Een praktisch kader om digitale substations te beschermen

Laten we, om zo goed mogelijk te begrijpen hoe digitale substations kunnen worden beschermd, het perspectief van de aanvaller bekijken met behulp van de Kill Chain van het Industrial Control System. Deze killchain organiseert acties van aanvallers in een reeks operaties die op elkaar voortbouwen om aan het einde van de keten het beoogde effect te bereiken (in ons voorbeeld in Oekraïne, het verlies van elektriciteit). Voor onze doeleinden gebruiken we een verkorte versie van de kill chain, waarin de stappen zoals Voorbereiding, Inbraak, Pivot to OT, Execute OT en Attack worden beschreven.

Voorbereiding

Aanvallers beginnen met het verzamelen van informatie over hun doelwit. Voor nutsbedrijven kan dit bestaan uit het identificeren van locaties van onderstations, het begrijpen van de SCADA-architectuur, het onderzoeken van apparatuur van leveranciers en het in kaart brengen van de netwerkinfrastructuur. De aanvallers in Oekraïne in 2015 hebben maandenlang hun doelwitten bestudeerd. Op dezelfde manier begon de aanval op de Colonial Pipeline in 2021 met een verkenning waarbij kwetsbare VPN-inloggegevens werden geïdentificeerd.

Defensieve controles: Nutsbedrijven moeten hun digitale voetafdruk minimaliseren door de openbaar beschikbare informatie over de configuraties van onderstations en controlesystemen te beperken. In een training voor veiligheidsbewustzijn van werknemers moet de nadruk worden gelegd op de risico's van het te veel delen van operationele gegevens op sociale media of professionele netwerken, evenals de juiste behandeling van gevoelige gegevens.

Inbraak

Aanvallers krijgen toegang tot de doelomgeving. Veelgebruikte toegangsmethoden zijn onder meer spear-phishing-e-mails, gecompromitteerde software-updates, geïnfecteerde USB-drives of het gebruik van systemen die op het internet zijn gericht. De aanvallers in Oekraïne maakten gebruik van spearphishing met kwaadaardige Microsoft Office-bijlagen, waardoor de BlackEnergy-malware kon worden geïnstalleerd en de nodige steun kon worden verleend voor vervolgacties.

Defensieve controles: Volg de beste praktijken voor IT-cyberbeveiliging van bedrijven, waaronder robuuste e-mailbeveiligingsoplossingen met geavanceerde bescherming tegen bedreigingen en sandboxmogelijkheden, antivirus-/EDR-oplossingen voor bedrijfswerkstations, netwerkinbraakdetectiesystemen en operationele centra voor beveiliging (interne of beheerde dienstverlening). Zorg ervoor dat de OT-teams zijn afgestemd op en op de hoogte zijn van de IT-cyberbeveiligingsstrategie van ondernemingen.

Pivot naar OT

Nu aanvallers toegang hebben gekregen tot IT-netwerken van bedrijven, proberen ze hun bereik uit te breiden naar OT-netwerken, zoals die in digitale substations. Dit wordt meestal gedaan door gebruik te maken van onveilige oplossingen voor toegang op afstand, door geldige gebruikersgegevens te stelen van besmette IT-systemen of door gebruik te maken van geïnfecteerde tijdelijke apparaten zoals telefoons en laptops. Het gebruik van geïnfecteerde USB-drives bij de Stuxnet-aanval is een voorbeeld van hoe zelfs netwerken met luchtgaten in gevaar kunnen worden gebracht. Tijdens de aanval in Oekraïne hebben aanvallers gestolen inloggegevens van IT-systemen gebruikt om via VPN-verbindingen toegang te krijgen tot OT-netwerken.

Defensieve controles: Stel een strikt beleid vast voor verwijderbare media en externe apparaten. Houd een actuele inventarisatie van alle software en firmware bij en houd bedrijfsmiddelen up-to-date met digitaal ondertekende beveiligingspatches (voor zover de operaties dit toelaten). Oplossingen voor netwerktoegangscontrole (NAC) kunnen voorkomen dat ongeautoriseerde apparaten verbinding maken met substationnetwerken, terwijl het netwerk tussen IT- en OT-netwerken en substationzones de zijwaartse bewegingen verstoort. Implementeer industriële inbraakdetectiesystemen (IDS) die de OT-protocollen begrijpen en abnormale communicatie kunnen identificeren. Beveilig de toegang op afstand met behulp van meervoudige authenticatie en zorg ervoor dat externe toegang van derden (meestal voor onderhoud van leveranciers) op dezelfde manier wordt beveiligd. Elimineer de standaardreferenties op alle IED's, relais en netwerkapparaten, bij voorkeur door toegangscontrole op basis van rollen te implementeren. Tot slot helpen regelmatige kwetsbaarheidsbeoordelingen van OT-netwerken om zwakke punten te identificeren voordat aanvallers dat doen.

OT-aanval uitvoeren

In de laatste fase bereiken aanvallers hun doelen, of het nu gaat om gegevensdiefstal, systeemmanipulatie of destructieve acties. In Oekraïne betekende dit het openen van stroomonderbrekers (via HMI's van onderstations) om stroomuitval te veroorzaken. De aanvallers in Oekraïne hebben kwaadaardige firmware-uploads gebruikt om de communicatie naar veldapparatuur te verbreken en tegelijkertijd denial-of-service-aanvallen op callcenters uit te voeren, wat leidde tot vertraagde herstelwerkzaamheden en gefrustreerde klanten die geen antwoord konden krijgen.

Defensieve controles: Implementeer systemen met veiligheidsinstrumenten (SIS) die onafhankelijk van besturingssystemen werken. Offline back-ups van configuraties onderhouden en herstelprocedures controleren. Voer regelmatig tafeloefeningen en incidentresponsoefeningen uit die specifiek zijn voor OT-omgevingen, om een snelle reactie te garanderen, zelfs als de cyberbeveiligingscontroles falen.

Bij de verdediging van digitale onderstations is het implementeren van beveiligingscontroles slechts het halve werk en moeten elektriciteitsbedrijven ook de controles afstemmen op de bestaande regelgeving en branchekaders en defensieve maatregelen afstemmen op zowel de NERC CIP-vereisten als het NIST Cybersecurity Framework (CSF).

NERC CIP-uitlijning

De Critical Infrastructure Protection (CIP) -normen van de North American Electric Reliability Corporation bevatten verplichte vereisten voor de cyberbeveiliging van energiesystemen in bulk. De belangrijkste normen die relevant zijn voor digitale substations zijn onder meer:

CIP-004 (Personeel en opleiding): Richt zich op het belangrijkste onderdeel van cyberbeveiliging: mensen. Bevat de vereisten voor aanwerving, training en onboarding/offboarding.

CIP-005 (Electronic Security Perimeters): Behandelt de maatregelen voor netwerksegmentatie en toegangscontrole die zijn besproken bij de verdediging tegen inbraak en bij de omschakeling naar OT.

CIP-007 (System Security Management): Omvat de dagelijkse „blokkering en aanpak” van cyberbeveiliging: patchbeheer, malwarepreventie, bewaking van beveiligingsgebeurtenissen en accountbeheer. Dit omvat de procedures voor eindpuntbeveiliging, logboekregistratie en het beheer van kwetsbaarheden die essentieel zijn voor vroege detectie.

CIP-008 (Incident Response Planning): Zorgt ervoor dat organisaties hun vermogen om te reageren op aanvallen ontwikkelen, behouden en oefenen.

CIP-009 (herstelplanning): Richt zich op het terugkeren naar „normaal” na een aanval. Zorgt ervoor dat back-upprocedures worden geïmplementeerd en geverifieerd, en dat herstel periodiek wordt getest op snelheid en nauwkeurigheid.

CIP-010 (beheer van configuratiewijzigingen): Definieert basisconfiguraties voor bedrijfsmiddelen en stelt een gestructureerd proces voor wijzigingsbeheer in voor die basislijnen, waaronder patch-tests voor de operationele integriteit. Omvat ook vereisten voor periodieke beoordelingen van kwetsbaarheden.

CIP-015 (Internal Network Security Monitoring): De nieuwste CIP-standaard, goedgekeurd in de zomer van 2025 en in werking getreden vanaf oktober 2028. Bij CIP-015 draait het erom te weten wat er „on the wire” gebeurt: het monitoren van OT-netwerken, het detecteren van eventuele abnormale activiteiten en het nemen van weloverwogen beslissingen om te reageren.

NIST CSF-integratie

Het NIST Cybersecurity Framework biedt een flexibele, op risico's gebaseerde aanpak, georganiseerd rond zes kernfuncties die een uitgebreide cyberbeveiligingsstrategie vertegenwoordigen:

Regeren: Stel de strategie, verwachtingen en het beleid van de organisatie op het gebied van cyberbeveiligingsrisicobeheer vast en controleer deze.

Identificeer: Zorg voor een gemeenschappelijk inzicht in cyberbeveiligingsrisico's voor alle systemen, bedrijfsmiddelen, gegevens en mensen. Krijg inzicht in de huidige beveiligingssituatie en de bijbehorende risico's.

Bescherm: Implementeer de eerder besproken technische controles: netwerksegmentatie, toegangscontroles, eindpuntbeveiliging, enz. Probeer het totale aanvalsoppervlak te beperken dat een aanvaller kan gebruiken om voet aan de grond te krijgen in het netwerk.

Detecteren: Implementeer mogelijkheden om het optreden van kwaadaardige cyberbeveiligingsgebeurtenissen tijdig correct te identificeren. Gebruik geaggregeerde gegevens van een grote verscheidenheid aan bedrijfsmiddelen om context toe te voegen aan de zichtbaarheid.

Antwoord: Wanneer een cyberaanval wordt gedetecteerd, moet u actie ondernemen om de voortgang van aanvallers te beperken, de gevolgen te beperken en uiteindelijk aanvallers van het netwerk te verdrijven.

Herstellen: Nadat u een bedreiging hebt geneutraliseerd, moet u alle capaciteiten of diensten herstellen die door het incident zijn aangetast. Gebruik de geleerde lessen om de toekomstige beveiligingsstrategie te onderbouwen.

Een combinatie van NERC CIP, NIST CSF en Defensive Controls

Conclusie

De aanval in Oekraïne in 2015 heeft aangetoond dat digitale substations kritieke doelwitten zijn waar cyberkwetsbaarheden zich rechtstreeks kunnen vertalen in fysieke gevolgen. Maar door inzicht te krijgen in de killchain van de aanvaller en door gelaagde verdediging te implementeren, kunnen hulpprogramma's hun risicoprofiel aanzienlijk verminderen. Dankzij de steun van zowel IT- als OT-teams en een doordachte toepassing van de strategie kunnen digitale substations op een uitzonderlijk sterke beveiligingsbasis worden geplaatst en voorbereid zijn op wat aanvallers vervolgens ook proberen.