opracowanie dzia\u0142a\u0144 zaradczych, kt\u00f3re zmniejsz\u0105 ryzyko lub wyeliminuj\u0105 te zagro\u017cenia. Zaproponowane rekomendacje musz\u0105 by\u0107 starannie przemy\u015blane pod k\u0105tem mo\u017cliwo\u015bci ich realizacji zar\u00f3wno w kr\u00f3tkim, jak i d\u0142ugim okresie.<\/strong> Nale\u017cy tak\u017ce dok\u0142adnie oceni\u0107 koszty tych dzia\u0142a\u0144 w odniesieniu do oczekiwanych efekt\u00f3w.<\/p>\n\n\n\n
Z punktu widzenia klienta zlecaj\u0105cego audyt, wa\u017cne jest uzyskanie informacji dotycz\u0105cych dzia\u0142a\u0144, kt\u00f3re powinny by\u0107 podj\u0119te w pierwszej kolejno\u015bci. Cz\u0119sto zdarza si\u0119, \u017ce kilka zada\u0144 ma najwy\u017cszy priorytet, a w takim przypadku konieczne jest zastanowienie si\u0119, czy mo\u017cna je zrealizowa\u0107 jednocze\u015bnie. Nale\u017cy pami\u0119ta\u0107, \u017ce sieci OT s\u0105 bardzo wra\u017cliwe na zmiany, dlatego ka\u017cdy ruch mog\u0105cy mie\u0107 negatywny wp\u0142yw na proces produkcji powinien by\u0107 dok\u0142adnie przemy\u015blany i zaplanowany.<\/p>\n\n\n\n
Dokumentacja i raportowanie<\/strong><\/h2>\n\n\n\n
Je\u015bli nie udokumentowa\u0142e\u015b swoich dzia\u0142a\u0144, nie ma podstaw do weryfikacji, sprawdzania lub dowodzenia. Dokumentacja jest poddawana przegl\u0105dowi, modyfikacjom, zatwierdzeniu i podlega programowi kontroli.<\/p>\n\n\n\n
Raport z oceny podatno\u015bci:<\/strong><\/p>\n\n\n\n
- \n
- Zakres oceny.<\/li>\n\n\n\n
- Architektura systemu \u201ew stanie ustalonym\u201d.<\/li>\n\n\n\n
- Szczeg\u00f3\u0142y oceny: daty\/lokalizacje, uczestnicy, proces oceny podatno\u015bci.<\/li>\n\n\n\n
- Priorytetowe podsumowanie ustale\u0144.<\/li>\n\n\n\n
- Szczeg\u00f3\u0142owe ustalenia: luki w zasadach i procedurach, w architekturze i projektowaniu, w zabezpieczeniach konfiguracji i konserwacji, w oprogramowaniu, w komunikacji i sieci oraz s\u0142abo\u015bci fizyczne.<\/li>\n<\/ul>\n\n\n\n
Raport z oceny ryzyka cyberbezpiecze\u0144stwa:<\/strong><\/p>\n\n\n\n
- \n
- Zakres oceny ryzyka.<\/li>\n\n\n\n
- Szczeg\u00f3\u0142y oceny: daty\/lokalizacje, uczestnicy, proces oceny ryzyka.<\/li>\n\n\n\n
- Profil ryzyka.<\/li>\n\n\n\n
- Podsumowanie zalece\u0144.<\/li>\n\n\n\n
- Szczeg\u00f3\u0142owe ustalenia: Zagro\u017cenia wysokiego ryzyka, luki wysokiego ryzyka, zalecenia priorytetowe, szczeg\u00f3\u0142owe arkusze oceny ryzyka.<\/li>\n<\/ul>\n\n\n\n
Raport ko\u0144cowy jest dokumentem dla klienta, kt\u00f3ry ma mo\u017cliwo\u015b\u0107 zapoznania si\u0119 z jego zawarto\u015bci\u0105 i zg\u0142oszenia swoich uwag. W tym celu organizuje si\u0119 spotkanie podsumowuj\u0105ce, na kt\u00f3rym omawiane s\u0105 poszczeg\u00f3lne kwestie. Gdy tre\u015b\u0107 raportu zostanie uzgodniona, finalna wersja jest przekazywana do wgl\u0105du zarz\u0105dowi firmy.<\/p>\n\n\n\n
Podsumowanie<\/strong><\/h2>\n\n\n\n
Przeprowadzenie audytu stanowi jedynie pocz\u0105tek dzia\u0142a\u0144 maj\u0105cych na celu podniesienie poziomu cyberbezpiecze\u0144stwa sieci przemys\u0142owych zar\u00f3wno w Polsce, jak i na ca\u0142ym \u015bwiecie. Kolejnym krokiem jest zazwyczaj opracowanie strategii dzia\u0142ania<\/strong>, programu wdro\u017cenia i poprawy rozwi\u0105za\u0144 bezpiecze\u0144stwa.<\/strong> To wi\u0105\u017ce si\u0119 z konieczno\u015bci\u0105 pozyskania finansowania na dalsze prace.<\/p>\n\n\n\n
Z perspektywy audytora, chcia\u0142bym podkre\u015bli\u0107, \u017ce bardzo cieszy mnie rosn\u0105c\u0105 \u015bwiadomo\u015b\u0107 polskich firm<\/strong> produkcyjnych<\/strong>, nie tylko z bran\u017cy farmaceutycznej, kt\u00f3re stawiaj\u0105 na wdra\u017canie cyberbezpiecze\u0144stwa w systemach automatyki przemys\u0142owej. Dodatkowo, determinacja zespo\u0142\u00f3w odpowiedzialnych daje solidne podstawy do szybkiego doskonalenia i wdra\u017cania w\u0142a\u015bciwych system\u00f3w i procedur bezpiecze\u0144stwa.<\/p>\n\n\n\n
***<\/p>\n\n\n\n
Je\u015bli interesuje Ci\u0119 obszar Cyberbezpiecze\u0144stwa, zajrzyj r\u00f3wnie\u017c do innych artyku\u0142\u00f3w naszych ekspert\u00f3w<\/a>. <\/p>\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>cz\u0119sto organizacje przyznaj\u0105 zdalny dost\u0119p personelowi, takiemu jak pracownicy, dostawcy i inne podmioty, w celach konserwacji, optymalizacji i raportowania. Poniewa\u017c zdalny dost\u0119p znajduje si\u0119 poza fizyczn\u0105 granic\u0105 IACS, zaleca si\u0119 modelowanie go jako oddzielnej strefy lub stref.<\/li>\n<\/ul>\n\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>urz\u0105dzenia tymczasowo pod\u0142\u0105czone do sieci OT (na przyk\u0142ad w celu konserwacji komputer\u00f3w przeno\u015bnych, przeno\u015bnego sprz\u0119tu przetwarzaj\u0105cego i urz\u0105dzenia USB) stwarzaj\u0105 wi\u0119ksze ryzyko atak\u00f3w ni\u017c urz\u0105dzenia b\u0119d\u0105ce na sta\u0142e cz\u0119\u015bci\u0105 strefy. Dlatego istnieje potrzeba izolowania tych urz\u0105dze\u0144 w odr\u0119bnych strefach. G\u0142\u00f3wnym powodem takiej izolacji jest fakt, \u017ce tymczasowo pod\u0142\u0105czone urz\u0105dzenia ze wzgl\u0119du na sw\u00f3j przemieszczalny charakter, mog\u0105 nawi\u0105zywa\u0107 po\u0142\u0105czenia z innymi sieciami poza stref\u0105. Niemniej istniej\u0105 wyj\u0105tki, np. urz\u0105dzenia przeno\u015bne wykorzystywane jedynie w jednej strefie, kt\u00f3re nigdy nie opuszczaj\u0105 jej granic i mog\u0105 pozosta\u0107 w tej samej strefie.<\/li>\n<\/ul>\n\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>urz\u0105dzenia IACS zwi\u0105zane z bezpiecze\u0144stwem maj\u0105 zazwyczaj inne wymagania dotycz\u0105ce zabezpiecze\u0144 ni\u017c podstawowe elementy system\u00f3w sterowania. Strefy zwi\u0105zane z bezpiecze\u0144stwem zwykle wymagaj\u0105 wy\u017cszego poziomu ochrony ze wzgl\u0119du na wi\u0119kszy potencja\u0142 w zakresie zdrowia, bezpiecze\u0144stwa i konsekwencji dla \u015brodowiska w przypadku naruszenia strefy.<\/li>\n<\/ul>\n\n\n\n
- Uzasadnienie i dodatkowe wytyczne: <\/strong>IT i OT to dwa r\u00f3\u017cne typy system\u00f3w, kt\u00f3re musz\u0105 by\u0107 podzielone na odr\u0119bne strefy, zgodnie z ich funkcjonalno\u015bci\u0105. Wa\u017cne jest zrozumienie podstawowej r\u00f3\u017cnicy mi\u0119dzy dzia\u0142alno\u015bci\u0105 biznesow\u0105 a systemami IACS.<\/li>\n<\/ul>\n\n\n\n
- Uzasadnienie:<\/strong> celem grupowania aktyw\u00f3w w strefy i kana\u0142y jest identyfikacja tych aktyw\u00f3w, kt\u00f3re maj\u0105 wsp\u00f3lne wymogi bezpiecze\u0144stwa, co pozwala na identyfikacj\u0119 wsp\u00f3lnych \u015brodk\u00f3w bezpiecze\u0144stwa wymaganych w celu ograniczenia ryzyka. Przydzielenie aktyw\u00f3w IACS do stref i przewod\u00f3w mo\u017cna dostosowa\u0107 w oparciu o wyniki szczeg\u00f3\u0142owej analizy oceny ryzyka.<\/li>\n<\/ul>\n\n\n\n
- Rekomendacja:<\/strong> organizacja powinna grupowa\u0107 IACS i powi\u0105zane aktywa w strefy (ang. zony) lub kana\u0142y (ang. conduits) zgodnie okre\u015blonym wcze\u015bniej ryzykiem. Grupowanie opiera si\u0119 na wynikach oceny ryzyka lub innych kryteri\u00f3w, takich jak krytyczno\u015b\u0107 aktyw\u00f3w, funkcja operacyjna, lokalizacja fizyczna lub logiczna, wymagany dost\u0119p.<\/li>\n\n\n\n
- Ocena podatno\u015bci na wysokim poziomie:<\/strong>\n