По материали на Thomas Vasen, HMS Networks
Как HMS Networks може да ви помогне да следвате разпоредбите за киберсигурност и да защитите активите си
В предишна статия за тема киберсигурност Томас Васен, мениджър бизнес развитие на Anybus по мрежова сигурност в HMS Networks, разказва за нарастването на кибератаките срещу оборудването за индустриална автоматизация и за пет стратегии, които компаниите могат да използват, за да избегнат кибератаки и пораженията от тях. Тук г-н Васен разказва за регулациите и стандартите за киберсигурност, тяхното приложение и как човек може да се ориентира в тези промени, като същевременно се стреми да увеличава максимално непрекъснатостта на работния процес и сигурността.
В сферата на киберсигурността има непрекъснато развитие, нововъведените стандарти и регулации водят до промяна в индустриите. В някои региони, като Европейския съюз (ЕС), се разработват задължителни нормативи; в други, като Съединените щати, насърчават промените чрез най-добри практики и насоки. Всички тези усилия имат обща цел – създаване на по-добре защитени технологични инфраструктури.
Преглед на разпоредбите и стандартите
Някои стандарти са свързани с информационната сигурност, която касае операциите в областта на информационните технологии (IТ), други се фокусират върху т. нар. оперативни (за контрол на производството) технологии (OT), целящи да осигурят непрекъсната работа на машини и критични инфраструктури. От решаващо значение е да се придържаме към правилния стандарт за нашата организация или продукти.
|
Регулация/Стандарт/Рамка |
Описание |
Област на приложение |
|
Purdue Model |
Официално наречен Purdue Enterprise Референтна архитектура (PERA), това е референтен модел за корпоративни архитектури, разделящ системите за производство, системите за управление и системите за бизнес логика. Той разделя IТ от OT, като въвежда слоеве, създаващи архитектура, защитаваща в дълбочина, което прави по-трудно за атакуващия да достигне до критичните производствени системи. |
IT/OT организации |
|
NIS2 Directive EU2022/2555 |
Законодателството на ЕС се фокусира върху укрепването на киберсигурността в критични сектори, изисквайки обучение на изпълнителните екипи, проактивни планове за това как да се справят с атаки, изисквания за докладване на нарушения, наред с други неща, включително сериозна отговорност за неспазване. |
IT/OT организации |
|
Machinery Directive (2023/1230/EU) |
Регламент на ЕС, установяващ стандарти за безопасност и здраве за машини, гарантиращ съответствие преди въвеждането на машини за европейския пазар. Актуалната версия за първи път класифицира автономните управлявани превозни средства (AGV) като машини. |
ОТ продукти |
|
EU Cyber Resilience Act |
Одобрен от Европейския парламент в началото 2024 г., влязъл в сила на 10.12.2024 г. Този нов акт се стреми да наложи изисквания за сигурност на целия софтуер и свързаните устройства. Той изисква спазване подобно на стандарта CE за безопасност на продуктите, преди даден продукт да може да се продава на европейския пазар. Законът добавя по-строги изисквания към функциите за сигурност на продуктите, поставя условия към процесите на жизнения цикъл на разработка на софтуер на продуктите и по-специално към обработката на уязвимостите и комуникациите за тях. Освен това се появява изискване към продуктите да включват софтуерна спецификация на материалите(SBOM), осигуряваща пълна прозрачност за това какви компоненти с отворен код и компоненти на трети страни се използват в софтуерния пакет. |
IT/OT продукти |
|
RED – Radio Equipment Directive |
Това е регулаторна рамка за пускане на пазара на радиооборудване. Определя основни изисквания за безопасност и здраве, електромагнитна съвместимост и ефективно използване на радиочестотния спектър, а също и такива за киберсигурност. |
IT/OT продукти |
|
EN 18031-1, -2, -3 от CEN/CENELEC |
Този документ предоставя технически спецификации на общите изисквания за сигурност за радио оборудване. Предполага се, че е послужил като основа за следващия го Акт на ЕС за киберустойчивост. |
IT/OT продукти |
|
NIST Cybersecurity Framework |
Широко възприет доброволен набор от насоки за подобряване на киберсигурността на организациите. Дава структуриран и гъвкав подход на организациите за оценяване и подобряване на техния киберсигурност статус, включващ 5 функции - идентифицирай, защитавай, откривай, реагирай, възстановявай. |
IТ организации |
|
NIST SP 800-82r3 |
Скорошно допълнение към NIST рамката, специално фокусирано върху сигурността на OT. Дава насоки относно архитектурата, укрепването на системите, мерките за противодействие по отношение на сигурността. |
OT организации и продукти |
|
NERC Critical Infrastructure Protection (NERC CIP) |
Изисквания относно осигуряване на активи, работещи предимно в електроенергийната система на Северна Америка. |
OT организации |
|
CIS Controls |
Организация с нестопанска цел, споделяща ръководства за най-добри практики с приоритетен набор от действия за защита на организации и данни от кибератаки. |
IТ организации |
|
Cyber Trust Mark |
FCC инициатива, базирана на рамката на NIST, налагаща изисквания за сигурност на IoT продукти, засега доброволно, с фокус върху потребителските стоки. Целта е да се създаде прозрачност за потребителите, с помощта на отпечатване на логото им върху продукта. |
IT продукти |
|
Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) |
Законодателство на САЩ, изискващо обхванатите субекти да докладват кибер инциденти, за споделяне на сведения в индустриите с критични инфраструктури. |
OT организации |
|
ETSI EN 303 645 |
Базови изисквания за киберсигурност за Интернет на нещата за потребители. Включва не само условия за функциите за сигурност в продукта, за защита срещу кибератаки, но и изисквания за докладване на уязвимости в сигурността и комуникация относно периодите на актуализация във връзка със сигурността. |
IT продукти |
|
NIS Regulations (UK) |
Законодателство на Обединеното кралство, регулиращо мрежови и информационни системи, насочено към укрепване на киберсигурността в критични сектори, подобно на Директивата NIS2 в ЕС. |
IT/OT организации |
|
ISA/IEC 62443 |
Стандартизация на процеси и процедури за създаване на по-сигурна индустриална среда от гледна точка на киберсигурност. Включва насоки за архитектура и укрепване на продукта. Четири нива на сигурност предоставят насоки за различни нива на исканата защита. |
OT организации и продукти |
|
PSTI |
Режим за сигурност на продуктите и телекомуникационната инфраструктура на Обединеното кралство (сигурност на продукта), поставя изисквания към потребителските продукти, които могат да се свързват. |
IT продукти |
|
SHIELDS UP! |
Инициатива на базираната в САЩ Агенция за киберсигурност и сигурност на инфраструктурата, за насърчаване на промяната и инвестициите в киберзащита. |
IT/OT организации |
|
ISO 27001 |
Вероятно най-разпространената в света рамка за информационна сигурност на IТ - инструмент за управление на риска, киберустойчивост и високо качество на работа. |
IТ организации |
|
EUCC |
Европейски кандидат за схема за сертифициране на базата на общи критерии, използвана за осигуряване на продукти с подсилена сигурност, въведена от Европейската агенция за киберсигурност ENISA. |
IT/OT продукти |
Таблица 1. Обобщение на основните разпоредби, рамки и стандарти за киберсигурност
Спазването на тези разпоредби и стандарти за киберсигурност ще изисква от организациите да адаптират своите операции/ процеси и продукти. Промените могат да включват внедряване на нови процеси и процедури, за да се отговори на изискванията. Освен това вероятно ще трябва организациите да инвестират в нови продукти за сигурност, за да подобрят защитата на своите мрежи и устройства.
Рамките предлагат практически съвети как да се придържаме към разпоредбите и стандартите. Например прилагане на широко признатия в международен план стандарт ISO 27001 за IТ приложения. ISO 27001 дава изисквания към системата за управление на информационната сигурност (ISMS), но не покрива OT. Тук е мястото на рамката IEC/ISA 62443. Тя започва точно там, където свършва действието на рамката на ISO и служи като отлично допълнение. IEC/ISA 62443 предоставя методология за извършване на оценка на риска специално за OT приложения.
Стандартът ISO 27001 дава отлични насоки за IТ, докато IEC/ISA 62443 обхваща OT.
Определянето коя е подходящата регулация за дадена организация може да е сложна задача. Полезно би било партнирането с експерт по индустриална автоматизация, индустриална комуникация и OT сигурност. Те могат да предоставят експертен опит за тълкуване на насоките и да помогнат за въвеждането на мерки за защита на активите и конкретната среда - очертаване на изискванията за устойчивост, способност за откриване и стратегии за смекчаване, както и справяне със специфични задължения, свързани с докладването. Като при това остават приоритетите за безопасност и непрекъснатост на времето за работа.
С помощ от партньор, фокусиран върху OT, можете да се съсредоточите върху безопасността и времето за работа и да получите помощта, от която се нуждаете, за да мигрирате вашата среда, като имате предвид тези приоритети.
Разработване на стратегия за сигурност на OT
Ключовите елементи на стратегията за сигурност на OT трябва да включват следните компоненти:
Оценка на наличните активи
Не можете да защитите това, което не знаете, че имате – като марка, версия на модел, фърмуер, ниво на корекция – всичко играе роля в разбирането дали продуктът е уязвим или не. Важно е и местоположението на актива в рамките на архитектурата, тъй като различните части на архитектурата ще имат различни нива на защита. Ръчното събиране и актуализиране на тази информация е възможно, но опитът показва, че това често става неуправляемо, дори в по-малки мрежи.
Ако имате инструмент, който да ви помогне с оценката на вашата мрежа, вероятно ще искате той да включва и управление на уязвимостите. Така ще е възможно да получавате предупреждения проактивно, докато по-старият софтуер увеличава риска от инциденти. Това обикновено са ненатрапчиви инсталации, често предполагаемо изисквани и от разпоредбите, което ги прави лесно инвестиционно решение. Предлагат се доста решения, така че изборът е затруднен. Чисто пасивните решения няма да видят всичко, докато активното откриване изисква задълбочени познания за индустриалните протоколи и практики, за да се избегне нарушаването на непрекъснатостта на бизнеса.
Разкриване на аномалии чрез детекция и мониторинг на заплахи
Откриването на заплахи е популярно не само поради регулациите, но и защото е лесно приложимо. Тези решения само наблюдават мрежовата активност, без да се изисква голяма промяна на архитектурата. Те включват използване на решения за сигурност на системите за индустриален контрол (ICS) за анализ на мрежовия трафик и откриване на аномалии, интегриране на OT мониторинг с IТ операции и извършване на редовни проверки на целостта на устройствата и анализ на поведението. Централизираното регистриране и SIEM системите помагат за корелиране на събитията, а специфичната за OT информация за заплахите и сътрудничеството в индустрията поддържат мерките за сигурност актуални. Внедряване на такава система помага да се визуализира какво се случва във вашата оперативна мрежа и гарантира съответствие с изискванията за докладване, като това, споменато в директивата NIS2.
Но, дори с инвентаризация на активи и откриване/мониторинг на заплахи, е важно е да се разбере, че въпреки че тези системи и процеси осигуряват добра информираност, те не защитават.
Защита - намаляване на риска и въздействието с индустриални защитни стени
Индустриалните защитни стени са специализирани устройства за сигурност, предназначени да защитават OT мрежи и индустриални контролни системи от киберзаплахи. За разлика от традиционните IТ защитни стени, индустриалните защитни стени са пригодени да обработват уникалните протоколи и модели на трафик, приложими в индустриални среди. Те осигуряват стабилно сегментиране чрез изолиране на критични системи, като по този начин предотвратяват неоторизиран достъп и удържат потенциални заплахи в рамките на специфични мрежови сегменти. Тези защитни стени могат да наложат строг контрол на достъпа, да наблюдават комуникационните потоци и да откриват аномалии в реално време. Като се интегрират безпроблемно със съществуващите индустриални мрежи, те подобряват сигурността, без да нарушават оперативните процеси, като гарантират както безопасността, така и надеждността на критичната инфраструктура.
Възстановяване - с помощта на мерки за смекчаване на проблема и архивиране
Инструментите за смекчаване и архивиране са от решаващо значение за защитата на OT среди. Те включват решения за архивиране на данни - за редовно архивиране на PLC конфигурации, резервни копия по график, инструменти за архивиране на конфигурации за бързо възстановяване на настройките на устройствата, цялостни планове за възстановяване след бедствие и механизми за резервиране, за да се осигури непрекъснатост на работата. Стратегиите за смекчаване позволяват бързи действия чрез, например, затваряне на услуги, поставяне на файлове под карантина или спиране на критични продукти, за да се намали по-нататъшното въздействие върху процесите. Заедно тези инструменти и процеси спомагат за поддържането на целостта, наличността и надеждността на критичните индустриални процеси и инфраструктура.
Приемете, че проблем може да се случи! Разработете стратегия, която защитава вашите активи, минимизира риска и увеличава максимално времето за работа!
С какво може да помогне HMS Networks?
HMS Networks пусна на пазара гама устройства за индустриална сигурност Anybus Defender.
Серията Anybus Defender осигурява защитна стена за оперативните технологични (OT) мрежи. Anybus Defender са специално проектирани за индустриални контролни системи. Основно приложими за сегментиране на мрежи в съответствие с ISA/IEC 62443-3-3, преобразуване на мрежови адреси (NAT) с филтриране на трафика и дълбока проверка на пакети (DPI) на индустриални протоколи, за дълбока защита на индустриални активи. Предлаганите продукти са идеални за производители на машини, които искат да вградят сигурност в своите решения, както и за собственици на активи в производствени и критични инфраструктури, за надграждане на съществуващи мрежи с нови стратегии за защита.
Серията Anybus Defender включва четири различни модела, за да отговори на различни нужди за сигурност:
Anybus Defender Compact 1004 – компактно решение за по-малки индустриални приложения, предлагащо стабилна защита без компромис.
Anybus Defender 4002 – многофункционална защитна стена, проектирана за мрежи със среден размер, съчетаваща усъвършенствани функции за сигурност с лекота на внедряване.
Anybus Defender 6004 – идеален за по-големи инсталации, този модел предоставя подобрени възможности за сигурност и цялостна мрежова защита.
Anybus Defender 6024 – водещ модел, проектиран за най-взискателните индустриални приложения, осигуряващ висока степен на покритие по отношение на сигурност и мрежа.
Продуктите Anybus Defender са идеални за прилагане на стратегии за физическо сегментиране на мрежи и идват с различни конфигурации на портове от RJ-45 Ethernet до SFP, поддържащи медна или оптична свързаност. Anybus Defender 4002, 6004 и 6024 се предлагат с три различни лиценза, позволяващи решаване на различни потребителски казуси за сигурност.
Основни характеристики на гамата Anybus Defender:
Индустриален клас на сигурност: създадени да издържат в тежките условия на индустриалната среда, направени за надеждна работа в предизвикателни условия.
Мащабируемост на решения: независимо дали за малки, средни или големи приложения, серията Anybus Defender предоставя мащабируеми опции за сигурност, съобразени със специфичните нужди на всяка мрежа.
Софтуер, съобразен с индустриалните контролни системи: вградени възможности за откриване на индустриални активи и контрол на политики за индустриални протоколи с автоматично създаване на правила, което позволява на администратора да вижда какво се управлява и да има детайлен контрол върху мрежовия трафик с лекота.
Удобен за потребителя интерфейс: опростена настройка и управление чрез интуитивен интерфейс, позволяващ на операторите да наблюдават и контролират мрежовата сигурност без усилие. Опция за софтуер за централизирана CyberSecurity конзола - може да се използва за управление на група от Anybus Defender устройства в един семпъл потребителски уеб интерфейс.
Заключение
Навигирането в регулациите и стандартите за киберсигурност е сложна, но важна задача за организациите, работещи в индустриални среди. В партньорство с HMS Networks и използвайки техните продукти за сигурност и опит, организациите могат да осигурят съответствие, да подобрят защитата и да увеличат максимално времето за работа в непрекъснато променящия се пейзаж на киберсигурността.
HMS Networks AB е водещ пазарен доставчик на решения в областта на индустриалните информационни и комуникационни технологии (Industrial ICT) и има над 1200 служители. HMS разработва и произвежда продукти под марките Anybus®, Ixxat®, Ewon® и Intesis® (Red Lion® Controls също е част от HMS Group от април 2024 г.). Местните продажби и поддръжка се управляват от клонове по целия свят и чрез световна мрежа от дистрибутори и партньори. HMS отчете продажби от 3025 милиона шведски крони през 2023 г. и е листвана на NASDAQ OMX в Стокхолм в сегмента с голяма капитализация и сектора на телекомуникациите.
За повече информация, моля, посетете www.hms-networks.com или се свържете с нас.