System SCADvance XP a Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Spis treści
1. Dlaczego wdrożenie UKSC nie powinno ograniczać się tylko do części proceduralnej
2. Obowiązki OUK zgodnie z Ustawą o KSC
3. Kto jest głównie odpowiedzialny
4. System SCADvance XP
5. Korzyści z wdrożenia SCADvance XP
6. Podsumowanie

1. Dlaczego wdrożenie UKSC nie powinno ograniczać się tylko do części proceduralnej

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) znacząco zmienia odpowiedzialność Operatora Usługi Krytycznej (OUK) a także inaczej definiuje wymogi dotyczące usług, jakie powinien uruchomić. OUK powinien w szczególności posiadać narzędzia, które umożliwią mu rozpoznanie sytuacji, w której doszło do przerwania ciągłości świadczenia usług lub poważnego obniżenia ich jakości.

Każda z przedstawionych poniżej osób ma inne priorytety. Automatycy skupiają się na ciągłości procesu produkcyjnego, bronią dostępu do sieci OT, CFO skupia się na ryzykach podatkowych, CISO na procedurach, audytach, zgodności z procedurami (tzw. compliance), CIO na rozwiązaniach technicznych wspierających bezpieczeństwo, w tym coraz częściej, od niedawna z uwzględnieniem obszaru OT, ale ma trudność w ingerowaniu w sieć OT.

Idealnym rozwiązaniem w przygotowywaniu się do spełnienia wymagań ustawy o KSC wydaje się stworzenie multidyscyplinarnego zespołu reagowania wewnątrz firmy z nadzorem po stronie CIO, ale w każdej firmie może to inaczej funkcjonować.

Bardzo ważne, aby w takim zespole były też osoby techniczne z dużą decyzyjnością, które dopilnują, aby bezpieczeństwo pozostało nie tylko na poziomie proceduralnym, ale również technicznym, wpływając na budżety inwestycyjne w zakresie narzędzi, systemów czy technologii. Często wdrożenie Ustawy KSC zatrzymuje się na części proceduralnej, dokumentacyjnej.

Priorytety automatyków

  • Skupienie na bieżącym usuwaniu awarii, nadzór nad pracami firm zewnętrznych
  • Cedowanie odpowiedzialności za bezpieczeństwo OT do zespołów IT
  • Sprzeciw wobec ingerencji w sieć OT

Priorytety CFO

  • „Ryzyka dla mnie to przede wszystkim podatki…”
  • „Jeśli produkcja stanie – to jest to problem dyrektora produkcji/COO”

Priorytety CIO

  • Strategia IT, coraz częściej uwzględniająca obszar OT (łączenie dwóch światów)
  • Business continuity – w tym konfiguracja sieci OT, monitoring zdarzeń, zarządzanie obsługą incydentu
  • Risk management (w tym asset discovery)

Priorytety CISO

  • Risk management
  • Audyty security, compliance, vulnerability assessment
  • Najczęściej wdraża SOC

2. Obowiązki OUK zgodnie z Ustawą o KSC

Sposób realizacji wymogów Ustawy KSC nie jest precyzyjnie zdefiniowany w przepisach, firmy mają dużą swobodę w kreowaniu zakresu audytu, rodzaju wdrażanych środków technicznych i organizacyjnych – rewizja dyrektywy NIS pokazała, że brakuje jasności w wielu aspektach co do zakresu obowiązkowych działań, firmy często są zagubione, poprzestają na części dokumentacyjnej.

Poniżej przedstawiono dobrze znane ze stron rządowych zestawienie obowiązków dla podmiotów UKSC, ze wskazaniem, w których obszarach nasza firma ICsec wspiera ich realizację. Duży logotyp SCADvance oznacza, że system realizuje te funkcje bezpośrednio zaś mały oznacza, że system tylko wspomaga te procesy.

Główne obszary wsparcia podmiotów UKSC przez system SCADvance XP:

  • SCADvance XP wspiera audyt sieci OT – profesjonalizuje go i czyni dokładnym (pasywne skanowanie sieci) – audyt sieci OT jest niezwykle trudny ze względu na opór w ingerencję w sieci OT, przez to często jest realizowany w sposób niedokładny, manualny;
  • SCADvance XP zapewnia bieżący monitoring sieci pod kątem potencjalnych zagrożeń, w tym cyberzagrożeń (analiza oparta o whitelisty, metody regułowe, detekcję anomalii);
  • SCADvance XP pozwala na sprawdzenie podatności na ataki cybernetyczne infrastruktury OT, co pozwala na proaktywne działania zmierzające do ochrony krytycznych zasobów;
  • SCADvance XP może stanowić istotny element Security Operating Centers (SOC) zarówno wewnętrznych jak i zewnętrznych, integruje się z systemami typu SIEM, które często są wdrażane w SOC, dostarczając wartościowych danych do analizy.

Odnosząc się wprost do kluczowych przepisów UKSC należy wskazać:

01.  Audyt OT (art. 15) – zgodność z UKSC oraz skuteczność

  • Inwentaryzacja infrastruktury pod kątem konfiguracji sprzętowej w zakresie systemów komputerowych oraz systemów automatyki

02. Wdrożenie adekwatnych środków technicznych (art. 8 pkt 2)

  • System monitorowania w trybie ciągłym (art. 8 pkt 2 e)
  • Zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach (art. 8 pkt 3)
  • Zarządzanie incydentami (art. 8 pkt 4)

03. Wsparcie SOC i integracja z systemami typu SIEM

  • Źródło danych do analizy w systemach SIEM
  • Dokumentowanie zdarzeń (forensic)

3. Kto jest głównie odpowiedzialny

Według prognoz firmy Gartner do 2024 r. odpowiedzialność za incydenty związane z systemami cyberfizycznymi (CPS) (wpływającymi na bezpieczeństwo ludzi lub środowisko) przesunie się w stronę odpowiedzialności osobistej prezesów – do poziomu 75%.

Być może ta zmiana zaprocentuje wyższymi budżetami na cyberbezpieczeństwo.

4. System SCADvance XP

Głównym zadaniem systemu SCADvance jest monitoring sieci automatyki przemysłowej (OT), wykrywanie potencjalnych zagrożeń i anomalii w ruchu pomiędzy urządzeniami w tej sieci, wskazywanie możliwości błędnej pracy tych urządzeń, a także monitorowanie poprawności procesów w oparciu o przesyłane dane fizyczne. To działanie opiera się na wykrywaniu mało prawdopodobnych lub niepożądanych zdarzeń w tej sieci i w wypadku wykrycia takich zdarzeń poinformowanie o nich użytkownika wskazując miejsce wystąpienia, cel ataku i prawdopodobną przyczynę. System jest również wyposażony w mechanizmy weryfikacji elementów infrastruktury OT pod kątem znanych podatności na ataki cybernetyczne.

Jedną z najważniejszych innowacji SCADvance XP jest to, że monitoruje i zabezpiecza sieci przemysłowe nie na ich brzegach jak robią to standardowe systemy informatyczne, ale bezpośrednio z ich środka – analizując cały przesyłany ruch pakietów (danych). Zastosowane interfejsy sprzętowe (Ethernet, RS-485, RS-232, RS-422, CAN) pozwalają podłączyć i monitorować wszystkie sieci automatyki przemysłowej (OT).

5. Korzyści z wdrożenia SCADvance XP

  • Świadomość sytuacyjna – możliwość przeprowadzenia niemal natychmiastowej inwentaryzacji dającej informację jakie urządzenia są połączone do sieci, co z czym się komunikuje, na jakich protokołach, tworzenie mapy połączeń
  • Ocena ryzyka i rekomendacje – dzięki wczesnemu wykryciu anomalii otrzymujemy wiedzę, w oparciu o którą można budować system bezpieczeństwa oraz szacować i mitygować ryzyka, a w rezultacie zachować łańcuch dostaw i ciągłość działania. Uzyskujemy informację jak zabezpieczyć sieć, jak podnieść jej odporność, czy należy ją posegmentować, wprowadzić strefę DMZ, wprowadzić regularne audyty
  • Asset management – zarządzanie zidentyfikowanym majątkiem przemysłowym (np. identyfikacja urządzeń, akceptacja ich obecności w sieci)
  • Możliwość bieżącego monitorowania sieci przemysłowych w czasie rzeczywistym na wielu płaszczyznach i wykrywania wszelkich zmian w obrębie tych obszarów i odpowiednie szybkie zaadresowanie tych ryzyk. Monitoring w czasie rzeczywistym oparty jest zarówno na metodach sztucznej inteligencji, jak i metodach regułowych, whitelistach itp. System natychmiast identyfikuje zdarzenia odbiegające od standardowego zachowania sieci przemysłowej (automatyczne wykrywanie anomalii, ataków, w tym cyberataku Zero-day i awarii)
  • Wsparcie tzw. predictive maintenance – możliwość monitorowania kluczowych parametrów fizycznych najważniejszych procesów przemysłowych i wykrywanie niewłaściwych wartości (np. nadmierny wzrost wartości temperatury w kotle, zbyt duża prędkość wirnika, za wysokie stężenie substancji chemicznej w cieczy itp.)
  • Znaczące wsparcie w wypełnianiu obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa

6. Podsumowanie

Aby spełnić wymogi Ustawy o KSC, nie wystarczy posiadanie narzędzi typu SOC i wdrożenie części proceduralnej. Potrzeba świadomie zaplanowanej, skutecznej i bezpiecznej architektury infrastruktury krytycznej, minimalizującej skutki ewentualnego ataku. Potrzeba narzędzi pracujących na procesach przemysłowych i obiektach sieci OT, takich jak: sterowniki, stacje dyspozytorskie, serwery SCADA – analizujących procesy i wskazujących potencjalne incydenty czy anomalie w pracy, określających ich poziom i wpływ na świadczoną usługę krytyczną. Takimi narzędziami są rozwiązania podobne do systemu SCADvance XP czyli pasywne sondy dla monitorowania i ochrony infrastruktury w czasie rzeczywistym.

demo scadvance

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Dziękujemy

Odezwiemy się w ciągu 1 dnia roboczego