New automation standards tackle cybersecurity threats
Bài được đưa lên Internet ngày: 02/06/2011
Sự tồn tại của Stuxnet đã nhắc nhở các cơ quan tiêu chuẩn trên thế giới phát triển các chương trình chứng chỉ nghiêm ngặt hơn.
The advent of Stuxnet has prompted standards bodies around the world to develop much tougher certification programmes.
Lời người dịch: Cuộc tấn công bằng Stuxnet đã đặt ra nhu cầu khẩn thiết phải cập nhật các tiêu chuẩn về an ninh không gian mạng cho các hệ thống kiểm soát công nghiệp trên toàn cầu. Trong khi các tiêu chuẩn ANSI/ISA99 còn đang trong giai đoạn phân tích xử lý kỹ thuật mà “Những khả năng của Stuxnet đang được ghi chép tốt thành tài liệu trong giới báo chí, và một số những khả năng này có thể chuyển thành những mối đe dọa mới. Trong tương lai, các hệ thống tự động hóa phải có khả năng dò tìm được và hoặc khóa được hoặc có khả năng phục hồi được từ những mối đe dọa tiên tiến như Stuxnet” hoặc một loạt các tiêu chuẩn an ninh tự động hóa công nghiệp IEC 62443 (đôi khi thường được gọi là các hệ thống kiểm soát giám sát và thu thập dữ liệu - SCADA) mà “Vài năm tới, những tiêu chuẩn này sẽ trở thành các tiêu chuẩn quốc tế cốt lõi cho việc bảo vệ các hạ tầng công nghiệp sống còn mà chúng trực tiếp ảnh hưởng tới an toàn, sức khỏe, và môi trường của con người; và, có thể sẽ được mở rộng cho những lĩnh vực ứng dụng khác, thậm chí rộng lớn hơn so với những lĩnh vực thường được dán nhãn SCADA”; thì cũng đã có các nhóm khác đưa ra những tiêu chuẩn nhóm cho các sản phẩm của các nhà cung cấp trong nhóm như Hiệp hội Người sử dụng Công cụ Quốc tế (WIB), một tổ chức cung cấp các dịch vụ đánh giá và định giá các trang thiết bị xử lý cho hơn 25 thành viên là những người sử dụng đầu cuối của nó, đã công bố phiên bản 2 của Những yêu cầu về An ninh Lĩnh vực Kiểm soát Xử lý cho các Nhà cung cấp – tiêu chuẩn quốc tế đầu tiên phác thảo một tập hợp các yêu cầu đặc biệt tập trung vào những thực tiễn tốt nhất về an ninh KGM cho các nhà cung cấp các hệ thống tự động hóa và kiểm soát công nghiệp.
Sự nổi lên của sâu Stuxnet mùa hè năm ngoái đã ép các công ty xử lý làm tăng gấp đôi những nỗ lực của họ về an ninh không gian mạng (KGM). Nó cũng đã kích động nhiều hoạt động từ một loạt các cơ quan tiêu chuẩn hóa.
Ví dụ, hôm 03/03, tổ chức Xã hội Tự động hóa Quốc tế ISA đã công bố rằng ủy ban tiêu chuẩn ISA99 về An ninh Các hệ thống Tự động hóa và Kiểm soát Công nghiệp đã thành lập một nhóm đặc nhiệm để 'tiến hành một phân tích khe hở của các tiêu chuẩn ANSI/ISA99 hiện hành với mong đợi nhanh chóng tiến hóa bức tranh đối với mối đe dọa này'.
Điều này ban đầu có nghĩa là Stuxnet, mà nó đã được nhằm chủ yếu vào các trình kiểm soát logic có thể lập trình được (PLC) của Siemens (Hình 1).
Mục tiêu của phân tích này để xác định liệu các công ty tuân theo các tiêu chuẩn ISA99 có được bảo vệ khỏi các cuộc tấn công tinh vi phức tạp như vậy không và để xác định những thay đổi cần thiết, nếu có, đối với các tiêu chuẩn đang được phát triển bởi ủy ban ISA99. Nhóm tác nghiệp mới này mong đợi sẽ đưa ra một báo cáo kỹ thuật tóm tắt các kết quả phân tích của họ vào giữa năm 2011.
Theo ISA, Stuxnet là phần mềm độc hại nổi tiếng đầu tiên được viết đặc chủng với ý định gây tổn thương cho một hệ thống kiểm soát và phá hoại một qui trình công nghiệp.
“Những khả năng của Stuxnet đang được ghi chép tốt thành tài liệu trong giới báo chí, và một số những khả năng này có thể chuyển thành những mối đe dọa mới. Trong tương lai, các hệ thống tự động hóa phải có khả năng dò tìm được và hoặc khóa được hoặc có khả năng phục hồi được từ những mối đe dọa tiên tiến như Stuxnet”, tổ chức này nói.
The emergence of the Stuxnet worm last summer has forced process companies to redouble their cybersecurity efforts. It has also provoked a lot of activity from various standards authorities.
On 3 March, for example, the International Society of Automation (ISA) announced that the ISA99 standards committee on Industrial Automation and Control Systems Security has formed a task group tasked to 'conduct a gap analysis of the current ANSI/ISA99 standards with respect to the rapidly evolving threat landscape'.
This primarily means Stuxnet, which was targeted mainly at Siemens programmable logic controllers (Fig.1).
The purpose of the analysis to determine if companies following the ISA99 standards would have been protected from such sophisticated attacks and to identify changes needed, if any, to the standards being developed by the ISA99 committee. The new task group intends to produce a technical report summarising the results of its analysis by mid-2011.
According to the ISA, Stuxnet is the first known malware to have been specifically written with the intent to compromise a control system and sabotage an industrial process.
"Stuxnet's capabilities are being well documented in the press, and some of these capabilities may migrate into new threats. Going forward, automation systems must be able to detect and either block or be able to recover from advanced Stuxnet-like threats," says the organisation.
Các tiêu chuẩn ANSI/ISA99 giải quyết vấn đề sống còn về an ninh KGM cho sự tự động hóa công nghiệp và các hệ thống kiểm soát. Các tiêu chuẩn mô tả các khái nhiệm và mô hình cơ bản có liên quan tới an ninh KGM, cũng như các yếu tố chứa đựng trong một hệ thống quản lý an ninh KGM để sử dụng trong môi trường các hệ thống kiểm soát và tự động hóa công nghiệp. Họ cũng đưa ra chỉ dẫn về cách để đáp ứng được những yêu cầu được mô tả cho từng yếu tố.
Các tiêu chuẩn này tạo nên các tài liệu cơ sở cho một loạt các tiêu chuẩn an ninh tự động hóa công nghiệp IEC 62443 (đôi khi thường được gọi là các hệ thống kiểm soát giám sát và thu thập dữ liệu - SCADA). Vài năm tới, những tiêu chuẩn này sẽ trở thành các tiêu chuẩn quốc tế cốt lõi cho việc bảo vệ các hạ tầng công nghiệp sống còn mà chúng trực tiếp ảnh hưởng tới an toàn, sức khỏe, và môi trường của con người; và, có thể sẽ được mở rộng cho những lĩnh vực ứng dụng khác, thậm chí rộng lớn hơn so với những lĩnh vực thường được dán nhãn SCADA.
“Dựa vào điều này, là cơ bản để các công ty công nghiệp tuân theo các tiêu chuẩn IEC62443 biết được họ sẽ có khả năng dừng được Stuxnet tiếp theo. Công việc của nhóm đặc nhiệm mới ISA99 này sẽ có một ảnh hưởng đáng kể lên việc đảm bảo cho các cơ sở tự động hóa là an ninh an toàn trong tương lai”, ISA bổ sung.
Trong một phát triển khác, Hiệp hội Người sử dụng Công cụ Quốc tế (WIB), một tổ chức cung cấp các dịch vụ đánh giá và định giá các trang thiết bị xử lý cho hơn 25 thành viên là những người sử dụng đầu cuối của nó, đã công bố phiên bản 2 của Những yêu cầu về An ninh Lĩnh vực Kiểm soát Xử lý cho các Nhà cung cấp – tiêu chuẩn quốc tế đầu tiên phác thảo một tập hợp các yêu cầu đặc biệt tập trung vào những thực tiễn tốt nhất về an ninh KGM cho các nhà cung cấp các hệ thống tự động hóa và kiểm soát công nghiệp.
The ANSI/ISA99 standards address the vital issue of cybersecurity for industrial automation and control systems. The standards describe the basic concepts and models related to cybersecurity, as well as the elements contained in a cybersecurity management system for use in the industrial automation and control systems environment. They also provide guidance on how to meet the requirements described for each element.
The standards form the base documents for the IEC 62443 series of industrial automation (sometimes generically labelled supervisory control and data acquisition, or Scada) security standards. Over the next few years, these standards will become core international standards for protecting critical industrial infrastructures that directly impact human safety, health, and the environment; and, likely will be extended to other areas of application, even broader than those generically labelled Scada.
"Based on this, it is essential that industrial companies following IEC62443 standards know they will be able to stop the next Stuxnet. The work of the new ISA99 task group will have a significant impact on ensuring that automation facilities are secure in the future," adds the ISA.
In another development, the International Instrument Users Association (WIB), an organisation that provides process instrumentation evaluation and assessment services for its over 25 end-user members, has announced version 2 of Process Control Domain Security Requirements For Vendors - the first international standard that outlines a set of specific requirements focusing on cybersecurity best practices for suppliers of industrial automation and control systems.
“Chúng tôi vui mừng tuyên bố hôm nay phiên bản 2 của tiêu chuẩn an ninh KGM của chúng tôi”, Alex van Delft, chủ tịch của WIB và người quản lý năng lực tại DSM, nói. “Đây là một bước quan trọng trong tiến trình đang diễn ra để cải thiện độ tin cậy của các hệ thống sản xuất và chế tạo sống còn của chúng tôi và cung cấp cho những người sử dụng đầu cuối khả năng bây giờ để giao tiếp với những mong đợi của họ về an ninh của các hệ thống an toàn và kiểm soát, tự động hóa”.
Với các mạng công nghiệp đang ngày càng được kết iối với thế giới công nghệ thông tin thù địch, và tần suất và sự tinh vi phức tạp của các phần mềm độc hại ngày một gia tăng đáng kể, thì các nhà đầu tư công nghiệp phải hành động hôm nay để bảo vệ các hệ thống sống còn của họ. Dù là một cuộc tấn công có mục đích như Stuxnet, hay một sự phá huỷ ngẫu nhiên nào, thì một vụ việc đơn nhất về KGM có thể làm mất hàng triệu USD vì mất doanh số, gây nguy hiểm cho nhân viên và an toàn của công chúng và phá huỷ một cách tiềm tàng hạ tầng sống còn quốc gia, WIB cảnh báo.
“Các hệ thống sản xuất ngày càng được kết nối mạng đang đối mặt với mối đe dọa ngày một gia tăng trên cơ sở hàng ngày và chúng ta phải làm tất cả những gì có thể để đảm bảo an toàn an ninh cho môi trường vận hành”, Peter Kwaspen, giám đốc phát triển và chiến lược, các hệ thống kiểm soát và tự động hóa tại Shell Projects & Technology, nói. “Tài liệu này đưa ra ngôn ngữ chung mà chúng ta cần để giao tiếp những mong đợi của chúng ta xung quanh an ninh cho các nhà cung cấp và khung công việc của chúng ta để làm việc cùng nhau giúp cải thiện toàn bộ bức tranh về an ninh cho các hệ thống sống còn của chúng ta”.
"We are pleased to announce today the second version of our cybersecurity standard," said Alex van Delft, competence manager process control at DSM and chairman of the WIB. "This is an important step in the ongoing process to improve the reliability of our critical manufacturing and production systems and provides end-users the ability to now communicate their expectations about the security of process automation, control and safety systems."
With industrial networks being increasingly connected to the hostile IT world, and the frequency and sophistication of malware growing exponentially, industrial stakeholders must act today to protect their critical systems. Whether it is a targeted attack like Stuxnet, or an accidental disruption, a single cyber incident can cost millions of Dollars in lost revenue, jeopardise employee and public safety and potentially disrupt national critical infrastructure, warns the WIB.
"Our increasingly connected production systems are facing a growing threat on a daily basis and we must do all we can to ensure a safe and secure operational environment," said Peter Kwaspen, strategy & development manager, EMEA control & automation systems at Shell Projects & Technology. "This document provides the common language we need to communicate our expectations around security to our suppliers and the framework to work together to help improve the overall security posture for our critical systems."
Được dẫn dắt bởi các công ty như Shell, BP, Saudi Aramco, Dow, DuPont, Laborelec, Wintershall cũng như các nhà cung cấp hàng đầu như Invensys và Sensus và nhiều cơ quan chính phủ, nhóm này đã bỏ ra 2 năm phát triển và thí điểm chương trình và rà soát lại những yêu cầu được đưa vào trong phiên bản mới.
“Các yêu cầu an ninh được phác thảo tro tài liệu này đã đi qua một năm bình luận/rà soát lại từ hơn 50 nhà đầu tư trên toàn cầu và đã được trải nghiệm qua một chương trình chứng thực thí điểm nghiêm ngặt trong vòng 8 tháng qua”, Jos Menting, nhà tư vấn về an ninh KGM của Nhóm GDF Suez, nói. “Chúng ta bây giờ tới một tiêu chuẩn chức năng an ninh KGM thực sự dựa trên những nhu cầu của người sử dụng đầu cuối và bây giờ nó phụ thuộc vào chúng ta, người sử dụng đầu cuối, để tận dụng được ưu thế nỗ lực này và khẳng định rằng các nhà thầu của chúng ta được chứng thực”.
Các thành viên của nhóm làm việc về an ninh các nhà máy của WIB đã bắt đầu rồi việc triển khai những yêu cầu trong các quá trình mua sắm của họ và những người khác trên thế giới cũng đang chú ý tới lời gọi này.
“Shell đã bắt buộc tuân thủ tiêu chuẩn của WIB cho tất cả các nhà cung cấp các hệ thống sẽ được triển khai trong môi trường kiểm soát qui trình của Shell bắt đầu từ ngày 01/01/2011”, Ted Angevaare, người đứng đầu đội các hệ thống tự động và kiểm soát của EMEA, nói. “Những yêu cầu này sẽ trở thành một phần tiêu chuẩn về ngôn ngữ mua sắm tiết kiệm cho chúng tôi một số thời gian và nỗ lực đáng kể”.
Các nhà cung cấp các hệ thống kiểm soát và tự động hóa xử lý công nghiệp hàng đầu cũng đang bắt đầu quá trình tích hợp các yêu cầu vào các tổ chức của họ.
Lead by companies such as Shell, BP, Saudi Aramco, Dow, DuPont, Laborelec, Wintershall as well as leading vendors such as Invensys and Sensus and multiple government agencies, the group spent two years developing and piloting the programme and revising the requirements which culminated in the new version.
"The security requirements outlined in the document went through a year of comments/revisions from over 50 global stakeholders and were subjected to a thorough pilot certification programme over the last eight months," said Jos Menting, cybersecurity advisor GDF Suez Group. "We've now come to a truly functional cybersecurity standard based on the needs of end-users and it is now up to us, the end-user, to take advantage of this effort and insist that our vendors are certified."
Members of the WIB plant security working group have already started implementing the requirements into their procurement processes and others around the world are heeding the call, too.
"Shell has mandated conformance to the WIB standard for all vendors supplying systems to be deployed in Shell's process control environment starting 1 January 2011," said Ted Angevaare, EMEA control & automation systems team leader. "These requirements will become a standard part of the procurement language saving us a significant amount of time and effort."
Leading suppliers of industrial process control and automation systems are also starting the process of integrating the requirements into their organisations.
“Việc áp dụng các yêu cầu an ninh của WIB đảm bảo rằng Invensys có một tập hợp các thực tiễn định lượng được sẵn sàng làm tăng cường cho một hạ tầng sống còn an ninh và an toàn hơn. Không chỉ thực hiện được các yêu cầu cung cấp các biện pháp cho tình trạng hiện hành, mà chúng còn cho phép chúng ta tiếp tục cải tiến và thích nghi được với bức tranh an ninh thay đổi chưa từng thấy”, Ernie Rakaczky, quản lý chương trình về an ninh các hệ thống kiểm soát tại Invensys Operations Management, nói. “Từ quan điểm của chúng tôi, chương trình này là một động thái chính, không chỉ tập trung vào các chiến thuật, mà còn là một sự chuyển dịch đặt vào trong các yếu tố chiến lược để giải quyết sự thay đổi hoạt động”.
Tiêu chuẩn của WIB được thiết kế để phù hợp được với các nhu cầu của người sử dụng đầu cuối - chủ nhân/người vận hành các hệ thống - và phản ánh những yêu cầu độc nhaats cho các nền công nghiệp như hóa dầu, năng lượng bao gồm cả lưới thông minh, giao thông, dược và hóa và các lĩnh vực khác. Mục tiêu là để giải quyết những thực tiễn tốt nhất về an ninh KGM và phân bổ trách nhiệm ở các giai đoạn khác nhau trong vòng đời hệ thống công nghiệp: các thực tiễn về tổ chức, phát triển sản phẩm, kiểm thử và ủy thác và duy trì và hỗ trợ.
“An ninh không phải là một ứng dụng một lần mà là một quá trình trong đó mọi nhà đầu tư phải đóng góp để đạt được bất kỳ sự cải tiến đáng kể nào trong sự ổn định hoạt động”, Auke Huistra, quản lý dự án tại Hạ tầng Quốc gia chống lại Tội phạm KGM (NICC). “Các yêu cầu của WIB được thiết kế vói nguyên tắc này trong nhân của nó và chúng tôi đang khuyến khích các nhà đầu tư hạ tầng sống còn tại Hà Lan tích hợp các yêu cầu vào trong các kế hoạch an ninh KGM của họ”.
Các yêu cầu cũng đã được xây dựng để giải quyết một dải rộng lớn các chủ đề an ninh KGM phù hợp cho các nhà đầu tư công nghiệp; từ những yêu cầu mức độ cao cho các chính sách, các thủ tục, và sự quản lý về an ninh nội bộ của các nhà cung cấp đối với những yêu cầu đặc thù có liên quan tới sự truy cập/xác định danh tính, bảo vệ dữ liệu, bảo vệ mật khẩu mặc định và quản lý các bản vá.
Khi một giải pháp của nhà cung cấp tuân thủ với tập hợp các yêu cầu này, thì giải pháp đó được xem xét bởi WIB sẽ được xử lý an ninh lĩnh vực kiểm soát tương thích được. Các yêu cầu được chia tách xa hơn thành 3 mức được thiết kế để phản ánh một loạt các điểm khởi đầu của các nhà cung cấp toàn cầu và đưa ra được một khung có khả năng mở rộng về phạm vi để lên kế hoạch cho những cải tiến theo thời gian. Trong chương trình này, có các mức vàng, bạc và đồng, mỗi mức có một tập hợp các yêu cầu được thiết kế cho một loạt các chính sách và thực tiễn có thể áp dụng được ngay tại chỗ, được xúc tác và được trải nghiệm với nhà cung cấp.
"Adopting the WIB's security requirements ensures that Invensys has a set of measurable practices in place that enforce a safer and more secure critical infrastructure. Not only do the requirements provide current-state measures, they allow us to continue to improve and adapt to the ever-changing security landscape." said Ernie Rakaczky, programme manager for control systems cybersecurity at Invensys Operations Management "From our perspective, this programme is a major shift, not only focusing on tactics, but one that puts into place strategic elements that address operational change."
The WIB standard is designed to fit the needs of the end-user - the system owner/operator - and reflects the unique requirements for industries like petrochemical, energy including smart grid, transportation, pharmaceutical, and chemical among others. The goal was to address cybersecurity best practices and allocate responsibility at the various stages of the industrial system lifecycle: organisational practices, product development, testing and commissioning and maintenance and support.
"Security is not a one-time application but rather a process in which every stakeholder must contribute in order to achieve any significant improvement in operational reliability," said Auke Huistra, project manager at National Infrastructure against Cyber Crime (NICC). "The WIB requirements are designed with this principle at its core and we are encouraging critical infrastructure stakeholders in The Netherlands to integrate the requirements into their cybersecurity plans."
The requirements were also constructed to address a broad range of cybersecurity topics relevant to industrial stakeholders; from high-level requirements for vendors' internal security policies, procedures, and governance, to specific requirements concerning access/authentication, data protection, default password protection and patch management.
When a vendor's solution complies with this set of requirements, the solution is considered by the WIB to be process control domain security compatible. The requirements are further broken down into three levels designed to reflect various starting points of global suppliers and provide a scalable framework to plan improvements over time. In the programme, there are gold, silver and bronze levels, each consisting of a set requirements designed to verify applicable policies and practices are in place, enabled and practiced by the vendor
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.