Decodering van de nieuwe richtlijn van het NCSC voor cloudgehoste SCADA ISMS.online

Decodering van de nieuwe richtlijnen van het NCSC voor cloud-hosted SCADA

Door John Leyden • 28 May 2024

Operationele Technologie (OT)-systemen bewaken en controleren automatisch processen en apparatuur die alles aansturen, van energiecentrales tot slimme ziekenhuizen. Storingen of storingen in OT brengen fysieke gevaren met zich mee die bij IT-systemen ontbreken. Bij het eerste hebben veiligheid, betrouwbaarheid en beschikbaarheid prioriteit.

Daarom nieuw Richtsnoeren van het Nationaal Cyber Security Centrum (NCSC). werd breed verwelkomd. Het is ontworpen om OT-organisaties te helpen bij het bepalen van de geschiktheid van verschillende cloudplatforms voor het hosten van hun SCADA-systemen (Supervisory Control and Data Acquisition).

Waarom SCADA-beveiliging belangrijk is

Beveiligingsinbreuken in OT-systemen zoals SCADA kunnen leiden tot onbeschikbaarheid van het systeem en de blootstelling van gevoelige gegevens. Hacks op industriële installaties hebben geleid tot stroomstoringen in Oekraïne, veiligheidssystemen voor gehandicapten bij a petrochemische fabrieken er kwam onbehandeld rioolwater vrij in parken en rivieren. Geen van deze aanvallen was gebaseerd op het hacken van cloudgebaseerde bedieningselementen. Maar door deze systemen naar de cloud te migreren, kunnen organisaties hun tegenstanders onbewust een andere route bieden om compromissen te sluiten.

Toch is cloudmigratie steeds meer wat OT-organisaties doen. Cloudgebaseerde SCADA-controles bieden verschillende voordelen, waaronder schaalbaarheid om aan veranderende behoeften te voldoen, gecentraliseerde authenticatie voor verbeterde beveiliging, DDoS-bescherming tegen minder geavanceerde denial-of-service-aanvallen en lagere initiële kosten.

Een voorlopig welkom

Dit is waar de richtlijnen van het NCSC om de hoek komen kijken. Ze leggen de nadruk op een op risico's gebaseerde aanpak, waarbij de unieke beveiligingsbehoeften en oude beperkingen van verschillende organisaties worden erkend. Het advies schetst mogelijkheden variërend van een eenvoudige stand-by/recovery-installatie voor het koppelen van bestaande applicaties aan nieuwe systemen die in de cloud draaien, tot het volledig vervangen van die bestaande applicaties door cloudgebaseerde alternatieven. Daarmee biedt het op hoog niveau een overzicht van wat er moet gebeuren om een cloud- of SaaS-oplossing veilig te gebruiken.

Onafhankelijke beveiligingsexperts die door ISMS.online werden ondervraagd, prezen de richtlijnen voor het aanbieden van een nuttige routekaart, terwijl ze betoogden dat verdere details over specifieke beveiligingsmaatregelen het raamwerk zouden kunnen versterken.

“Het zou nuttig zijn om de best practices op het gebied van beveiligingsarchitectuur uit te breiden”, vertelt CEO van APIContext, Mayur Upadhyaya, aan ISMS.online. “Dit kan onder meer begeleiding zijn bij netwerksegmentatiestrategieën die op maat zijn gemaakt voor SCADA-systemen, samen met robuuste identiteits- en toegangsbeheerprotocollen (IAM) die speciaal zijn ontworpen voor deze kritische controleomgevingen.”

Upadhyaya voegt hieraan toe: “Bovendien zou een meer gedetailleerde analyse van het cyberdreigingslandschap dat specifiek is voor cloud-gebaseerde SCADA de risicobeoordelingen kunnen verfijnen en mitigatiestrategieën kunnen onderbouwen.”

Operationele risico's

Het verplaatsen van op SCADA gebaseerde applicaties naar de cloud belooft de infrastructuur eenvoudiger te beheren te maken, terwijl de overhead voor interne IT-teams wordt verminderd. Maar dit moet worden gezien naast de risico's op het gebied van veiligheid en operationeel beheer. Deze omvatten een verhoogd risico op datalekken, ongeautoriseerde toegang, misbruik van kwetsbaarheden en denial-of-service-aanvallen, aldus Pat Gillespie, hoofd OT-beveiliging van GuidePoint Security.

“Cloudoplossingen zullen latentie toevoegen bij de toegang tot applicaties, databases en services”, vertelt hij aan ISMS.online. Dit is een groot probleem omdat SCADA-besturingen en industriële toepassingen afhankelijk zijn van realtime gegevens.

Omdat veiligheid en beschikbaarheid de hoogste prioriteiten zijn voor elk SCADA-systeem, zullen ongeplande storingen in de cloudoplossing, de lokale ISP of een ISP daartussenin ervoor zorgen dat deze veiligheidssystemen falen.

Volgens Gillespie kunnen sommige risico's op zijn minst worden beperkt of beheerd.

"Er zijn gebruiksscenario's waarbij het hebben van SCADA-gegevens in de cloud bedrijven kan helpen betere beslissingen te nemen door SCADA-besturingselementen, IIoT-apparaten of industriële toepassingen gegevens naar de cloud te laten pushen voor data-analyse", legt hij uit. “In het geval van hoge latentie of een storing moeten de SCADA-controles echter hun processen en functies kunnen uitvoeren om de veiligheid en beschikbaarheid te garanderen.”

Andere opties zijn onder meer AWS Outpost, waar organisaties een AWS-instantie kunnen hosten op een lokale faciliteit, voegt Gillespie toe.

Een veilig migratiepad

“Organisaties moeten voorzichtig zijn, hoewel ze hun huidige on-premise problemen niet alleen naar de cloud verplaatsen. Ze moeten even op adem komen en ervoor zorgen dat ze het nieuwe bedrijfsmodel volledig omarmen”, vertelt Qualys EMEA MD, Mat Middleton-Leal aan ISMS.online.

Een aantal uitdagingen die inherent zijn aan de cloudgebaseerde migraties van OT-controles zouden ook onoplettende mensen kunnen doen struikelen, voegt Chris Doman, CTO Security CTO, toe.

“Ten eerste verschilt cloudexpertise van SCADA-expertise, dus er is een gezamenlijke aanpak nodig”, vertelt hij aan ISMS.online. “Ten tweede integreren oudere SCADA-systemen mogelijk niet naadloos met cloud-native oplossingen. Ten slotte kan het implementeren van gedetailleerde toegangscontroles lastig zijn in oudere omgevingen.”

Traditionele SCADA-systemen worden bijvoorbeeld doorgaans op locatie uitgevoerd en beschermd met technieken als interne firewalls en air-gapping. Naarmate deze systemen naar de cloud verhuizen, moeten ze vanaf het begin worden geïmplementeerd met volledige cloud-native beveiligingsmodellen.

“Dit kan problematisch zijn wanneer deze applicaties en systemen hebben gedraaid in omgevingen die niet dezelfde beveiligingsmodellen vereisen als rond cloudimplementaties”, legt Middleton-Leal van Qualys uit.

Een gedeelde verantwoordelijkheid

Het verplaatsen van kritieke infrastructuur naar de cloud vereist ook een zorgvuldige planning vanwege het gedeelde verantwoordelijkheidsmodel tussen cloudaanbieders en klanten. Terwijl de cloudprovider de infrastructuur beveiligt, zijn klanten verantwoordelijk voor de gegevensbeveiliging en -configuratie.

Het beveiligen van kritieke infrastructuur in de cloud vereist een veelzijdige aanpak, aldus Doman van Cado Security.

Samenwerking tussen cloudproviders, overheidsinstanties en exploitanten van kritieke infrastructuur, investeringen in cloudexpertise binnen organisaties met kritieke infrastructuur en modernisering van oudere SCADA-systemen om de integratie met cloudoplossingen te verbeteren zijn allemaal nodig, betoogt hij.

Normen bijhouden

ISO-normen zoals ISO 27001 (Information Security Management) en IEC 62443 (Security for Industrial Automation and Control Systems) bieden waardevolle raamwerken voor het beheren van OT-risico's in de cloud, aldus Upadhyaya van APIContext.

“Deze standaarden bieden een gestructureerde benadering van beveiliging en schetsen richtlijnen voor het opzetten en onderhouden van een robuust beveiligingsbeheersysteem”, legt Upadhyaya uit.

“Dit omvat risicobeoordelings- en mitigatiestrategieën die specifiek aanpasbaar zijn voor zowel cloud- als OT-omgevingen. Organisaties moeten echter onthouden dat ISO-normen aanpasbare raamwerken bieden, en geen one-size-fits-all oplossing.”

Het succes van organisaties bij het veilig migreren van hun SCADA-oplossingen naar de cloud kan heel goed afhangen van hun vermogen om dergelijke richtlijnen aan te passen aan hun unieke eisen.

John Leiden

John Leyden schrijft al meer dan twintig jaar over computernetwerken en cyberbeveiliging. Vóór de komst van internet werkte hij als misdaadverslaggever bij een plaatselijke krant in Manchester. John heeft een diploma in elektronica behaald aan City, University of London.

Lees meer van John Leyden

Data Privacy 22 augustus 2024

bedrijven worden aangespoord om de 'snel evoluerende' ai-regelgeving te volgen

Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Kunstmatige intelligentie (AI) transformeert de informatietechnologiesector in een duizelingwekkend tempo. AI heeft toepassingen getransformeerd, waaronder data...

John Leiden

Cyber security 20 juni 2024

waarom leveranciers moeite kunnen hebben om het ‘secure by design’-momentumbanner in stand te houden

Waarom leveranciers moeite kunnen hebben om het ‘Secure by Design’-momentum te behouden

Tientallen technologieleveranciers hebben zich aangesloten bij de door de Amerikaanse overheid gesteunde Secure by Design-belofte. Maar zal deze belofte een breuk met het verleden betekenen?

John Leiden

Cyber security 9 april 2024

Hoe u kunt blijven voldoen aan de regelgeving op het gebied van biometrische gegevens

Gezichtsherkenningstechnologie op basis van AI is een steeds populairder hulpmiddel voor organisaties die de toegangscontrole willen stroomlijnen en de beveiliging willen verbeteren.

John Leiden