Entwicklung einer Cybersicherheitsstrategie für kritische Infrastrukturen

Zu den Erkenntnissen gehören die folgenden:

• Der Schutz kritischer Infrastrukturen hat seit langem Priorität, aber viele Unternehmen reagieren auf Cyberbedrohungen zögerlich.
• COVID-19 hat die Definition kritischer Infrastrukturen erweitert und gleichzeitig Unternehmen daran erinnert, zu hinterfragen, welche Systeme für den Betrieb unerlässlich sind. Dieser Artikel baut auf den Ratschlägen in Kapitel eins dieser Serie in „Adressieren von IoT-Sicherheitsherausforderungen von der Cloud bis zum Edge“ auf.
• Organisationen, die kritische Infrastrukturen verwalten, sollten eine proaktive Haltung zur Cybersicherheit entwickeln, aber durch das Coronavirus verursachte Störungen erhöhen die Herausforderung.

Inzwischen ist der Bedarf an umfassender Cybersicherheit für kritische Infrastrukturen klar. Öffentliche Berichte über das Risiko böswilliger Akteure, die auf das Stromnetz, Dämme, Abstimmungssysteme und andere vom Bund ausgewiesene kritische Infrastrukturen abzielen, sind weit verbreitet. Aber die Mehrheit der Unternehmen, die grundlegende Dienste bereitstellen, haben nur inkrementelle Schritte unternommen, um Cyberrisiken zu begegnen. „Viele [Operational Technology]-Organisationen haben ziemlich junge Cybersicherheitsprogramme“, sagt Sean Peasley, Partner bei Deloitte.

Der Begriff „kritische Infrastruktur“ bezog sich zunächst auf öffentliche Arbeiten wie Verkehrsinfrastruktur und Stadtwerke, doch seit den 1990er Jahren hat sich die Definition stetig erweitert. Zu den Sektoren unter der Rubrik gehören jetzt unter anderem das Gesundheitswesen, Energie und Versorger sowie verschiedene Hersteller. „Und praktisch gesehen stellen wir in Zeiten von COVID fest, dass kritische Infrastrukturen noch umfassender sind, als wir dachten“, sagte Kieran Norton, Principal bei Deloitte. So leisten beispielsweise Hersteller von persönlicher Schutzausrüstung einen Beitrag zur Eindämmung der Krise. „Wir haben auch gelernt, dass eine Unterbrechung der Lieferkette beispielsweise während einer Pandemie potenziell katastrophal sein kann“, sagte Norton. Es überrascht nicht, dass Logistikunternehmen ihre Rolle als unverzichtbar gefestigt haben. Die US-Regierung hat erklärt, dass auch die Zellstoff- und Papierindustrie sowie die Fleischverpackungsindustrie unerlässlich sind. Die Überschneidungen zwischen kritischer Infrastruktur und betrieblicher Technologie (OT)-Sicherheit verschwimmen also weiter. Wie auch immer der Name lautet, nur wenige der Branchen in diesem Bereich haben einen hohen Grad an Cyber-Effektivität erreicht, wie eine vom TÜV Rheinland unterschriebene Untersuchung zur industriellen Sicherheit des Ponemon-Instituts zeigt.

[Die IoT World, Nordamerikas größte IoT-Veranstaltung, wird vom 11. bis 13. August virtuell mit einem dreitägigen virtuellen Erlebnis, bei dem IoT, KI, 5G und Edge branchenübergreifend in Aktion treten. Registrieren Sie sich noch heute]

Traditionelle Einrichtungen kritischer Infrastrukturen haben vielleicht jahrzehntelange Erfahrung mit traditionellen Risikomanagement- und Sicherheitsinitiativen, aber für viele ist Cybersicherheit eine relativ neue Priorität. Und im Großen und Ganzen neigen Organisationen, die kritische Infrastrukturen verwalten, dazu, sich langsam zu bewegen. „Meine allgemeine Erfahrung ist, dass die OT-Sicherheit etwa 10 bis 15 Jahre hinter der IT-Sicherheit zurückbleibt“, sagte Andrew Howard, CEO von Kudelski Security.

Unterdessen wird die Bedrohungslandschaft für Unternehmen mit kritischen Infrastrukturen immer prekärer. Die Zahl der Angreifer, die auf solche Infrastrukturen abzielen, steigt ebenso wie die Zahl der verbundenen Geräte in vielen kritischen Infrastrukturumgebungen. Laut dem X-Force Threat Intelligence Index 2020 von IBM war das Angriffsvolumen auf industrielle Steuerungssysteme 2019 höher als in den drei vorangegangenen Jahren zusammen.

Solche Angriffe machten im Jahr 2020 Schlagzeilen. Ransomware-Angreifer zielten erfolgreich auf Honda und Taiwans Energieversorger sowie eine US-Erdgasanlage. Israels Wasserversorgung soll angegriffen worden sein. Das interne Netzwerk des japanischen Telekommunikationsunternehmens NTT ist durchbrochen worden.

R kontinuierliche Risikobewertung

Wenn Sie etwas nicht messen können, können Sie es nicht verbessern. Dieser Rat gilt jedoch doppelt für die Cybersicherheit kritischer Infrastrukturen, bei der es schwierig sein kann, Risiken und Risikominderung zu quantifizieren. Viele Unternehmen haben angesichts der Vielfalt und Komplexität ihrer Umgebungen Schwierigkeiten, eine genaue Bestandsliste zu führen. Unterdessen sind Experten, die sich auf OT-Cybersicherheit spezialisiert haben, Mangelware. Dieses Risiko wird durch die komplizierte Natur des Risikomanagements von Drittanbietern noch verstärkt, einschließlich der Bewertung potenzieller Schwachstellen, die durch beschaffte Hardware, Software oder Auftragnehmer eingeführt wurden.

Während die Risikobewertung ein kontinuierlicher Prozess sein sollte, sollten Organisationen kritischer Infrastrukturen mit regelmäßigen eingehenden Risikobewertungen beginnen, die darauf abzielen, Bedrohungen, Schwachstellen und potenzielle Folgen von Cyberangriffen und anderen Ursachen für Betriebsstörungen zu quantifizieren. Zu den potentiellen Schwachstellen zählen geteilte Passwörter, ungepatchte Systeme, Software und Hardware unbekannter Herkunft und übermäßig freizügige Firewalls.

Aber solche Sicherheitsbewertungen können schwierig durchzuführen sein. Es gibt eine Reihe von zu verfolgenden Gerätetypen, die von Pumpen und Ventilen, Legacy-Controllern und unzähligen Computergeräten reichen. Darüber hinaus erfordert das Verständnis der Auswirkungen eines industriellen Systemverstoßes ein fundiertes Betriebswissen. In einer Umgebung mit zahlreichen unterschiedlichen Systemen wird das Problem noch verschlimmert.

Herkömmliche Techniken zum Scannen von Netzwerken erfordern Sorgfalt. Aktive Netzwerk- und Schwachstellen-Scanning-Techniken industrieller Steuerungssysteme können Steuerungssysteme zum Absturz bringen. Die sichere Verwendung von aktivem Scannen in einer kritischen Infrastrukturumgebung kann im Allgemeinen sicher durchgeführt werden, so Dale Peterson, ein auf die Sicherheit von industriellen Steuerungssystemen spezialisierter Berater. Aber es erfordert eine enge Zusammenarbeit mit dem Betrieb, um das Risiko zu bewältigen. Passive Techniken zur Netzwerküberwachung sind zwar weniger aufdringlich, aber auch weniger genau. „In dieser Debatte kollidiert oft diese Sicht der IT-Sicherheit mit der Sicht des OT. Der IT-Sicherheitsexperte tendiert zum aktiven Scanning, aber der Verantwortliche für die Überwachung eines kritischen Infrastruktursystems bevorzugt oft einen passiven Ansatz, weil er es nicht gefährden möchte.“

Insbesondere bei eingehenden Bewertungen werden Unternehmen wahrscheinlich eine lange Liste von Problemen aufdecken und die zu priorisierende Abhilfe in Frage stellen. Erschwerend kommt hinzu, dass viele Cybersicherheitsexperten im Allgemeinen nicht über direkte Erfahrung mit allen geprüften Geräten verfügen und sich daher auf Interviews mit erfahrenen Anlagenbesitzern und -betreibern verlassen müssen, um ihr Cyberrisiko einzuschätzen.

Organisationen sollten sowohl den Schweregrad als auch die Leichtigkeit der Behebung abwägen. Zugangskontrolle sei hier oft ein Thema, sagte Mikovic. „Grenzschnittstellen sind immer der schwächste Teil jedes Cybersicherheitsproblems, sei es eine Protokollgrenze oder eine physische Grenze“, sagte er. „Selbst in der Welt der industriellen Cybersicherheit sind USB-Laufwerke immer noch eine der größten Sicherheitslücken.“

Während es für einen Mitarbeiter schnell und kostengünstig ist, Sekundenkleber oder Lötmittel zu verwenden, um ungenutzte USB-Laufwerke anzuschließen, konzentrieren sich einige Unternehmen zu sehr darauf, die „einfachen Dinge“ bei ihrer Behebung anzugehen, sagte Howard. „Ja, es gibt Grenzwertminderungen, die Sie sofort ausschalten sollten. Danach sollten Sie jedoch basierend auf dem Risiko Prioritäten setzen.“

Die Quantifizierung dieses Risikos ist mithilfe einer Zwei-mal-Zwei-Matrix möglich, die die Wahrscheinlichkeit der Auswirkungen und den potenziellen Schweregrad einer Schwachstelle abwägt, so Joe Saunders, CEO von RunSafe.

Die Erstellung eines Risikoprofils für jedes System ist selten einfach. Interviews mit Anlagenbesitzern und -betreibern sind der Schlüssel zum Verständnis der Auswirkungen, wenn ein bestimmtes System abstürzt. „Sie können eine Maschine haben, die verwundbar und risikoreich zu sein scheint“, sagte Mikovic. Aber wenn es untergeht, kann es nur zu vereinzelten Problemen führen, anstatt alles "zum Stillstand zu bringen".

Ein weiterer Faktor, der die Risikobewertung erschweren kann, ist die Tendenz von Unternehmen, Cyber-Prioritäten ausschließlich auf der Grundlage der investierten Zeit oder des investierten Geldes zu priorisieren. „Was ein Unternehmen für wertvoll hält, kann ganz anders sein als das, was ein Cyberkrimineller für wertvoll hält“, sagt Bill Malik, Vice President, Infrastructure Strategys bei Trend Micro.

Wenn es um Altgeräte geht, können Unternehmen in ihrer Fähigkeit, Risiken zu reduzieren, eingeschränkt sein. Ein Gerät mit einem jahrzehntealten Betriebssystem kann wahrscheinlich nicht aktualisiert werden. „Die Strategie, die normalerweise bei diesen Systemen verfolgt wird, besteht darin, zu isolieren und zu überwachen“, sagte Howard. "Meine Erfahrung ist, dass die Isolierung normalerweise ziemlich porös ist."

Neue Risiken in der neuen Normalität

Das Risikomanagement in kritischen Infrastrukturen wird mit wachsenden Bedenken hinsichtlich der Cybersicherheit immer schwieriger. Die Notwendigkeit für diese Organisationen, COVID-19-Reaktionspläne zu entwickeln und gleichzeitig die Fernarbeit für einige Arbeitnehmer auszuweiten, erhöht die Komplexität zusätzlich. „Ich denke, die wichtigste Art von Veränderung, die wir in kritischen Infrastrukturumgebungen sehen, ist das Work-from-Home-Szenario“, sagte Jamil Jaffer, Senior Vice President für Strategie, Partnerschaften und Unternehmensentwicklung bei IronNet Cybersecurity.

Das Paradigma der Arbeit von zu Hause aus hat den Schutz anfälliger Systeme kompliziert, sagte Howard. „Jetzt haben Sie Mitarbeiter, die VPN verwenden, um sich von zu Hause aus mit Produktionssystemen zu verbinden, um Änderungen vorzunehmen“, sagte er. "Das hätten sie früher wahrscheinlich nicht gemacht."

In ähnlicher Weise könnten einige Unternehmen versucht sein, Dritten wie Anbietern und Technikern Fernzugriff auf sensible Systeme zu gewähren. "Die Cybersicherheit wird wahrscheinlich weniger im Fokus stehen, wenn sich viele Leute darauf konzentrieren, ihre Arbeit zu erledigen und ihren Job zu behalten", sagte Norton.

Die Netzwerkverfügbarkeit ist eine weitere Überlegung für Unternehmen, die die Remote-Arbeitsfähigkeiten in kritischen Infrastrukturkontexten erweitern möchten. „In der Vergangenheit nutzten 10–20 % ihrer Mitarbeiter in Unternehmen eine herkömmliche Remote-Access-Infrastruktur“, sagte Norton. Da Unternehmen die Remote-Arbeitskapazitäten erweitert haben, "sind viele auf Probleme mit Bandbreite, Skalierung und Bereitstellung von Assets gestoßen", sagte Norton.

Während die Ausweitung der Konnektivität für Industrieanlagen möglicherweise zu mehr Schwachstellen führen kann, hat COVID-19 auch das Risiko altmodischer Notfallpläne unterstrichen, die auf der physischen Anwesenheit der Arbeitnehmer, manuellen Prozessen und Papierkram beruhen.

Obwohl sich kritische Infrastrukturunternehmen traditionell langsam ändern, sollten sie nicht davor zurückschrecken, umfassende Änderungen an ihrer Technologiearchitektur vorzunehmen, während sie Kernprozesse und Arbeitsabläufe überdenken. „Wenn dies die neue Normalität ist, müssen Sie wahrscheinlich Ihre Infrastruktur neu gestalten“, sagte Norton.

Auf dem Weg zur proaktiven Cybersicherheit 

Letztendlich versuchen Unternehmen kritischer Infrastrukturen, von fest verankerten, manuellen Prozessen, die eine inkrementelle Risikoreduzierung bieten, zu einer proaktiveren Cybersicherheitsposition überzugehen. „Industrielle Umgebungen sind in der Regel komplex und entwickeln sich ständig weiter“, sagte Natali Tshuva, CEO von Sternum. „Sicherheitskontrollen sind nicht nur notwendig, um den aktuellen Status zu beurteilen, sondern auch um auf Jahre hinaus nachhaltigen Schutz und Sicherheit zu bieten.“

Traditionell bedeutete die Sicherheit industrieller und kritischer Infrastrukturen physische Sicherheit, die Sicherheit und Zugangskontrolle innerhalb eines physischen Perimeters umfasst. Viele traditionelle Industrieprotokolle sind grundsätzlich unsicher, weil ihre Entwickler davon ausgegangen sind, dass nur autorisiertes Personal darauf zugreifen kann. Aber der Aufstieg von Remote-Arbeit, Cloud-Computing und IIoT hat das Sicherheitsmodell von Burg und Burg untergraben. Der Einfluss dieses Legacy-Modells ist jedoch einer der Gründe, warum viele Organisationen kritischer Infrastrukturen – ebenso wie Großunternehmen – einen reaktiven Sicherheitsansatz verfolgen.

Der Schwerpunkt einer solchen Neugestaltung sollte auf der Schaffung robuster und effizienter Arbeitsabläufe auf der Grundlage universeller Sicherheitsrichtlinien liegen. „Verlegen Sie die Sicherheitskontrollen so nah wie möglich an die Vermögenswerte“, riet Norton.

Der Prozess umfasst die Erstellung einer umfassenden und sich weiterentwickelnden Sicherheitsrichtlinie für die folgenden Assets:

• Ausrüstung und Geräte :Solche Hardware könnte von älteren Industriegeräten über IoT-Geräte bis hin zu Laptops von Unternehmen reichen. „Es ist sehr wichtig, diese Geräte im Kontext mit den Benutzern zu verstehen“, sagte Norton. Unternehmen sollten industrielle Steuerungen schützen, riet Joe Saunders, CEO von RunSafe Security. Die Absicherung von Sensoren und Gateways ist dagegen relativ einfach. „Aber Controller sind leistungssensitiv und tief in der Infrastruktur verankert.“
• Netzwerke und Nutzer :Was die Benutzer betrifft, sollte das Sicherheitspersonal den Zugriff so weit wie möglich einschränken, basierend auf den Kontrollen, die in einer Sicherheitsrichtlinie des Unternehmens beschrieben sind. "Sie können eine Richtlinien-Engine haben, die mit diesen Sicherheitskontrollen kommuniziert, die es Ihnen ermöglicht, Logik dynamisch über den Kontext des Benutzers und der Anwendung anzuwenden", sagte Norton. Unternehmen sollten auch in Funktionen zur Erkennung von Netzwerkverletzungen investieren.
• Daten . Datenklassifizierung und -erkennung sind wertvolle Werkzeuge zur Bewertung des Kontrollniveaus, das zum Schutz eines bestimmten Datentyps erforderlich ist.
• Workflow, Workloads und Prozesse. Der erforderliche Schutzgrad berücksichtigt den intrinsischen Wert dieser Prozesse für Ihr Unternehmen und die Wahrscheinlichkeit, dass Gegner sie stören. Zu dieser Aufgabe gehört auch, die Lieferkette zu stärken und sicherzustellen, dass Auftragnehmer und Lieferanten ein festgelegtes Sicherheitskontrollniveau einhalten.
• Softwareentwicklungsprozesse. Kritische Infrastrukturunternehmen „sollten Sicherheit in die Softwareentwicklung integrieren, damit die von Ihnen bereitgestellte Software widerstandsfähig ist“, sagte Saunders.  

Obwohl Cyberhygiene von entscheidender Bedeutung ist, besteht ein häufiger Fallstrick bei der Sicherheit darin, dass der Erkennung, Reaktion und Wiederherstellung von Bedrohungen zu wenig Priorität eingeräumt wird. „Als Faustregel gilt, 50 % Ihrer Bemühungen in die Prävention und Erkennung zu investieren und 50 % Ihrer Bemühungen in die Wiederherstellung der Reaktion zu investieren“, sagte Matt Selheimer, ein leitender Angestellter bei PAS Global. „Traditionell verfolgen viele Unternehmen den Ansatz, die präventiven Kontrollen an erster Stelle zu setzen“, sagte Norton. Angesichts der Komplexität der Risikoprüfung in kritischen Infrastrukturumgebungen treten Reaktion und Wiederherstellung jedoch manchmal in den Hintergrund. "Wenn etwas schief geht, möchten Sie es schnell identifizieren und abschalten können", sagte Norton. „Das ist genauso wichtig wie etwas zu verhindern, weil man weiß, dass irgendwann etwas schief geht.“

Organisationen, die den Übergang zu einer proaktiven Cybersicherheitsposition anstreben, können sich von verschiedenen Rahmenwerken inspirieren lassen, die von der umfassenden ISO 27002 bis hin zu spezifischen Standards für industrielle Steuerungssysteme wie ISA/IEC 62443 reichen. Ein relativer Neuling ist die Cybersecurity Maturity Model Certification (CMMC) der Verteidigungsministerium – Entwickelt, um das Sicherheitsniveau festzulegen, das Organisationen benötigen, um sich für verschiedene Regierungsprogramme zu bewerben. In fünf Stufen unterteilt, spezifizieren die ersten drei grundlegende, mittlere und gute Cyber-Hygiene. Die beiden oberen Ebenen erfordern ein ausgefeilteres Cybersicherheitsmanagement. Der vierte sieht vor, dass „alle Cyberaktivitäten überprüft und auf ihre Wirksamkeit gemessen werden“, wobei die Prüfungsergebnisse mit dem Management geteilt werden. Die oberste Ebene fügt eine standardisierte und umfassende Dokumentation zu allen relevanten Einheiten hinzu.

CMMC-Stufe 1	Grundlegende Cyberhygiene (durchgeführt)	Ausgewählte Praktiken werden bei Bedarf dokumentiert
CMMC-Stufe 2	Intermediate Cyberhygiene (dokumentiert)	Jede Praxis wird dokumentiert und es gibt eine Richtlinie für alle Aktivitäten
CMMC-Stufe 3	Gute Cyber-Hygiene (gemanagt)	Zusätzlich zu den oben genannten Praktiken existiert ein Cyberplan, der alle Aktivitäten umfasst.
CMMC-Stufe 4	Proaktiv (überprüft)	Alle Cyberaktivitäten werden überprüft und auf Effektivität gemessen. Die Ergebnisse werden mit dem Management geteilt.
CMMC-Stufe 5	Erweitert progressiv (Optimierung)	Zusätzlich zu den oben genannten Praktiken fügt diese Phase eine standardisierte Dokumentation im gesamten Unternehmen hinzu.

„Es ist das erste Framework, das wir mit einem ausgearbeiteten Reifegradmodell speziell für Integratoren und ihre Subunternehmer gesehen haben, die Angebote für sensible Regierungsprogramme abgeben“, sagte Tony Cole, Chief Technology Officer bei Attivo Networks. Der Rahmen könnte Organisationen kritischer Infrastrukturen ermutigen, ein differenzierteres Verständnis des internen Cyberrisikos sowie die von Dritten geforderte Sorgfaltspflicht zu entwickeln. Es gibt eine gewisse Objektivität des Frameworks, die hilfreich sein könnte, sagte Cole. „Laut dem Modell muss ein externer Auditor hinzukommen und das Cybersicherheitsniveau eines Auftragnehmers bestätigen. Keine selbstberichteten Umfragen“, sagte er. "Jemand muss es auditieren."

Automatisierung ist auch ein zu berücksichtigendes Element bei der Entwicklung einer proaktiven Sicherheitsstrategie. Techniken wie maschinelles Lernen können Unternehmen dabei helfen, routinemäßige Sicherheitsüberwachungsaufgaben wie die Erkennung von Netzwerkverletzungen zu automatisieren und Kontrollen zu implementieren, um die Ausbreitung von Angriffen zu stoppen.

Integrierter Sicherheitsschutz, der zunehmend auf verschiedenen Geräten mit eingeschränkten Ressourcen verfügbar ist, bietet einen intrinsischen Bedrohungsschutz. Der Schutz auf dem Gerät sollte auch "umfassende Asset-Management-Funktionen umfassen", sagte Tshuva. Solche Kontrollen unterstützen die Netzwerktransparenz und können automatische Warnungen vor Angriffen ausgeben.

Unternehmen, die ohne eine robuste und kontextbezogene Sicherheitsrichtlinie schnell Wege zur Automatisierung der Sicherheitsüberwachung suchen, sehen sich häufig einer Explosion von Fehlalarmen gegenüber, warnte Selheimer. Aber am Ende sollten alle Unternehmen planen, Zeit in die Optimierung der Sicherheitskontrollen zu investieren. „Das ist in der OT nicht anders als in der IT. Die Leute in der [Sicherheitszentrale] verbringen viel Zeit damit, Firewall-Regeln und Sicherheitsinformationen sowie Korrelationsregeln für das Ereignismanagement zu optimieren, um das Rauschen zu reduzieren“, sagte Selheimer.

Erschwerend kommt hinzu, dass die einzigartige und vielfältige Landschaft kritischer Infrastrukturen die Bereitstellung von Standard-Sicherheitsautomatisierung und KI-Tools erschweren kann. „Es gibt sicherlich einige Einschränkungen. Aber es gibt auch Möglichkeiten, das anzugehen“, sagte Norton. Unternehmen können beispielsweise sensible Betriebssysteme isolieren und Automatisierungs- und Orchestrierungstools verwenden, um die resultierende Enklave zu schützen. „Automatisieren Sie durch Automatisierung und Orchestrierung so viel wie möglich und orchestrieren Sie dann, wo Sie nicht automatisieren können, um sicherzustellen, dass Sie über effektive Funktionen verfügen und auf Bedrohungen reagieren und sich anpassen können“, sagte Norton.

Letztendlich werden sich die Sicherheitsbedrohungen kritischer Infrastrukturen wahrscheinlich schnell verlagern. „Proaktiv zu sein bedeutet, dass Sie Ihre Cyber-Haltung ständig anpassen, um sowohl den direkten Auswirkungen auf das Unternehmen als auch den Ereignissen aus der Branchenperspektive Rechnung zu tragen“, sagte Norton.