Temat z okładki
CYBERBEZPIECZEŃSTWO
Cyberataki często koncentrują się na spowodowaniu wewnętrznych uszkodzeń systemów przemysłowych, których konsekwencje w przypadku systemów ICS są poważne i mogą przynosić również skutki zewnętrzne, ponieważ ataki te mogą wpływać na bezpieczeństwo ludzi
i środowiska naturalnego w zależności od rodzaju obiektu.
rii, co poprawi cyberodporność przedsiębiorstwa i skróci śred- ni czas odzyskiwania sprawności.
Proaktywna cyberobrona systemów ICS oraz odzyskiwanie przez nie sprawności po incydentach
Niezależnie od tego, czy jesteśmy nowymi, doświadczonymi lub początkującymi, awansującymi albo obecnymi menedże- rami bezpieczeństwa systemów ICS"1, dobrze zrobimy, sku- piając się na zabezpieczeniach specy cznych dla ICS przede wszystkim po to, aby zapobiec przedostaniu się cyberprzestęp- ców do sieci przemysłowej. Równolegle jednak, aby chronić przed atakiem infrastrukturę krytyczną, powinniśmy współ- pracować z działami inżynierskimi w celu udoskonalenia pro- cesów odzyskiwania sprawności przez systemy po cyberata- kach. Dzięki temu cyberodporność zakładu wzrośnie.
Jako menedżerowie ds. bezpieczeństwa systemów ICS mu- simy wspierać nasze zespoły i prowadzić je do sukcesu. Ozna- cza to przede wszystkim ustawienie członków naszego zespo- łu oraz posiadanych technologii w pozycji Aktywnej Obrony w modelu Przesuwnej Skali Cyberbezpieczeństwa2  rmy Sans. Aktywna cyberobrona to proces, w którym przeszkoleni anali- tycy ICS wykorzystują technologię do monitorowania, reago- wania i wyciągania wniosków z zagrożeń wewnętrznych dla sieci sterowania. Aktywna obrona jest najbardziej efektywna, jeśli zbudować ją na szczycie architektury sieci ICS, a jej kolej- nymi warstwami są obrona pasywna oraz udokumentowane zarządzanie zasobami3.
Posiadanie właściwych informacji
o zasobach w zakładzie pomaga
w szybkim odzyskaniu sprawności przez system ICS po cyberataku
Identy kację zasobów systemu ICS można podzielić na cztery metody, które mogą być realizowane przez Wasz zespół indy- widualnie lub razem w celu zwiększenia dokładności. Są to: In-
1 oryg. step-up, step-over, or in-place ICS security manager
2 Sliding Scale of Cybersecurity
3 ang. IT asset inventory
spekcja Fizyczna, Pasywna Analiza Ruchu Sieciowego, Aktyw- ne Skanowanie i Analiza Kon guracji. Każda z metod wiąże się z innym ryzykiem i czasem potrzebnym do jej wykonania.
Praktyczne kroki, które może podjąć Wasz zespół w celu ustanowienia zarządzania zasobami ICS, to połączenie in- spekcji  zycznej, analizy kon guracji i pasywnego przechwy- tywania ruchu sieciowego, na przykład w następujący sposób:
1. Zaczynamyodprzejrzeniawszelkichjużstworzonych schematów sieciowych i dokumentacji technicznej, takiej jak „dokumentacja powykonawcza”, aby ziden- ty kować zasoby, o których mówi się, że są wykorzy- stywane w produkcji.
2. Używamy zabezpieczonego laptopa z zainstalowanym co najmniej podstawowym arkuszem kalkulacyjnym, aby rozpocząć katalogowanie i zapisywanie informa- cji o zasobach systemu ICS podczas  zycznej inspek- cji w obiekcie. Nie zapomnijmy swojego certy katu szkolenia w zakresie cyberbezpieczeństwa i środkach ochrony osobistej BHP, aby móc wejść do obiektu.
3. Uzupełniamy  zyczną inspekcję obiektu pasywnym przechwytywaniem pakietów sieciowych w kluczo- wych segmentach sieci, w których znajdują się naj- ważniejsze (krytyczne) zasoby ICS (sterowniki PLC, rejestratory danych, interfejsy operatorskie HMI i robocze stacje inżynierskie). Używamy do tego celu kon guracji SPAN (Switched Port Analyzer) w pełni zarządzanego przełącznika sieciowego lub sprzętowe- go urządzenia umożliwiającego włączenie się do sieci (TAP-u; ang. Test Access Point).
4. Upewniamy się, że kon guracje urządzeń obiektowych są bezpiecznie zapisywane, przechowywane i dostępne do porównania podczas cyberincydentu, tak aby per- sonel inżynierski mógł podczas działań naprawczych odzyskać dane lub wczytać aktualne, niezainfekowane pliki projektu oraz ustawienia urządzeń.
Jako minimum, Wasz zespół powinien uchwycić poniższe atrybuty z powszechnie branych na cel przez cyberprzestęp- ców kluczowych zasobów zakładów przemysłowych, takich jak sterowniki PLC, rejestratory danych, panele operatorskie, inży- nierskie stacje robocze, urządzenia sieciowe i aktywne systemy SIS. Może to być wykorzystane do zrozumienia powierzch- ni ryzyka opartej na ujawnionych słabych punktach i pomóc w mapowaniu zabezpieczeń przed umiejętnościami i metoda- mi4 przeciwnika, uzyskanymi ze źródeł wywiadowczych.
Artykuł ukazał się pierwotnie na stronie  rmy SANS Institute. Jest ona partnerem merytorycznym CFEMediaandTechnology. 
34 I kwartał 2023
CONTROL ENGINEERING POLSKA – www.controlengineering.pl