Behovet av att koppla ihop IT och OT har vuxit med digitaliseringen av produktionsprocesser. Men hur säkrar du detta informationsflöde och undviker att utsätta dina system för cyberattacker?
Säkert informationsflöde i en IT/OT-miljö
Det har blivit allt viktigare att kunna koppla ihop IT och OT. Det finns också ett behov av att säkert hantera systemen och att hämta systemhändelser från både IT- och OT-miljöer. Detta behov har vuxit i takt med digitaliseringen av produktionsprocesser och samhället som helhet. IT och OT hänger därför ihop och liknande teknik används ofta inom IT och OT. De olika behoven inom IT och OT kan lätt leda till utmanande konflikter.
Nätverkssegmentering och zonindelning
I dagens uppkopplade värld är inget system starkare än sin svagaste länk, och ingen kritisk information eller system är säkert om det inte finns tillräckligt med skydd. En cyberattack kan resultera i att känsliga och/eller kritiska system störs, slås ut eller läcker information. Det innebär att man genom att använda zonindelning samlar tillgångar med liknande säkerhetsnivå och säkerhetskrav i separata zoner. Segmentering innebär att du har separata zoner för dina tillgångar, men oftast tillåter du fortfarande viss kommunikation mellan dessa zoner. I vissa lite mer extrema fall kan isolering eller airgap vara aktuellt och då tillåts ingen nätverksbaserad kommunikation mellan zonerna. De mest kritiska systemen, eller den mest känsliga informationen, måste skyddas med högsäkerhetslösningar för att få en hög säkerhetsnivå. Ett säkert sätt att skydda din känsliga information eller system är att börja arbeta med nätverkssegmentering.
Beroende på vilka zoner du vill skicka information mellan, och i vilken riktning, behöver du olika lösningar. Vi har skapat en illustration (Figur 1) som visar ett exempel på olika zoner i en IT/OT-miljö. Detta exempel är utan några högsäkerhetslösningar som används.
Olika zoner i en IT/OT-miljö
IT
IT-zonen (informationsteknik) är där alla kontorsrelaterade system finns, såsom din personliga arbetsstation/laptop, applikationsservrar, filservrar och intranät. DMZ (Demilitarised zone), som är en del av IT-zonen, fungerar som överlämningszon mellan organisationens interna system och internet. DMZ är värd för system som är tillgängliga på internet, såsom webb och e-post. OT (Operational Technology) handover-zonen kan också ses som en intern DMZ mellan IT- och OT-zonerna – all trafik som går in och ut från OT måste passera genom OT Handover-zonen och det är här IT/OT-säkerhetskontrollerna finns.
IT-zonen består av många olika typer av system, enheter och personer som arbetar med dessa system. Personer som arbetar på kontoret måste kunna arbeta effektivt, och därför är säkerhetspolicyerna för IT-zonen vanligtvis mindre restriktiva än policyerna i mer säkerhetskritiska zoner. Det är därför ganska svårt att nå en tillräckligt hög säkerhetsnivå för en typisk IT-zon och många attacker mot företag och organisationer drabbar först IT-zonen.
OT
OT-zonen (Operational Technology) innehåller system för kontroll och övervakning av de fysiska processerna inklusive själva processerna. Dessa system består vanligtvis av olika typer av industriella kontrollsystem (ICS) och system för tillsynskontroll och datainsamling (SCADA). OT-zonen är extremt känslig för störningar som skulle påverka system och processer som är kritiska för organisationen. Driftstopp i OT förvandlas mycket snabbt till höga monetära kostnader och kan också leda till personskador. På grund av det kritiska i OT-zonen måste den skyddas och säkras med en hög säkerhetsnivå. Hotagenter anses ofta vara välfinansierade och kompetenta, vilket bidrar till detta faktum. Detta är särskilt fallet inom kritisk infrastruktur, såsom elproduktion och -distribution.
Revisionszon
Syftet med revisionszonen är att övervaka (säkerhets)händelser inom IT och OT, och att agera om avvikelser uppstår. Security Operations Center (SOC) finns inom denna zon. Ur organisatorisk synpunkt består revisionszonen vanligtvis av personer som inte är relaterade till andra delar av verksamheten. Att driva en SOC kan vara en skrämmande, resurskrävande uppgift, och därför väljer vissa organisationer att lägga ut denna funktion till en pålitlig underleverantör.
Ledning IT
Hanteringen av IT-system och infrastruktur utförs från en separat zon. Denna zon rymmer system och personer med administrationsbehörighet för IT-system som skulle orsaka allvarlig skada om de missbrukas eller äventyras.
Ledning OT
Hanteringen av OT-system och infrastruktur utförs från en separat zon. Denna zon hyser system och personer med administrationsbehörighet för OT-system som skulle orsaka allvarlig skada om de missbrukas eller äventyras. Hantering av kritiska OT-system anses vara mer känslig än hantering av IT-system, dvs. Ledning OT och Ledning IT bör placeras i olika zoner.
Högsäkerhetslösningar i din IT/OT-miljö
I illustrationen nedan (Figur 2) har de olika zonerna lämpliga cybersäkerhetslösningar i zongränserna och förklaringar av deras funktioner.
Stark segmentering och tillämpning av konceptet djupförsvar är nyckelelement för att skapa en motståndskraftig och säker nätverksarkitektur. Notera till exempel antalet säkerhetskontroller mellan en hotagent på internet och den fysiska processen som finns i OT-zonen. Kombinationen av brandväggar, skydd och datadioder, var och en med sina styrkor och svagheter, bildar en holistisk och heltäckande säkerhetsarkitektur. Att placera rätt säkerhetsprodukt på rätt plats är nyckeln till framgång.s som skulle orsaka allvarlig skada om den missbrukas eller äventyras.
1. Filsäkerhetskontroll/Säker filimport: Att importera filer till säkra miljöer utgör ett stort säkerhetshot om filerna inte saneras ordentligt före överföringen. File Security Screener är en korsdomänlösning med hög säkerhet med säkerhetsskanning av skadlig programvara och funktioner för innehållsavväpning och återuppbyggnad (CDR).
2. Databasexport/replikering: Operatörer har ofta behov av att exportera historikdata från OT till IT. Detta kan göras med hjälp av databasreplikering över en datadiod. Datadioden skyddar effektivt integriteten och tillgängligheten av OT och gör det möjligt för IT-sidan att läsa mätdata från processen i OT.
3. Säker filexport: Många har behov av att exportera filer från en OT-miljö till en IT-miljö. Organisationer måste hålla sekretessbelagd information inom säkerhetsdomänen men måste fortfarande kunna lämna ut information till ett annat system eller säkerhetsdomän. Applikationen skyddar integritet och konfidentialitet genom informationsutbyte med godkännandelistor och ger uttrycklig kontroll över filer som skickas från eller till ett system.
4. Säker e-postvalidering: Ett mångsidigt och kraftfullt verktyg som tillhandahåller policybaserat e-postutbyte mellan nätverksgränser. Endast meddelanden som valideras av din policy, inklusive bilagor, kan skickas genom en informationscentrerad innehållsinspektion. Den inneboende godkännandelistan fungerar för att tillåten information kan överföras och förnekar all annan information.
5. Säker OT till IT-integration: Digitaliserings- och effektivitetskrav gör att fler system ansluter till varandra, Internet eller andra miljöer med liten kunskap om aktuella sårbarheter. Säker OT till IT-integration med OPC UA är en enkelriktad kommunikation för applikationer inom industriell automation, processtyrning, energiledning eller andra dataintensiva system som ser till att integrationen görs säker.
6. Säker enkelriktad loggning: Att ha centraliserad revision är mycket viktigt i varje säkerhetsarkitektur. Loggning kan tjäna på att ha ett centraliserat system för alla zoner/delsystem, men ett centraliserat system kan i sig bli en säkerhetsrisk då alla system är anslutna till den centrala zonen. Genom att använda en datadiod kan du separera SOC från OT och därmed eliminera risken för att SOC ska störa integriteten och tillgängligheten av OT-systemen.
Läs mer om våra datadioder och vår File Security Screener-lösning.
Läs mer om våra datadioder
SecuriCDS Data Diode förhindrar intrång och bibehåller nätverkets integritet samtidigt som den förhindrar informationsläckor och upprätthåller nätverkets konfidentialitet. Lösningen, med sin höga assurans, skyddar tillgångar för aktörer bland annat inom kritisk infrastruktur och försvarsindustrin.
Läs mer om vår File Security Screener lösning
File Security Screener (FSS) är en framstående dataöverföringslösning med hög säkerhet baserad på en garanterat enkelriktad datadiodteknologi samt skanning av skadlig programvara.
