Cybersäkerhetsserie: Skydda SCADA-system mot hackare

Vattenverk satsar alltmer på att bygga upp försvar mot cybersäkerhetshot i sina nät. Människa-maskin-gränssnitt, Human Machine Interface, (HMI) är en av de vanligaste vägarna för hackare att ta sig in i SCADA-system. I den andra delen av vår cybersäkerhetsserie diskuterar produktsäkerhetschefen Steven Miller och produktsäkerhetsingenjören Radhika Upadrashta från Xylem bästa sättet att skydda HMI i en implementering och vad operatörer kan göra för att minska sårbarheten.

Vi måste kunna skydda de kritiska processerna som ger oss rent dricksvatten, behandlar avloppsvatten, rapporterar vattenkvalitet och mäter förbrukning av vatten, gas och el. För det tror vi på Xylem att det krävs en modell för delat ansvar – ett samarbete mellan teknikutvecklare och leverantörer, integrerare, anläggningsägare och alla led i försörjningskedjan. Xylems ansvar är att konstruera och bygga produkter med skyddsfunktioner. Våra kunders roll är i sin tur att förstå sina processers inneboende risker och vidta åtgärder så att de kan driva och underhålla sina lösningar säkert.

Människa-maskin-gränssnitt (HMI) är den mest sårbara delen i ett IT-system. HMI är en instrumentpanel eller en skärm som används för att styra eller övervaka maskiner på plats eller på distans. Som det primära användargränssnittet för att styra en utrustning eller en process är HMI bland de mest utsatta delarna i infrastrukturen för det industriella styrsystemet (ICS). Obehörig åtkomst till HMI:t kan få förödande konsekvenser. Operatörer kan förlora kontrollen över en process. Intrånget kan orsaka skada på anläggningen och förstöra den. I extrema fall kan människor komma till skada eller dö i samband med underhåll på utrustningen.

Men som tur är finns det åtgärder som operatörer kan sätta in för att skydda HMI:t och metoder för att balansera skyddet med den funktionalitet och svarsförmåga som behövs för en effektiv drift.

Lager på lager med ”skyddslöken”

När man ska ta fram en skyddsrutin rekommenderar vi att utgå från ”skyddslöken”. Det betyder att man tänker igenom systemet lager för lager för att maximera skyddet. Ingen åtgärd är ensam helt ogenomtränglig. Men att skapa skydd i flera lager – den fysiska miljön, nätverket, värdarna och operativsystemet och till sist själva applikationen eller HMI:t – är ett bra sätt att maximera skyddet.

Låt oss gå igenom varje enskilt lager:

Miljön: Att skydda den fysiska åtkomsten till området där HMI:t finns (till exempel kontrollrummet eller fabriksgolvet) är avgörande. HMI:er är alltid i gång, de är lätta att komma åt och kräver ibland ingen autentisering av något slag. Även när de är lösenordsskyddade är HMI:er ändå relativt sårbara. Att begränsa den fysiska åtkomsten minimerar potentialen för att till exempel någon med illvilligt uppsåt installerar sabotageutrustning eller flyttar kablar.

Nätverksskydd: För HMI:er med nätverkskapacitet är det viktigt att extra nätverksinfrastruktur finns på plats för att skydda det bredare nätet. Det kan vara HMI:ts kabeldragning till nätverket eller åtgärder som IP-adressering, routrar, switchar, WiFi-nätverk/åtkomstpunkter med mera. Att segmentera nätverket med hjälp av brandväggar är en vanlig skyddsåtgärd.

Vi rekommenderar att ha en robust princip för nätverksåtkomstkontroll, Network Access Control (NAC). Ett NAC-system kan identifiera nya och tidigare okända värdar och sätta dem i karantän så att de inte kan komma åt det bredare nätet innan en nätverksadministratör godkänt dem. Att ha starka (och automatiserade) skydd för nätverksåtkomst minskar markant potentialen för intrång och sabotage. Kryptering av nätverkstrafiken kan förhindra avlyssning. Och virtuella privata nätverk (VPN:er) som drar nytta av multifaktorautentisering (MFA) för fjärranslutningar till nätverket minskar också risken. En annan användbar skyddsåtgärd är till sist intrångsdetekterings- och intrångsskyddssystem (IDS/IPS) som övervakar nätverksaktiviteten.

Skydd för värdar och operativsystem: Med detta avses operativsystemet som är värd för HMI:t och dess hårdvara, gränssnitt och enheter. Möjligheten att bygga in skydd på den här nivån är beroende av om HMI:erna är installerade på en specialbyggd värd, det vill säga ett slutet system som inte kan modifieras, eller visas på en kommersiell standardhårdvara.

Allra helst ska värdarna ha så liten angreppsyta som möjligt. Onödiga portar (såväl fysiska som virtuella) och onödiga systemtjänster måste inaktiveras. Applikationer som inte används bör tas bort. Säkerhetsfixar till operativsystemet och antivirustjänster bör hållas uppdaterade och anslutningar för fjärr-HMI:er bör alltid vara lösenordsskyddade.

Applikations-/HMI-skydd: Precis som med värden eller operativsystemet varierar möjligheten att införa skydd på applikationsnivå beroende på vilka skyddsfunktioner som tillverkaren byggt in i HMI:t. Använd starka autentiserings- och auktoriseringsprinciper när så är tillämpligt. En användare bör bara ha den behörighet som är nödvändig och lämplig för rollen. HMI-applikationen bör använda krypterad kommunikation för att hindra avlyssning och begränsa åtkomsten till operativsystemet.

Cybersäkerheten är en hörnsten i uppbyggnaden av resilienta nät. Cyberhoten fortsätter att utvecklas och att expandera, men det finns åtgärder som vattenverk kan vidta för att minska riskerna och skydda sin kritiska infrastruktur – och de behöver inte göra det själva.

Läs mer om hur Xylem arbetar med cybersäkerhet här.

Läs den här bloggen om hur du börjar planera för att få en smart beredskap för incidenter redan i dag.