Мережі диспетчерського контролю та збору даних (SCADA) містять критично важливі системи, такі як комп’ютери та програми. Для них кібербезпека є обов’язковою.
Як випливає з назви, SCADA містять критично важливі системи, включаючи комп’ютери та програми, які контролюють та моніторять основне обладнання. Вони використовуються для керування багатьма критично важливими інфраструктурними рішеннями, в таких сферах як електрогенерація, водопостачання тощо. Цілком очевидно, чому захистити їх за допомогою надійних методів кібербезпеки є важливим завданням.
Нижче наведу свої 7 рекомендацій:
1. Відключіть непотрібні системи
Не все потрібно підключати. Системи SCADA повинні бути ізольовані, особливо критично важливі процеси та операції. Сховища даних і сегментація мережі є чудовими рішеннями безпеки для захисту критичної інфраструктури.
General Electric описує сегментацію мережі як «основний будівельний блок зрілого профілю кібербезпеки». Така сегментація дозволяє знизити ризик масштабного інциденту. Цей підхід є ще більш важливим тепер, коли мобільні мережі використовуються для підтримки систем SCADA з синхронізованим бездротовим підключенням, пристроями Інтернету речей і мобільними технологіями.
2. Визначте та обмежте наявні підключення до мереж SCADA
Розуміння загроз, потенційних векторів атак і того, як зловмисники можуть ними скористатися, є обов’язковим для надійного захисту будь-якої мережі. Крім того, необхідно докласти зусиль для виявлення та оцінки всіх відкритих з’єднань, портів і каналів. Де мережа найбільш вразлива? Як потенційний хакер може отримати доступ до системи або заволодіти нею?
У звіті Міністерства енергетики США «21 крок до покращення кібербезпеки мереж SCADA» першим кроком є ідентифікація всіх з’єднань і використання DMZ, або «демілітаризованих зон», для захисту обладнання.
Фізична безпека не менш важлива. USB-ключі, портативні пристрої та навіть ноутбуки, підключені до систем керування, можуть становити серйозну загрозу. Усі USB-порти та з’єднання слід відстежувати, контролювати та захищати, а саме за допомогою інструменту сканування для захисту від шкідливих програм.
Використання цих пристроїв має бути обмежено та використовуватися лише в екстремальних випадках, наприклад, для безпечного резервного копіювання. Ніхто не повинен підключати свої особисті пристрої до основних мереж, включаючи смартфони.
Ця безпека також має поширюватися на підрядників, постачальників і не тільки. Підключення необхідно відстежувати та керувати належним чином, за допомогою інструментів для скасування доступу та блокування системи, якщо та коли буде виявлено порушення чи несанкціонований доступ.
3. Проводьте технічні перевірки, щоб виявити проблеми з безпекою
Один зі способів оцінити стан речей – це проводити регулярні та комплексні аудити. Вони можуть допомогти виявити вразливі місця, оцінити безпеку та її роботу, а також розвинути розуміння того, як користувачі отримують доступ до мережі.
Наприклад, можливо, користувач має підвищені привілеї та отримує доступ до закритого порталу. Аудит розкриє цю інформацію та дасть достатньо часу, щоб вжити заходів, скасувати доступ і переконатися, що не сталося пошкодження чи крадіжки даних.
На додаток, після вжиття коригувальних дій системи слід завжди перевіряти повторно. Встановлення належного протоколу для перевірок і те, що це передбачає, є завданням номер один. Незалежно від того, чи передбачає це створення внутрішньої робочої групи чи залучення зовнішньої допомоги, має бути спеціальна команда для обробки адміністративної сторони перевірок безпеки.
4. Встановіть виявлення вторгнень і постійний моніторинг інцидентів
Окрім групи аудиту безпеки, має бути команда, яка підтримує системи виявлення вторгнень і моніторингу інцидентів. Швидше за все, багато інструментів моніторингу будуть автоматизовані з відповідними системами для негайного вжиття заходів.
Але за цими платформами все ще потрібен персонал, який не тільки відповідним чином реагує, але й оцінює середовище та ділиться деталями з необхідними сторонами – а саме з менеджерами та керівництвом.
Ця команда також повинна витрачати час на регулярну оцінку планів реагування на інциденти, оновлюючи їх для охоплення нових систем і інструментів, а також усунення потенційних проблем, як-от вирішення недоліків у забезпеченні безпеки.
5. Створіть план реагування на інциденти та аварійного відновлення
Обов’язковим є план реагування на інцидент.
- Що робити до, під час і після кібератаки чи витоку даних?
- Як можна відновити доступ і зменшити шкоду?
- Яких користувачів слід заблокувати?
- Чи варто повністю вимкнути мережу?
- Чи є критично важливі системи, які повинні залишатися онлайн?
Також має бути встановлено рішення для резервного копіювання, щоб захистити всі дані, а також забезпечити останню точку відновлення, якщо це можливо.
6. Тренуйте та навчайте людей
Порушення можуть статися і стаються через недбалість, тому слід також розглянути можливість запобігання таким подіям. У багатьох випадках відповідь відносно проста: персонал повинен бути освічений і навчений виконувати свої обов’язки з кібербезпеки. Це включає використання надійних паролів, конфіденційність доступів, уникання використання несанкціонованих пристроїв, таких як смартфони.
Необхідно встановити наслідки для тих, хто не дотримується протоколів, і запровадити систему стримувань і противаг, щоб контролювати те, що відбувається. Діяти треба превентивно з метою зупинити погані методи безпеки та звички до того, як вони спричинять серйозний інцидент.
7. Визначайте, авторизуйте та керуйте ролями кібербезпеки
Як і звичайний персонал, фахівці з безпеки повинні розуміти свої ролі, обов’язки та інструменти, які вони мають. Може навіть знадобитися постійно навчати їх, щоб політика і тактика були постійно усвідомлені та про них пам’ятали.
Є кілька важливих практик, щоб забезпечити належне оснащення групи безпеки. По-перше, ключовий персонал повинен мати достатні повноваження, щоб діяти та захищати мережу, практично без нагляду. Процес виконання дій ніколи не повинен бути тривалим, особливо коли потрібно заблокувати мережу та захистити системи. З відкритою архітектурою системи та розподіленою системою управління завжди має бути зрозуміло, кому саме надано віддалений доступ.
На додаток, повинні існувати канали зворотного зв’язку, за якими працівники служби безпеки можуть ділитися своїми проблемами та пропозиціями з керівниками. Що робити, якщо програмний інструмент не працює належним чином або якщо є кращі альтернативи? Що робити, якщо групі безпеки потрібні додаткові ресурси чи люди?
Підсумовуючи, оптимізація кібербезпеки SCADA має виглядати приблизно так:
- Визначте всі відкриті підключення, пристрої та вразливі місця. Інструменти керування кіберзагрозою CEM допоможуть у цьому.
- Від’єднайте системи, які не потребують підключення до Інтернету, і використовуйте сегментацію мережі та сховище даних для розділення критично важливих систем.
- Проводьте регулярні та ретельні технічні перевірки, щоб зрозуміти можливості та обмеження безпеки.
- Створіть системи виявлення та моніторингу вторгнень у режимі реального часу, а потім підтримайте їх спеціальною командою. В цьому допоможе мережевий сканер і сканер вебдодатків для виявлення вразливостей та SIEM для моніторингу подій безпеки.
- Створіть план реагування на інцидент, де детально описано дії до, під час і після події безпеки. Спробуйте автоматизувати частину реакцій з допомогою XDR чи іншим інструментом.
- Тренуйте та навчайте персонал їхнім ролям у сфері кібербезпеки.
- Визначайте, авторизуйте, керуйте та оцінюйте ролі кібербезпеки та скасовуйте доступ, коли це необхідно. З цим завданням допоможе система PAM.
Важливо пам’ятати, що SCADA системи не є чимось схожим на стандартну мережу та канали даних; вони надають доступ до виробничої інфраструктури, що має масштабні наслідки у випадку компрометації та інциденту.
