امنیت سایبری سیستم های کنترلی و شبکه های صنعتی (اسکادا)

امروزه با حضور تجهیزات و سیستم‎های کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیق­تری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستم‎های هیدرولیک و نیوماتیک قدیمی، به PLCها و سیستم‎های DCS و SCADA مجهز شده ­اند؛ از طرفی با توسعه شبکه­ های کامپیوتری، تجهیزات و شبکه‎ های فیلدباس در جهان به سرعت در حال تحول می­ باشند و بسیاری از فرآیندهای صنعتی توسط این سیستم‎ها که دارای مزایای بسیار زیادی نسبت به سایر روش­ها بوده کنترل و نظارت می­ شوند. PLCها، سیستم‎های DCS و SCADA به‌ طور گسترده جهت نظارت و کنترل فرآیندهای صنعتی از جمله نفت، گاز، پتروشیمی، برق، هسته ­ای و غیره مورد استفاده قرار می­­ گیرند. پیشرفت­های روزافزون در سیستم‎های کنترل صنعتی و تجهیزات مورد استفاده در آنها نه ­تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته­ است. علیرغم پیشرفت­های بسیار زیادی که در ساختار و عملکرد سیستم‎های کنترل صنعتی و SCADA وجود داشته، این سیستم‎ها از دیدگاه سایبری دارای ضعف­های بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند. آسیب­ پذیری­های موجود در بخش­های مختلف سیستم‎های کنترل صنعتی و SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساخت‌های حیاتی کشورها، آسیب ­رساندن و یا ایجاد اختلال در فرآیند کاری آن­ها باشند. از آنجا که بروز هرگونه نارسایی در بخش­های مذکور ممکن است اثرات مخرب و جبران­ ناپذیری برجای گذارد، لذا اهمیت شناخت تهدیدات، آسیب‎پذیری­ها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستم‎ها بیش از پیش احساس می­ شود. در همین راستا و به منظور امن ‎سازی سیستم‎های کنترل و شبکه‎ های صنعتی لازم است طرح مناسب امنیت سایبری (Operational Technology-Cyber Security Management System) مطابق با استانداردهای مطرح بین‎المللی از جمله IEC62443، NIST SP 800-82 برای آنها تدوین و اجرا گردد. این طرح امنیتی می تواند مکمل سایر طرحهای امنیتی در حوزه زیرساختهای IT (مانند استقرار استانداردهای مدیریت امنیت اطلاعات (ISMS) و یا ارزیابی های امنیتی دوره ای) باشد و اطمینان کاملی را از امنیت سایبری برای کارفرمایان و صاحبان کسب و کار فراهم آورد. به این ترتیب می توان از استقرار استانداردهای امنیتی و تداوم کسب و کار سازمانها در شرایط مختلف، اطمینان حاصل کرد.

حرکت به سمت استقرار سیستم مدیریت امنیت سایبری صنعتی، به عنوان یک مزیت رقابتی

حرکت به سمت استقرار سیستم مدیریت امنیت سایبری صنعتی، به عنوان یک مزیت رقابتی

ايجاد تشکيلات سازماندهي امنيت اطلاعات صنعتی

شناسايي و طبقه بندي دارايي هاي سایبری صنعتی شركت و ارزش گذاري آنها

آموزش هاي لازم به کارکنان در حوزه سيستم مدیریت امنیت سایبری صنعتی در سطوح مختلف

ايجاد راهکارهاي الزامي کارکنان و مديران نسبت به رعايت مسائل امنيتي

ارتقاء سطح امنيت منابع طبقه‎ بندي شده صنعتی متناسب با حساسيت آنها

برآورده سازي الزامات استانداردهاي امنيتي در استقرار نظام مدیریت امنیت سایبری صنعتی

شناسايي، ارزيابي و مستندسازي وضعيت موجود امنيت صنعتی در سازمان

شناسایی ضعف‎ها و آسیب‎ پذیری‎های سایبری حوزه صنعتی و ارائه راهکارهای برطرف نمودن آنها

امن سازي سيستم هاي صنعتی و فرآيندهاي مربوط به آن

جلوگیری از حملات و دسترسی های غیر مجاز علیه سرمایه های سایبری صنعتی سازمان

کاهش وقفه در تداوم کسب و کار سازمان

استانداردها

مهمترین استانداردهای این حوزه عبارتند از:

IEC62443

NIST SP 800-82

NIST SP 800-53

CFATS

INGAA

NERC CIP

NISTIR

اما طرح جامع امنیتی باید متناسب با امکانات و نیازمندیهای کارفرما باشد و الزاماً ممکن است نیازمند خرید ابزارها و تجهیزات جدید نباشد. با این رویکرد، هر سازمان متناسب با دارایی‌ها، قواعد سازمانی، ارزش‌های تعریف شده و تهدیدهای قابل پیش بینی، یک مدل جامع امنیتی خواهد داشت که بتواند محافظت بهینه اطلاعات را برای آن سازمان ایجاد نماید.
برای راستی آزمایی کارایی این طرح جامع امنیتی، لازم است ارزیابی های امنیتی (تست نفوذ) بصورت دوره ای بر روی زیرساختها و سرویسهای سازمان انجام شده و با استفاده از بازخورد حاصله از نتایج این آزمونها، رویه ها، دستورالعملها، پیکربندی ها و سایر جزئیات طرح جامع امنیتی، مورد بازنگری و به روز رسانی قرار گیرد.
با بهر‌ه‌گیری از خدمات مشاوره‌ای مبتنی بر تجربه و دانش حرفه‌ای، می‌توان در کنار رسیدن به سطحی قابل قبول از امنیت فناوری اطلاعات، از امکانات موجود سازمان به شکل بهینه استفاده کرده و از صرف هزینه های هنگفت و اضافی نیز پرهیز نمود. ما در آشنا ایمن با تکیه بر تخصص و تجربه‌های متعدد بدست آمده از رهگذر پروژه‌های بزرگ ملی، دارا بودن مجوز فعالیت از افتای ریاست جمهوری، سازمان پدافند غیرعامل و شورای‌ عالی انفورماتیک کشور و با مد نظر قرار دادن استانداردهای معتبر بین المللی، طیف وسیعی از خدمات مشاوره امنیت سایبری و امن‌سازی زیرساختها و سرویسهای حیاتی را برای سازمان‌ها و بنگاه‌های اقتصادی ارائه می‌کنیم.

در این طرح جامع ممکن است راهکارهای مختلفی مورد توجه قرار گیرد؛ از جمله:

 

1-      پنل‎های کنترلی

در محدوده پنل‎های کنترلی تجهیزات، المان‎های مختلفی وجود دارد که لازم است مورد بررسی قرار گرفته و امن‎ سازی گردند. این تجهیزات و المان‎ها عبارتند از:
  • CPUهای سیستم کنترل
  • CPهای سیستم کنترل
  • سوئیچ‎ های شبکه
  • مبدل‎های شبکه
  • فایروال‎های صنعتی
  • RTU
  • مودم‎ها و تجهیزات SCADA (جهت ارسال اطلاعات به دیسپاچینگ)
  • PLCهای راه دور موجود در فیلد

2-      ایستگاه‎ های کاری

  • ایستگاه‎ های کاری مهندسی Engineering Work Station(EWS)
  • ایستگاه‎ های کاری اپراتوری Operator Work Station(OWS)
  • ایستگاه‎ های کاربردی Application Station (AS)
  • سیستم‎عامل‎ها
  • نرم‎ افزارهای صنعتی
  • نرم‎ افزارهای غیرصنعتی
  • آنتی ویروس
  • نرم ‎افزار لیست سفید
  • نرم‎ افزار کنترل دسترسی
  • پایگاه‎ های داده
در محدوده ایستگاه‎ های کاری المان‎های مختلفی از جمله EWS، OWS و غیره وجود دارد که لازم است مورد بررسی قرار گرفته و امن ‎سازی شوند. این المان‎ها عبارتند از:

3- محدوده فیزیکی

کلیه محدوده‎ های فیزیکی که بر اساس استانداردهای مطرح بین المللی باید مورد بررسی قرار گیرد عبارتند از:
  • محدوده فیزیکی اتاق کنترل
  • محدوده فیزیکی اتاق کابینت
  • محدوده فیزیکی اتاق EWS
  • محدوده فیزیکی بایگانی اسناد، مدارک و تجهیزات صنعتی

در این طرح جامع باید راهکارهای مختلفی مورد توجه قرار گیرد؛ از جمله:

1-      شناسایی و طبقه‎ بندی سیستم‎ها و دارائی‎ های سایبری صنعتی

  • دریافت As-Built مدارک ابزاردقیق تعمیرات
  • بررسی کلیه مدارک ابزاردقیق
  • دسته‎ بندی دارائی‎های سایبری
  • ایجاد بانک اطلاعاتی

2- ارزیابی امنیتی جهت شناسایی ضعف‎ها و آسیب ‎پذیری ‎های سایبری صنعتی

  • ارزیابی امنیتی CPUها
  • ارزیابی امنیتی CPها
  • ارزیابی امنیتی سوئیچ‎ های شبکه‎ های صنعتی
  • ارزیابی امنیتی ایستگاه ‎های کاری OWS
  • ارزیابی امنیتی ایستگاه‎ های کاری EWS و لپ‎تاپ‎ها
  • ارزیابی امنیتی ایستگاه‎ های کاری متفرقه صنعتی
  • تدوین سند گزارش ارزیابی امنیتی

3- تدوین راهکارهای امنیتی متناسب با آسیب‎ پذیری‎ های شناسایی شده

  • بررسی راهکارهای برطرف نمودن آسیب‎ پذیری ‎های شناسایی شده
  • تدوین سند راهکارهای امن‎ سازی

4- بررسی و انتخاب نرم افزارها و سخت ‎افزارهای امنیتی (MTO)

  • بررسی مستندات معماری سیستم و پایگاه داده دارائی‎ های سایبری صنعتی
  • انتخاب سخت ‎افزارها و نرم ‎افزارهای امنیتی
  • مشخص نمودن تعداد سخت ‎افزارها و نرم ‎افزارهای امنیتی
  • تدوین و ارائه لیست اقلام مورد نیاز (MTO)

5- بروزرسانی و مدیریت وصله‎ های امنیتی

  • اعمال وصله ‎های امنیتی CPUها
  • اعمال وصله‎ های امنیتی CPها
  • اعمال وصله ‎های امنیتی سیستم‎ عامل‎ها و نرم‎ افزارها
  • اعمال وصله‎ های امنیتی سوئیچ‎ ها

6- اجرای تنظیمات و پیکربندی‎ های امنیتی سیستم‎ های کنترل صنعتی

  • اجرای تنظیمات و پیکربندی ‎های امنیتی CPUها
  • اجرای تنظیمات و پیکربندی ‎های امنیتی CPها
  • اجرای تنظیمات و پیکربندی ‎های امنیتی ایستگاه‎ های کاری
  • اجرای تنظیمات و پیکربندی‎ های امنیتی سوئیچ‎ های صنعتی

7- نصب، پیکربندی و اجرای دیواره آتش صنعتی

8- پیاده سازی اتاقهای تمیز

9- برگزاری دوره ‎های آموزشی

  • امنیت سایبری شبکه‎ های صنعتی ویژه بهره برداران
  • امنیت سایبری شبکه‎ های صنعتی ویژه تیم حراست و IT
  • امنیت سایبری شبکه‎ های صنعتی ویژه تیم ابزار دقیق
  • دیواره ‎آتش صنعتی ویژه تیم حراست IT
  • دیواره‎ آتش صنعتی ویژه تیم ابزار دقیق

در صورت نیاز به اطلاعات بیشتر، با ماتماس بگیریدو یا برای ارائه خدمات ارزیابی امنیتی، فرم تعیین محدوده را تکمیل فرمائید.

وبلاگ آشنا ایمن

آخرین مطالب مرتبط با امنیت فناوری اطلاعات در وبلاگ تخصصی آشنا ایمن

سیستم مدیریت امنیت اطلاعات
مدیریت ریسک
کارت و پرداخت
ارزیابی امنیتی
زیرساخت
امنیت برنامه های موبایل