Řešení kompenzačních opatření kybernetické bezpečnosti dle norem IEC 62443

Řešení kompenzačních opatření kybernetické bezpečnosti dle norem IEC 62443

Kybernetická bezpečnost průmyslových řídicích systémů (ICS) je aktuálně velmi diskutovaným pojmem. ICS jsou mnohdy staršího data výroby a jejich vylepšení mohou být neúměrně nákladná. Z tohoto důvodu jsou ICS často v rámci různých systémů řízení kybernetické bezpečnosti více či méně opomíjeny. Manažeři kybernetické bezpečnosti se tak snaží nalézt nové přístupy k řízení kybernetické bezpečnosti. Kompenzační opatření představená v tomto článku jsou jedním z nich.

kybernetická bezpečnost          bezpečnostní politika          systém řízení kybernetické bezpečnosti         průmyslový řídicí systém        kompenzační opatření

Úvod

Kybernetická bezpečnost průmyslových řídicích systémů (Industrial Control System – ICS) je relativně novým oborem, z tohoto důvodu také její standardizace přichází postupně a s určitým zpožděním. V organizacích je obvykle zajištěna využitím některých mezinárodních metodických rámců pro řízení kybernetické bezpečnosti. Obecně platnými rámci jsou např. řady norem IEC 62443, řada NIST (konkrétně NIST SP 800-82 „Guide to Industrial Control Systems (ICS) Security“ je hojně používaná pro ochranu různých ICS systémů [1]), francouzská ANSSI a německá BSI. [2] Mezi rámce zaměřené konkrétně na určitý sektor se řadí NRC Regulation 5.71 pro nukleární energetiku, API 1164 pro petrochemický průmysl a CFATS pro chemická zařízení. Speciální řadu standardů představuje NERC CIP, jenž je cílený na kritickou infrastrukturu státu. [3] Kybernetická bezpečnost je také částečně řešena ve známé sérii standardů řady ISO 27000.

Nutno podotknout, že ačkoli jsou některé výše zmíněné standardy vydávány státními autoritami, jsou používány přímo i nepřímo s určitými modifikacemi napříč celým světem. Tyto nejvýznamnější standardy také slouží jako inspirace pro velké podniky k tvorbě vlastních interních politik a procedur. S pokračujícím vývojem zákonů o kybernetické bezpečnosti napříč jednotlivými státy světa je na ně často také odkazováno přímo z těchto lokálních zákonů. [3] V České republice lze v zákonu č. 181/2014 Sb., o kybernetické bezpečnosti nalézt referenci na systém řízení bezpečnosti informací prezentovaný sérií ISO 27000 [4]. Jejich celosvětový význam pro kybernetickou bezpečnost podniků je tedy nesporný.

Bezpečnostní rámce jsou tvořeny zpravidla sérií různých standardů a představují ucelenou metodiku pro řízení kybernetické bezpečnosti. Vzhledem k dlouholeté praxi jejich rozsáhlé implementace v celosvětovém měřítku lze jejich aplikaci a následnou kustomizaci obecně doporučit pro každý podnik využívající ICS. Protože ICS jsou mnohdy systémy staršího data výroby, není často možné implementovat všechny bezpečnostní požadavky obsažené v těchto standardech. [1] Z tohoto důvodu je vhodné implementovat kompenzační opatření1, která mohou snížit bezpečnostní rizika na přijatelnou úroveň. Smyslem kompenzačních opatření je částečně nebo zcela vyrovnat riziko vzniklé z nemožnosti implementace konkrétního bezpečnostního požadavku. Tento článek se zabývá popisem řešení kybernetické bezpečnosti dle norem IEC 62443 a analyzuje, jakým způsobem jsou v ní řešena kompenzační opatření. Dále je v něm navržen soubor možných kompenzačních opatření na základě dostupné odborné literatury a zkušeností autorů.

Řešení kybernetické bezpečnosti dle norem IEC 62443

První norma tohoto mezinárodního bezpečnostního rámce byla publikována až v roce 2002 pod označením ISA-99, později byla adoptována organizací IEC a dnes je známá pod označením IEC 62443. [5] Ačkoli zdaleka ne všechny normy z této řady byly dokončeny a vydány (viz popis norem níže), s postupující praxí implementací systémů kybernetické bezpečnosti napříč různými průmyslovými odvětvími získává tato řada norem převahu a uznání napříč mnoha průmyslovými podniky a výrobci technologií. Tento rámec přiměřeně vyvažuje technickou a procesní stránku kybernetické bezpečnosti (zde je vidět podstatný rozdíl oproti řadě norem ISO 27000, která je zaměřena především na procesy organizace). [3]

Uvedený metodický rámec představuje komplexní řešení kybernetické bezpečnosti pro podniky využívající v rámci své činnosti ICS za využití různých typů systémů a industriálních protokolů – v této oblasti se jedná se o jednu z prvních mezinárodních norem, která přijala model síťové architektury podniku s názvem „The Purdue Enterprise Reference Architecture“. [3] Tento model je normě představen jako koncept bezpečnostních zón a spojení mezi nimi (Security Zones and Conduits). V tomto konceptu jsou informační a industriální sítě a v nich obsažené systémy a zařízení rozděleny do jednotlivých úrovní dle funkčního zařazení v rámci podnikové infrastruktury. Úrovně jsou poté rozděleny nebo spojeny dle požadované úrovně bezpečnosti na jednotlivé zóny, jež jsou pečlivě segmentovány nebo segregovány. [3]

Zajištění kybernetické bezpečnosti je v této řadě norem chápáno holisticky. To znamená, že při zabezpečení průmyslového řídicího systému (ICS) jako technologického celku skládajícího se z různých hardwarových komponent a softwarových aplikací se správně počítá také s odbornými požadavky na různé druhy pracovníků podílejících se na ovládání, monitorování a řízení samotného ICS. Norma z tohoto důvodu definuje nový pojem „průmyslový automatizační a řídicí systém“ (Industrial Automation and Control System – IACS). IACS představuje ICS obohacený o lidské zdroje a s nimi souvisejícími procesy. Organizace si navíc může vybrat, jakou úroveň bezpečnostních požadavků implementuje na základě kvality svých procesů. [2]

Normy tak ve svém jádru počítají s různými druhy elementů, které mohou narušit kybernetickou bezpečnost průmyslového podniku, což zajišťuje z pohledu bezpečnosti jejich komplexnost a praktickou použitelnost. Souhrnnou implementaci různých technických i organizačních bezpečnostních požadavků je nutno dle této řady norem provést na základě zjednodušené nebo detailní analýzy rizik, jež je poté základem komplexního systému řízení kybernetické bezpečnosti (Cyber Security Management System – CSMS).

Řada norem IEC 62443 je rozdělena do následujících čtyř kategorií2:

A. Obecná kategorie

B. Bezpečnostní politiky a procedury

C. Bezpečnostní požadavky na systémy

D. Bezpečnostní požadavky na komponenty

Norma IEC 62443-3-3 „Požadavky na bezpečnost systému a bezpečnostní úrovně“ přináší detailní soubor kontrolních bezpečnostních požadavků, které jsou rozděleny do sedmi základních funkčních skupin. Tyto funkční skupiny a jejich obecné cíle jsou popsány v Tab. 1.

Screenshot 2021 03 30 at 17.08.07Tab. 1: Funkční skupiny a obecné cíle dle IEC 62443-3-3Screenshot 2021 03 30 at 17.13.26

Úrovně zabezpečení jednotlivých požadavků

Jednotlivé bezpečnostní požadavky rozděluje norma do čtyř úrovní možného zabezpečení (Security Level – SL), přičemž kvalitativní posun v úrovních zabezpečení je patrný z následujícího popisu jednotlivých úrovní:

Na základě prvotní analýzy rizik tak umožňuje cílová úroveň zabezpečení konkrétního bezpečnostního požadavku přesněji zacílit implementaci bezpečnostních technologií a souvisejících procesů (Security Level Target – SLT).

Důvod zajištění kybernetické bezpečnosti ICS kompenzačními opatřeními

Mezi specifika většiny ICS patří jejich stáří a unikátnost v rámci různorodých implementací. Mnoho ICS, jež bylo implementováno před mnoha lety, si stále udržuje s větší či menší pomocí svoji funkčnost. Velké množství ICS takto funguje i několik desítek let, často pouze s minimálními změnami v síťové architektuře a s tím souvisejícími změnami podsystémů a různých komponent. [1] S ohledem na naplnění různorodých cílů napříč mnoha průmyslovými odvětvími je značné množství ICS dle své architektury také naprosto jedinečných. [15] Týká se to i architektur v rámci stejného odvětví, kde např. dvě chemická zařízení specializující se na odlišné produkty musí nutně své technologie a systémové architektury přiblížit svému produktu a jemu unikátním vstupům. Obdobně dodavatelé energií zahrnují vzhledem k velké geografické rozmanitosti rozdílné prvky řízení svých přenosových soustav. [3] Rozdílná je architektura ICS u ropných tankerů, jiná u lodí převážejících pasažéry, jiná u lodí těžících ropu apod. [16]

Dalšími důvody nemožnosti implementace klasických bezpečnostních požadavků, a tedy pro zavedení kompenzačních opatření, mohou být mezinárodní sankce na dodavatele systému (nebo jeho částí), zánik konkrétního dodavatele nebo úroveň služby ze strany dodavatele, jenž nedosahuje požadované kvality, vysoké finanční náklady neúměrné řešenému riziku apod. Tento druh opatření je možné také použít v případě nových systémů, kdy nebylo ze strany dodavatele systému dbáno na prvky kybernetické bezpečnosti, což je i dnes poměrně častým jevem. Všechny tyto důvody lze pomocí kompenzačních opatření překonat nebo alespoň snížit rizika na přijatelnou úroveň.

Protože není časově, logisticky a především finančně možné v krátké době provést rekonstrukci všech starších a zároveň unikátních ICS systémů, případně vyřešit další výše zmíněné důvody, a přinést tak vyspělé prvky kybernetické bezpečnosti, nabízí norma IEC 62443-3-3 „Požadavky na bezpečnost systému a bezpečnostní úrovně“ vypořádání se s tímto stavem pomocí kompenzačních opatření za využití flexibility aplikace bezpečnostního požadavku a jeho kustomizace pro konkrétně řešený ICS. [12] Kompenzační opatření jsou v této normě definována jako opatření, která rozšíří (nahradí) původní funkčnost tak, aby byl naplněn bezpečnostní požadavek. Kompenzační opatření tak mohou doplnit nebo nahradit jeden nebo více bezpečnostních požadavků (požadovaných procesních nebo technických řešení), jenž nejsou uspokojivě naplněny.

Smyslem kompenzačních opatření je nahradit konkrétní bezpečnostní požadavek a určitým způsobem vyrovnat rizika vzniklá z jeho absence. Z hlediska kybernetické bezpečnosti ICS se jedná o cenný nástroj, který umožňuje implementovat velmi komplexní CSMS, a to za využití standardem přesně definovaných procesních a technických opatření, která jsou obohacená o vhodná kompenzační opatření. Efektivita tohoto nástroje je patrná ve vztahu k jiným často využívaným normám (např. řada ISO 27000), kde ICS systémy jsou často ponechány mimo rozsah systému řízení bezpečnosti informací (ISMS – Information Security Management System). Manažeři kybernetické bezpečnosti tak mohou díky CSMS pracovat flexibilněji pro zabezpečení ICS, než je tomu např. u ISMS.

Příklady možných kompenzačních opatření

Zatímco konkrétní technická bezpečnostní opatření prezentovaná v IEC 62443 slouží k přímému vylepšení ICS systému (nebo jeho částí), kompenzační opatření se použije v případě, kdy tato přesně definovaná bezpečnostní opatření nelze z nějakého důvodu aplikovat. Jako jednoduchý příklad lze uvést bezpečností opatření, které vyžaduje implementaci uzamknutí pracovní stanice po určité době nečinnosti operátora. U mnoha ICS toto konkrétní opatření implementovat nelze, neboť mohou být narušeny provozní požadavky kontrolního systému, protože k pracovním stanicím, jež jsou např. vedle produkčních linek, je nutný trvalý přístup a automatické uzamykání obrazovky by brzdilo výrobní proces (v případě nutnosti reakce operátora např. na havárii by také mohlo potenciálně ohrozit zdraví pracujících, kdy by mohlo dojít k prodlevě při přihlášení do systému, zapomenutí hesla díky nervozitě v kritické situaci apod.). Riziko z možného neautorizovaného přístupu vzniklého z nemožnosti aplikace konkrétního bezpečnostního požadavku lze dle normy IEC 62443-3-3 kompenzovat jiným opatřením. Je důležité dodat, že některá kompenzační opatření v kontextu jiné konkrétní bezpečnostní implementace mohou být zahrnuta přímo mezi základními bezpečnostními požadavky (jen mohou být použité v jiném kontextu, např. Iimplementace Intrusion Detection System - IDS). Některá opatření naopak nutně nemusí znamenat implementaci v rámci hardwarového či softwarového vybavení konkrétního ICS, ale mohou být úplně jiného druhu (např. právní zajištění, kamerový systém apod.).

Norma IEC 62443-3-3 umožňuje aplikaci kompenzačních opatření z více možných úrovní:

Z hlediska úrovně komponenty lze ochránit např. samostatně dodané PLC (Programmable Logic Controller), u kterého není možné kvůli jeho továrnímu nastavení splnit konkrétní vnitropodnikové požadavky definované např. politikou řízení přístupu. Toho lze dosáhnout např. jednoduchým uzamčením skříně, v níž se nachází, či implementací dodatečného industriálního firewallu dodavatelem. Z hlediska ochrany jednotlivých systémů nebo bezpečnostních zón, např. kontrolních místností, kritických systémů apod., lze uvést jako příklad kompenzačního opatření zvýšení fyzické ochrany a zavedení důkladné kontroly přístupu (např. pomocí fyzické ostrahy a vstupních bran) za současného omezení přístupu jen skupině autorizovaných pracovníků. Z hlediska úrovně jednotlivých bezpečnostních zón lze např. použít segmentaci částí systémů či kompletní separaci určité zóny. Jedná se o příklady, kdy konkrétní ICS využívající operační systém, který již není podporován výrobcem (např. Windows XP) a u něhož by implementace určitých bezpečnostních požadavků (např. zajištění pravidelných aktualizací) nebyla vhodná (např. z důvodu, že by přechod celého ICS na novější operační systém stál neúměrně mnoho finančních prostředků).

Níže v Tab. 2 je uveden návrh souboru možných kompenzačních opatření, jež lze aplikovat v rámci ICS. Opatření jsou zároveň rozdělena do kategorií a jsou u nich uvedeny oblasti, do kterých zasahují.

Kompenzační opatření by měla být řádně zdokumentována a nejlépe zavedena v rámci komplexního systému řízení kybernetické bezpečnosti. Zavedení jednotlivých kompenzačních opatření by měl předcházet podrobný rozbor dané situace a stávajících bezpečnostních politik a procedur organizace. U většiny kompenzačních opatření bude také nutné stávající politiky a procedury upravit odpovídajícím způsobem tak, aby v nich opatření a s nimi související nové procesy byly reflektovány. Aby se předešlo možným nedorozuměním na straně dodavatelů a zaměstnanců, je vhodné tyto změny řádně komunikovat a v případě potřeby také proškolit odpovědné osoby.

Screenshot 2021 03 30 at 17.14.13

Screenshot 2021 03 30 at 17.14.13Tab. 2: Kompenzační opatření

Závěr

V článku bylo popsáno řešení kybernetické bezpečnosti dle norem IEC 62443, rámcově jsou zde popsány jednotlivé standardy této série, kategorie technických i organizačních bezpečnostních požadavků a jednotlivých úrovní bezpečnosti. Mezi důvody pro zavedení kompenzačních opatření patří především stáří ICS a jejich různorodé implementace, které neumožňují buď vůbec, nebo jen omezeně implementovat konkrétní bezpečnostní požadavky v požadovaném rozsahu dle úrovně zabezpečení. Tento nedostatek je v sérii norem IEC 62443 řešen zavedením kompenzačních opatření. Tato opatření slouží k minimalizaci rizika v případě, že konkrétní bezpečnostní požadavky není možné z různých důvodů implementovat. V článku je navržen soubor kompenzačních opatření na základě dostupné odborné literatury a vysvětleny některé možné důvody jejich zavedení. Na základě uvedených charakteristik ICS je široká znalost různých možností aplikací kompenzačních opatření přímou nutností pro zajištění kybernetické bezpečnosti většiny dnešních ICS. Kompenzační opatření je možné v kontextu normy IEC 62443 zavést přímo do systému řízení kybernetické bezpečnosti. Uvedená norma umožňuje flexibilní přístup k řešení kybernetické bezpečnosti, a je tak velmi vhodná na implementace v organizacích využívajících různorodé ICS systémy v rámci své činnosti.

Screenshot 2021 03 30 at 17.12.15Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.Screenshot 2021 03 30 at 17.12.07Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou:

  1. Název „kompenzační opatření“ není zatím v kontextu kybernetické bezpečnosti v ČR běžně znám a široce používán. Jedná se o překlad z anglického „compensating countermeasures“, definici lze nalézt v IEC 62443-3-3 v sekci 4.3.
  2. Normy zvýrazněné hvězdičkou nebyly k březnu roku 2021 publikovány pro veřejnost. Český překlad názvu od ČSN existuje pouze u norem IEC 62443-2-4, IEC 62443-3-2, IEC 62443-3-3, IEC 62443-4-1, IEC 62443-4-2. Ostatní názvy norem jsou autorovým překladem. Normy jako takové český překlad nemají.

Použité zdroje:

[ 1 ] MACAULAY, Tyson a Bryan SINGER. Cybersecurity for Industrial Control Systems. CRC Press, 2012. ISBN 978-1439801963.

[ 2 ] RIEGER, Craig, Indrajit RAY, Quanyan ZHU a Michael A. HANEY, ed. Industrial Control Systems Security and Resiliency: Practice and Theory (Advances in Information Security. Springer, 2019. ISBN ISBN 978-3-030-18213-7.

[ 3 ] KNAPP, Eric D. a Joel Thomas LANGILL. Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems. Syngress, 2015. ISBN 978-1597496452.

[ 4 ] SMEJKAL, Vladimír, Tomáš SOKOL a Jindřich KODL. Bezpečnost informačních systémů podle zákona o kybernetické bezpečnosti. Aleš Čenek, 2019. ISBN 978-80-7380-765-8.

[ 5 ] BODUNGEN, Clint, Bryan SINGER, Aaron SHBEEB, Kyle WILHOIT a Stephen HILT. Hacking Exposed Industrial Control Systems: ICS and SCADA Security Secrets & Solutions. Mc Graw-Hill Education, 2016. ISBN 978-1259589713.

[ 6 ] IEC 62443-1-1. Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models. International Electrotechnical Comission, 2009.

[ 7 ] IEC 62443-2-1. Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program. International Electrotechnical Comission, 2010.

[ 8 ] IEC 62443-2-3. Security for industrial automation and control systems – Part 2-3: Patch management in the IACS environment. International Electrotechnical Comission, 2015.

[ 9 ] IEC 62443-2-4. Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers. International Electrotechnical Comission, 2017.

[ 10 ] International Electrotechnical Comission (2009). IEC 62443-3-1. Network and system security – Part 3-1: Security technologies for industrial automation and control systems. IEC.

[ 11 ] IEC 62443-3-2. Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design. International Electrotechnical Comission, 2020.

[ 12 ] IEC 62443-3-3. Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels. International Electrotechnical Comission, 2013.

[ 13 ] IEC 62443-4-1. Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements. International Electrotechnical Comission, 2018.

[ 14 ] IEC 62443-4-2. Security for industrial automation and control systems – Part 4-2: Technical security requirements for IACS components. International Electrotechnical Comission, 2019.

[ 15 ] COLBERT, Edward J. M. a Alexander KOTT, ed. Cyber-security of SCADA and Other Industrial Control Systems. Springer, 2016. ISBN 978-3319321233.

[ 16 ] LIND, Mikael, Michalis MICHAELIDIS, Robert WARD a Richard T. WATSON, ed. Maritime Informatics. Springer, 2020. ISBN 978-3-030-50892-0

[ 17 ] KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, 2019. ISBN 978-80-88168-31-7

[ 18 ] ACKERMAN, Pascal. Industrial Cybersecurity. Packt, 2012. ISBN 978-1788395984.

[ 19 ] PRICOP, Emil, Jaouhar FATTAHI, Nitul DUTTA a Mariam IBRAHIM, ed. Recent Developments on Industrial Control Systems Resilience. Springer, 2020. ISBN 978-3-030-31328-9.

Vytisknout