CISA и няколко други западни агенции за сигурност публикуваха насоки, които помагат на собствениците и операторите на оперативни технологии (ОТ) да избират сигурни продукти.
Агенциите автори предупреждават, че заплахите се насочват към конкретни продукти за ОТ, а не към конкретни организации, като посочват, че уязвимите продукти за ОТ могат да предоставят на нападателите достъп до системите на множество жертви в различни сектори на критичната инфраструктура.
„Много OT продукти не са проектирани и разработени с принципите на Secure by Design и обикновено имат слабости, като например слаба автентификация, известни софтуерни уязвимости, ограничено регистриране, несигурни настройки и пароли по подразбиране и несигурни наследени протоколи. Участниците в киберзаплахи могат лесно да използват тези слабости при множество жертви, за да получат достъп до системите за управление“, заявиха агенциите.
Те посъветваха собствениците и операторите на ОТ да се снабдяват с продукти от производители, които приоритизират серия от 12 елемента на сигурността.
Елементите за сигурност, които купувачите трябва да търсят, са управление на конфигурацията, регистриране в базовия продукт, отворени стандарти, собственост, защита на данните, сигурност по подразбиране, сигурни комуникации, сигурни контроли, силно удостоверяване, моделиране на заплахите, управление на уязвимостите и инструменти за обновяване и поправки. Трябва да се отбележи, че те не са изброени по реда на техния приоритет.
За всеки от тези елементи ръководството предоставя кратко описание на критериите за избор и въпросите, които трябва да се зададат, преди да се придобие даден продукт.
Например продукт, който регистрира всички действия, използвайки стандартни формати, улеснява защитниците на ОТ мрежи да събират доказателства за прониквания. Потенциалните купувачи трябва да задават въпроси за това дали продуктът регистрира рестартиране, влизане в системата или промени, дали предоставя телеметрия и регистри, които помагат за прогнозиране и предотвратяване на срив в процеса, и дали събитията, свързани със сигурността и безопасността, се регистрират по подразбиране. Що се отнася до собствеността, клиентите трябва да имат пълна автономия върху продукта, включително върху промените и поддръжката, за да могат да реагират бързо на инциденти и да се възстановят.
По отношение на защитата на данните продуктът за ОТ трябва да гарантира целостта и поверителността на данните, услугите и функциите.
„Данните за ОТ рядко се променят и са ценни за заплахите, които се опитват да разберат системата. Разбирането на оперативните данни често е необходимо, за да се заобиколят проверките за безопасност и да се причини трайна вреда“, обясняват агенциите в своите насоки.
Сигурност по подразбиране означава, че продуктът е сигурен и устойчив срещу преобладаващите заплахи и уязвимости още в кутията, без да изисква промени в конфигурацията.
Що се отнася до безопасните контроли, продуктите трябва да разполагат с механизми за защита срещу злонамерени команди – като се работи при предположението, че в мрежата, в която е внедрен продуктът, има участник, който представлява заплаха.
Индустриалните системи за управление (ICS) и други продукти за ОТ също трябва да разполагат с подробен модел на заплахите, който позволява на собствениците на активи да разберат рисковете, свързани с продукта, и да определят приоритетите за контрол на сигурността.
Ръководството е написано от агенции за сигурност в САЩ, Австралия, Канада, Германия, Нидерландия, Нова Зеландия и Обединеното кралство, както и от агенция на Европейската комисия. Документът е достъпен в PDF формат на англ. ез.
