Problémy pri zbere dát
• Neadekvátne záznamové mechanizmy: Záznamové mechanizmy v SCADA systémoch sú zamerané na poruchy v samotnom procese, nie na narušenia bezpečnosti a preto prispievajú len v obmedzenej miere v oblasti odozvy na incident.
• Vysoká nestálosť dát: Charakter riadiacich systémov je dôvodom vymazania, odstránenia alebo nahradenia dát v niektorých komponentoch systému, ako sú napr. vysoko rýchlostné dátové záznamníky. Toto prebieha tak často, že je prakticky nerealizovateľné alebo nemožné vykonávať ich zber. Náklady na zaobstaranie záznamových mechanizmov pre tieto zariadenia však môžu byť neúmerne vysoké.
• Jadro operačného systému prispôsobené na mieru používateľovi: SCADA systém môže využívať špeciálne upravené jadrá bežiace na jeho komponentoch v snahe zvýšiť výkon systému a to aj napriek faktu, že aktualizácia týchto jadier je náročná. To môže ovplyvniť tradičné nástroje získavania dát ako sú DD alebo memdump do takej miery, že ich nebude možné spustiť z dôvodu nekompatibility alebo chýbajúceho modulu jadra.
• Veľký objem dát z nižších úrovní: Získavanie dát z nižších úrovní SCADA siete ako napr. zo senzorov vedie k obrovskému množstvu informácií, ktoré si vyžaduje vysoké nároky na pamäťový priestor.
• Nízky výpočtový výkon: Staršie systémy majú nízky výpočtový výkon pre záznam a analýzu dát tvorených v spojení s riadiacimi dátami. Preto nie je možné na tejto úrovni implementovať ďalšie operácie týkajúce sa iných procesov ako napr. analýzy incidentu.
Problémy analýzy dát
• Nástroje dodatočnej analýzy: Súčasné nástroje pre dodatočnú analýzu sa opierajú o predkompilované skripty a programy automatizujúce proces zberu dôkazov prostredníctvom istých techník, ako sú procesy kopírovania bitov a generátory kontrolných súčtov, ktoré nie je možné zrealizovať v platformách a softvérových elementoch riadiaceho systému v ich prirodzenej forme tak, aby sa následne uskutočnila analýza. Na to, aby bolo možné vyhovieť špecifikáciám riadiaceho systému, musia byť v tradičných analytických nástrojoch implementované softvérové modifikácie.
• Analýza dát a korelácia: Dáta získané z kľúčových dátových úložísk (ako archív dát a rozhranie človek-stroj) a nestále dáta zozbierané z rôznych prevádzkových prístrojov (PLC, V/V zariadenia) musia vzájomne korelovať, aby sa dala vytvoriť informatívna reprezentácia incidentu, ktorú bude možné považovať za dôkaz.
Prevádzkové problémy
• Zrejmá kultúrna priepasť medzi IT špecialistami a operátormi v prevádzke: Na prvý pohľad sa zdá, že toto delenie je spôsobené rozdielnymi cieľmi komunity v oblasti priemyselného riadenia (dostupnosť, spoľahlivosť, bezpečnosť) a tradičnej IT bezpečnosti (dôvernosť, integrita, dostupnosť).
• Absencia špecializovaných vedeckých štúdií: Je nedostatok špecializovaných vedeckých štúdií zameraných na výkon typického riadiaceho a prevádzkového vybavenia pracujúceho v bezpečnej konfigurácii s prísnymi kritériami na riadenie prístupu, silným šifrovaním a rozsiahlym záznamom udalostí.
• Správa zastaraných systémov a dostupnosť zručností na manipuláciu so staršími systémami: Používateľská komunita eviduje v súčasnosti v tejto oblasti zásadný nedostatok zručností spôsobený najmä odchodom kľúčových pracovníkov do dôchodku, pričom nová generácia inžinierov nevie so staršími systémami bežne pracovať.
• Zásadne odlišné životné cykly infraštruktúry: Komponenty tradičnej IT infraštruktúry majú limitovaný životný cyklus v porovnaní so SCADA systémami a prvkami riadenia a regulácie (typicky 5-7 rokov versus niekoľko dekád v druhom prípade).
Odporúčania
ENISA identifikovala nasledujúce kľúčové oblasti, v ktorých je možné vykonať opatrenia pre rozvoj vyšetrovacích zručností potrebných pre zvládnutie príslušného ohrozenia bezpečnosti:
Umožnenie integrácie s existujúcimi štruktúrami pre potreby hlásení a analýzy
1. Porozumieť tomu, kde hľadať dôkazy. V rámci tradičného procesu vyhodnocovania rizika je užitočné uvažovať popri možných scenároch narušenia bezpečnosti aj o tom, aké typy dôkazov a kde sa môžu nachádzať.
2. Pochopiť významu uchovávania dát. Odporúča sa overiť vplyv niektorých spôsobov vyhodnocovania metód uchovávania dát na testovacej infraštruktúre podobnej reálnemu prostrediu. Podstatné je hlavne pochopiť to, či sú so zavedením pokrokovejších funkcií zaznamenávania v porovnaní s tradičnými technikami spojené nejaké režijné náklady (ak áno, v akej výške).
3. Správa zastaraných systémov a IT rozhrania. Hoci to nemá priamu súvislosť s dodatočnou analýzou, štruktúrovaný plán správy zastaraných systémov (tam, kde je možný) zabezpečí adekvátne poznatky o starších systémoch a umožní prístup k vhodným zariadeniam na ich správu.
Systémy ochrany a konfigurácie
1. Zavedenie adekvátnej kontroly bezpečnosti s možnosťou vyhotovovania záznamu – napr. firewally a systémy detegujúce narušenie. Základným kameňom efektívneho bezpečnostného manažmentu je implementácia vhodnej a dôkladne merateľnej kontroly na kompenzovanie rizika a poskytnutie mechanizmov, ktoré budú čeliť a skúmať incidenty.
2. Návrh systémov s ochranou dôkazov. Adekvátna ochrana archívu dát je zásadná pre uchovanie forenznych dôkazov. Súčasné systémy sú schopné zaznamenávať širokú škálu udalostí, ak však dôjde k manipulácii záznamov, útočník je schopný ľahko zničiť ich obsah.
3. Umožniť zaznamenávať minimálne bežné udalosti v systéme. Väčšina súčasných riadiacich systémov a vybavenia na úrovni prevádzky sú schopné vytvárať a uchovávať množstvo informácií súvisiacich s ich prevádzkovým stavom a príbuznými udalosťami. Typy zaznamenávaných udalostí a presné formy dát sa však môžu výrazne líšiť pri jednotlivých výrobcoch.
Posúdenie kľúčových úloh a zodpovedností
1. Identifikácia nedostatkov v zručnostiach digitálneho skúmania a vyšetrovania. Je dôležité porozumieť aktuálnej úrovni (alebo nedostatku) zručností a vedomostí v odbornosti vyšetrovania u súčasného pracovného personálu.
2. Identifikácia fyzických a kybernetických rozhraní odoziev. Prehodnotenie organizačných úloh a zodpovedností zahrnutých do odozvy na incident, vrátane incidentov v prevádzke, fyzickej bezpečnosti a kyberpriestore, môže napomôcť integrovať schopnosti reakcie z hľadiska fyzickej aj virtuálnej bezpečnosti.
Sledovanie vnútrofiremnej verejnej, súkromnej a medzištátnej kooperácie
1. Koordinovaný spôsob na úrovni štátov (napr. celoeurópska spolupráca), ktorý by mohol podporiť ďalší rozvoj komunity.
2. Celospoločenská spolupráca a vzájomné si odovzdávanie skúseností môže zvýšiť šance na vytvorenie komplexného a všeobecného riešenia. Medzištátna spolupráca má však svoje riziká, pretože útoky môžu smerovať na početné ciele z celej plejády rôznych právnych systémov.
Koniec seriálu.