Käytännön kehys digitaalisten sähköasemien suojaamiseksi

Jotta ymmärtäisimme parhaiten, miten suojata digitaalisia sähköasemia, otetaan hyökkääjän näkökulma käyttämällä teollisen ohjausjärjestelmän tappoketjua. Tämä tappoketju järjestää hyökkääjän toimet sarjaksi operaatioita, jotka rakentuvat toisistaan saadakseen halutun vaikutuksen ketjun lopussa (Ukrainan esimerkissämme sähkövoiman menetys). Käytämme tarkoituksiimme tiivistettyä versiota tappoketjusta, jossa kuvataan vaiheet kuten Valmistelu, Tunkeutuminen, Pivot OT, Suorita OT ja Hyökkäys.

Valmistelu

Hyökkääjät aloittavat keräämällä tietoa kohteestaan. Apuohjelmissa tämä voi sisältää sähköasemien sijaintien tunnistamisen, SCADA-arkkitehtuurin ymmärtämisen, toimittajan laitteiden tutkimisen ja verkkoinfrastruktuurin kartoituksen. Vuoden 2015 Ukrainan hyökkääjät käyttivät kuukausia tutkimalla kohteitaan. Samoin vuoden 2021 Colonial Pipeline -hyökkäys alkoi tiedustelulla, joka tunnisti haavoittuvat VPN-tunnistetiedot.

Puolustavat hallintalaitteet: Laitosten olisi minimoitava digitaalinen jalanjälkensä rajoittamalla julkisesti saatavilla olevaa tietoa sähköasemien kokoonpanoista ja ohjausjärjestelmistä. Työntekijöiden turvallisuustietoisuuskoulutuksessa tulisi korostaa riskejä, jotka aiheutuvat operatiivisten tietojen liiallisesta jakamisesta sosiaalisessa mediassa tai ammatillisissa verkostoissa sekä arkaluonteisten tietojen asianmukaisesta käsittelystä.

Tunkeutuminen

Hyökkääjät pääsevät kohdeympäristöön. Yleisiä merkintämenetelmiä ovat kalasteluviestit, vaarantuneet ohjelmistopäivitykset, tartunnan saaneet USB-asemat tai Internet-pohjaisten järjestelmien hyväksikäyttö. Ukrainan hyökkääjät käyttivät keihäänkalastelua haitallisilla Microsoft Office -liitteillä, mikä mahdollisti BlackEnergy-haittaohjelman asentamisen ja tarvittavan jalansijan jatkotoimiin.

Puolustavat hallintalaitteetNoudata yritysten IT-kyberturvallisuuden parhaita käytäntöjä, mukaan lukien vankat sähköpostin suojausratkaisut, joissa on edistykselliset uhkien suojaus- ja hiekkalaatikkomahdollisuudet, virustorjunta-/EDR-ratkaisut yritysten työasemille, verkkotunkeutumisen havaitsemisjärjestelmät ja tietoturvakeskukset (joko sisäiset tai hallinnoidut palvelut). Varmista, että OT-tiimit ovat yhdenmukaisia ja ajan tasalla yrityksen IT-kyberturvallisuusstrategian kanssa.

Pivot OT:ään

Saatuaan pääsyn yritysten IT-verkkoihin hyökkääjät pyrkivät laajentamaan ulottuvuuttaan OT-verkkoihin, kuten digitaalisissa sähköasemissa. Tämä tapahtuu tyypillisesti hyödyntämällä epävarmoja etäkäyttöratkaisuja, varastamalla kelvolliset käyttäjätunnukset vaarantuneilta IT-järjestelmiltä tai käyttämällä tartunnan saaneita ohimeneviä laitteita, kuten puhelimia ja kannettavia tietokoneita. Tartunnan saaneiden USB-asemien käyttö Stuxnet-hyökkäyksessä on yksi esimerkki siitä, kuinka jopa ilmakäyttöiset verkot voivat vaarantua. Ukrainan hyökkäyksessä hyökkääjät käyttivät tietojärjestelmien varastettuja tunnistetietoja päästäkseen OT-verkkoihin VPN-yhteyksien kautta.

Puolustavat hallintalaitteet: Luo tiukat käytännöt siirrettäville tallennusvälineille ja ulkoisille laitteille. Pidä kaikkien ohjelmistojen ja laiteohjelmistojen ajan tasalla oleva omaisuusluettelo ja pidä resurssit ajan tasalla digitaalisesti allekirjoitetuilla tietoturvakorjauksilla (niin paljon kuin toiminnot sallivat). Network Access Control (NAC) -ratkaisut voivat estää luvattomia laitteita liittymästä sähköasemaverkkoihin, kun taas IT- ja OT-verkkojen ja sähköasema-alueiden välinen verkko häiritsee sivuttaista liikkumista. Ota käyttöön teollisia tunkeutumisen havaitsemisjärjestelmiä (IDS), jotka ymmärtävät OT-protokollat ja voivat tunnistaa poikkeavan viestinnän. Suojaa etäkäyttö monitekijätodennuksella ja varmista, että kolmannen osapuolen etäkäyttö (tyypillisesti toimittajan ylläpitoa varten) on samalla tavalla suojattu. Poista oletustiedot kaikista IED-laitteista, releistä ja verkkolaitteista ja ota ihannetapauksessa käyttöön roolipohjainen kulunvalvonta. Lopuksi, OT-verkkojen säännölliset haavoittuvuusarvioinnit auttavat tunnistamaan heikkoudet ennen hyökkääjiä.

Suorita OT-hyökkäys

Viimeisessä vaiheessa hyökkääjät saavuttavat tavoitteensa - olivatpa ne sitten tietovarkauksia, järjestelmän manipulointia tai tuhoisia toimia. Ukrainassa tämä tarkoitti katkaisijoiden avaamista (sähköasemien HMI: iden kautta) sähkökatkojen luomiseksi. Ukrainan hyökkääjät käyttivät haitallisia laiteohjelmistolatauksia katkaisemaan viestinnän kenttälaitteisiin suorittaessaan palvelunestohyökkäyksiä puhelinkeskuksiin, mikä johti viivästyneisiin palautuspyrkimyksiin ja turhautuneisiin asiakkaisiin, jotka eivät pystyneet saamaan vastauksia.

Puolustavat hallintalaitteet: Ota käyttöön turvallisuusinstrumentoidut järjestelmät (SIS), jotka toimivat riippumattomasti ohjausjärjestelmistä. Ylläpidä konfiguraatioiden offline-varmuuskopioita ja tarkista palautustoimenpiteet. Suorita säännöllisiä pöytäharjoituksia ja hätätilanteiden torjuntaharjoituksia OT-ympäristöihin varmistaaksesi nopean reagoinnin myös kyberturvallisuuden valvonnan epäonnistumisen yhteydessä.

Digitaalisten sähköasemien puolustamisessa turvavalvonnan toteuttaminen on vain puolet taistelusta, ja sähkölaitosten on myös sovitettava valvonta vakiintuneisiin sääntely- ja teollisuuskehyksiin ja kartoitettava puolustustoimenpiteet sekä NERC CIP -vaatimuksiin että NIST-kyberturvallisuuskehykseen (CSF).

NERC CIP -kohdistus

North American Electric Reliability Corporationin Critical Infrastructure Protection (CIP) -standardit asettavat pakolliset vaatimukset joukkovoimajärjestelmien kyberturvallisuudelle. Digitaalisiin sähköasemiin liittyviä keskeisiä standardeja ovat:

CIP-004 (henkilöstö ja koulutus)Keskittyy kyberturvallisuuden kriittisimpään elementtiin: ihmisiin. Asettaa vaatimukset palkkaamiselle, koulutukselle ja perehdyttämiseen/offboardingille.

CIP-005 (Electronic Security Perimeters): Käsittelee verkon segmentointi- ja kulunvalvontatoimenpiteitä, joista on keskusteltu tunkeutumiselta puolustautumisessa ja OT:hen kääntymisessä.

CIP-007 (Järjestelmän Security Management): Kattaa kyberturvallisuuden päivittäisen ”estämisen ja torjunnan”: korjaustiedostojen hallinnan, haittaohjelmien ehkäisyn, tietoturvatapahtumien seurannan ja tilien hallinnan. Tämä sisältää päätepisteiden suojaus-, kirjaus- ja haavoittuvuuksien hallinnan käytännöt, jotka ovat välttämättömiä varhaisen havaitsemisen kannalta.

CIP-008 (vaaratilanteiden suunnittelu): Varmistaa, että organisaatiot kehittävät, ylläpitävät ja harjoittavat kykyään reagoida hyökkäyksiin.

CIP-009 (Elvytyssuunnittelu): Keskittyy palaamaan ”normaaliksi” hyökkäyksen jälkeen. Varmistaa, että varmuuskopiointimenettelyt otetaan käyttöön ja tarkistetaan ja että palauttamisen nopeus ja tarkkuus testataan säännöllisesti.

CIP-010 (kokoonpanomuutosten hallinta): Määrittää resurssien peruskokoonpanot ja luo näille perusviivoille jäsennellyn muutosten hallintaprosessin, joka sisältää korjaustiedostojen testauksen toiminnan eheyden suhteen. Sisältää myös määräaikaisten haavoittuvuusarviointien vaatimukset.

CIP-015 (Internal Network Security Monitoring): Uusin CIP-standardi, hyväksytty kesällä 2025 ja tulee voimaan lokakuusta 2028 alkaen. CIP-015: n tarkoituksena on tietää, mitä tapahtuu ”langalla”: OT-verkkojen seuranta, poikkeavan toiminnan havaitseminen ja tietoon perustuvien vastauspäätösten tekeminen.

NIST CSF-integrointi

NIST-kyberturvallisuuskehys tarjoaa joustavan, riskiperusteisen lähestymistavan, joka on järjestetty kuuden ydintoiminnon ympärille, jotka edustavat kattavaa kyberturvallisuusstrategiaa:

Hallita: Luo ja seuraa organisaation kyberturvallisuusriskien hallintastrategiaa, odotuksia ja käytäntöjä.

Tunnista: Rakenna yhteinen käsitys kyberturvallisuusriskeistä kaikissa järjestelmissä, resursseissa, tiedoissa ja ihmisissä. Hanki näkyvyyttä nykyisestä turvallisuustilanteesta ja siihen liittyvistä riskeistä.

Suojaa: Toteuta aiemmin käsitellyt tekniset ohjaukset: verkon segmentointi, kulunvalvonta, päätepisteiden suojaus jne. Tavoitteena on vähentää yleistä hyökkäyspintaa, jota hyökkääjä voi käyttää saadakseen jalansijansa verkossa.

Tunnista: Ota käyttöön ominaisuuksia haitallisten kyberturvallisuustapahtumien tunnistamiseksi oikein ajoissa. Hyödynnä monenlaisista resursseista koottuja tietoja lisätäksesi kontekstia näkyvyyteen.

Vastaa: Kun havaitset kyberhyökkäyksen, ryhdy toimiin hyökkäysten edistymisen hillitsemiseksi, vaikutusten lieventämiseksi ja lopulta hyökkääjien karkottamiseksi verkosta.

Palauttaa: Kun olet neutraloinut uhan, palauta kaikki ominaisuudet tai palvelut, jotka olivat heikentyneet tapahtuman vuoksi. Hyödynnä opittuja kokemuksia tulevan turvallisuusstrategian selvittämiseksi.

NERC CIP: n, NIST CSF: n ja puolustushallinnan yhdistäminen

Johtopäätös

Vuoden 2015 Ukrainan hyökkäys osoitti, että digitaaliset sähköasemat ovat kriittisiä kohteita, joissa kyberhaavoittuvuudet voivat johtaa suoraan fyysisiin seurauksiin. Ymmärtämällä hyökkääjän tappoketjun ja toteuttamalla kerrostettuja puolustusapuohjelmia voidaan kuitenkin vähentää merkittävästi heidän riskiprofiiliaan. Sekä IT- että OT-tiimien sisäänoton ja harkitun strategian soveltamisen ansiosta digitaaliset sähköasemat voidaan asettaa poikkeuksellisen vahvalle turvallisuuspohjalle ja olla valmiita mihin hyökkääjät seuraavaksi yrittävät.