Управление рисками и оценка промышленных систем управления
Организации ежедневно управляют рисками для достижения своих бизнес-целей. Эти риски могут включать финансовый риск, риск отказа оборудования и риск безопасности персонала, и это лишь некоторые из них. Организации должны разрабатывать процессы для оценки рисков, связанных с их бизнесом, и решать, как с ними бороться, на основе организационных приоритетов и как внутренних, так и внешних ограничений. Это управление рисками осуществляется как интерактивный, непрерывный процесс в рамках обычных операций. Организации, использующие промышленные системы управления, исторически управляли рисками с помощью передовой практики в области безопасности и проектирования. Оценки безопасности хорошо зарекомендовали себя в большинстве секторов и часто включены в нормативные требования. Управление рисками информационной безопасности является дополнительным измерением, которое может быть дополнительным. Процесс и структура управления рисками, описанные в этом разделе, могут применяться к любой оценке риска, включая как безопасность, так и информационную безопасность.
Процесс управления рисками должен применяться во всей организации с использованием трехуровневого подхода для решения проблем риска на (i) уровне организации; (ii) уровне миссии/бизнес-процесса; и (iii) уровне информационной системы (ИТ и промышленные системы управления). Процесс управления рисками осуществляется плавно на всех трех уровнях с общей целью постоянного улучшения деятельности организации, связанной с рисками, и эффективной межуровневой и внутриуровневой коммуникации между всеми заинтересованными сторонами, имеющими общий интерес в успехе миссии/бизнеса организации.
В этом разделе основное внимание уделяется соображениям промышленных систем управления на уровне информационной системы, однако важно отметить, что действия по управлению рисками, информация и артефакты на каждом уровне влияют и информируют другие уровни. Раздел 6 расширяет представленные здесь концепции до уровня семейства элементов управления и предоставляет рекомендации, специфичные для промышленных систем управления, для расширения семейств элементов управления безопасностью. В ходе последующего обсуждения управления рисками будут подчеркиваться соображения промышленных систем управления и обсуждаться влияние, которое эти соображения оказывают на процесс управления рисками.
Для получения дополнительной информации о многоуровневом управлении рисками и процессе управления рисками см. Специальную публикацию NIST 800-39, Управление рисками информационной безопасности: Организация, миссия и представление информационной системы [20]. Специальная публикация NIST 800-37, редакция 1, Руководство по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности [21], содержит рекомендации по применению структуры управления рисками к федеральным информационным системам, включая проведение мероприятий по категоризации безопасности,4 выбору и внедрению контроля безопасности, оценке контроля безопасности, авторизации информационной системы5 и мониторингу контроля безопасности.
Специальная публикация NIST 800-30, Руководство по проведению оценок рисков, содержит пошаговый процесс для организаций по следующим вопросам: (i) как подготовиться к оценке рисков; (ii) как проводить оценки рисков; (iii) как сообщать результаты оценки рисков ключевому персоналу организации; и (iv) как поддерживать оценки рисков с течением времени [79].
Введение в процесс управления рисками промышленных систем управления
Процесс управления рисками состоит из четырех компонентов: формирование, оценка, реагирование и мониторинг. Эти действия взаимозависимы и часто происходят одновременно в организации. Например, результаты компонента мониторинга будут использоваться в компоненте формирования. Поскольку среда, в которой работают организации, постоянно меняется, управление рисками должно быть непрерывным процессом, в котором все компоненты имеют постоянную деятельность. Важно помнить, что эти компоненты применяются к управлению любым риском, будь то информационная безопасность, физическая безопасность, безопасность или финансы. Компонент фрейминга должен включать обзор существующей документации, такой как предыдущие оценки рисков. Могут быть сопутствующие виды деятельности, такие как планирование управления стихийными бедствиями в масштабах всего сообщества, которые также следует учитывать, поскольку они влияют на требования, которые должна учитывать оценка риска.
Рекомендации и руководства, специфичные для промышленных систем управления
Для операторов ICS безопасность является основным фактором, который напрямую влияет на решения о том, как системы проектируются и эксплуатируются. Безопасность можно определить как «отсутствие условий, которые могут привести к смерти, травмам, профессиональным заболеваниям, повреждению или потере оборудования или имущества или нанесению ущерба окружающей среде».6 Частью компонента фрейминга для организации промышленных систем управления является определение того, как эти требования взаимодействуют с информационной безопасностью. Например, если требования безопасности противоречат хорошей практике безопасности, как организация выберет между двумя приоритетами?
Большинство операторов промышленных систем управления ответили бы, что безопасность является основным фактором — компонент фрейминга делает такие предположения явными, чтобы было согласие на протяжении всего процесса и организации. Еще одной важной проблемой для операторов промышленных систем управления является доступность услуг, предоставляемых ICS.
Промышленные системы управления могут быть частью критической инфраструктуры (например, системы водоснабжения или электроснабжения), где существует значительная потребность в непрерывной и надежной работе. В результате промышленные системы управления могут иметь строгие требования к доступности или восстановлению. Такие предположения должны быть разработаны и указаны в компоненте фрейминга. В противном случае организация может принять решения о рисках, которые приведут к непреднамеренным последствиям для тех, кто зависит от предоставляемых услуг. Физическая операционная среда — это еще один аспект определения рисков, который организации должны учитывать при работе с промышленными системами управления.
Промышленные системы управления часто предъявляют особые требования к окружающей среде (например, производственный процесс может требовать точной температуры) или они могут быть привязаны к своей физической среде для операций. Такие требования и ограничения должны быть явно указаны в компоненте определения, чтобы риски, возникающие из этих ограничений, могли быть идентифицированы и рассмотрены.
Компонент реагирования основан на концепции последовательного общеорганизационного ответа на выявление риска. Реагирование на выявление риска (в отличие от реагирования на инцидент) требует, чтобы организации сначала определили возможные курсы действий для устранения риска, оценили эти возможности в свете толерантности организации к риску и других соображений, определенных на этапе определения, и выбрали лучшую альтернативу для организации. Компонент реагирования включает реализацию выбранного курса действий для устранения выявленного риска: принятие, избегание, смягчение, распределение, передача или любая комбинация этих вариантов.
Мониторинг — это четвертый компонент мероприятий по управлению рисками. Организации должны отслеживать риск на постоянной основе, включая: реализацию выбранных стратегий управления рисками; изменения в среде, которые могут повлиять на расчет риска; и эффективность и результативность мероприятий по снижению риска. Мероприятия в компоненте мониторинга влияют на все остальные компоненты.
Особые соображения по проведению оценки риска промышленных систем управления
Природа ICS означает, что когда организация проводит оценку рисков, могут быть дополнительные соображения, которые отсутствуют при проведении оценки рисков традиционной ИТ-системы. Поскольку влияние киберинцидента в промышленные системы управления может включать как физические, так и цифровые эффекты, оценки рисков должны включать эти потенциальные эффекты. В этом разделе будет представлено более глубокое изучение следующего:
Влияние на безопасность и использование оценок безопасности.
Физическое влияние киберинцидента на промышленные системы управления, включая более крупную физическую среду; влияние на контролируемый процесс и физическое влияние на саму ICS.
Последствия для оценок рисков нецифровых компонентов управления в ICS.
Безопасность в оценке рисков информационной безопасности промышленных систем управления
Культура безопасности и оценки безопасности хорошо устоялись в большинстве сообществ пользователей промышленных систем управления. Оценки рисков информационной безопасности следует рассматривать как дополнение к таким оценкам, хотя оценки могут использовать разные подходы и охватывать разные области. Оценки безопасности в первую очередь касаются физического мира. Оценки рисков информационной безопасности в первую очередь рассматривают цифровой мир. Однако в среде промышленных систем управления физическое и цифровое переплетены, и может возникнуть значительное совпадение.
Важно, чтобы организации учитывали все аспекты управления рисками для безопасности (например, определение рисков, допустимые уровни рисков), а также результаты оценки безопасности при проведении оценок рисков для информационной безопасности. Персонал, ответственный за оценку рисков информационной безопасности, должен уметь выявлять и сообщать о выявленных рисках, которые могут иметь последствия для безопасности. И наоборот, персонал, ответственный за оценку безопасности, должен быть знаком с потенциальными физическими воздействиями и их вероятностью, разработанными в процессе оценки рисков информационной безопасности.
Потенциальные физические воздействия инцидента промышленных систем управления
Оценка потенциального физического ущерба от киберинцидента должна включать:
i) как инцидент может манипулировать работой датчиков и исполнительных механизмов для воздействия на физическую среду;
ii) какие избыточные элементы управления существуют в ICS для предотвращения воздействия; и
iii) как физический инцидент может возникнуть на основе этих условий. Физическое воздействие может негативно повлиять на окружающий мир несколькими способами, включая выброс опасных материалов (например, загрязнение, сырая нефть), разрушительные кинетические силы (например, взрывы) и воздействие источников энергии (например, электричество, пар).
Физический инцидент может негативно повлиять на промышленные системы управления и вспомогательную инфраструктуру, различные процессы, выполняемые ICS, или более крупную физическую среду. Оценка потенциальных физических воздействий должна включать все части промышленной системы управления, начиная с оценки потенциальных воздействий на набор датчиков и исполнительных механизмов. Каждая из этих областей будет более подробно рассмотрена ниже. Оценка воздействия киберинцидента на физическую среду должна быть сосредоточена на потенциальном ущербе безопасности человека, природной среде и другим критически важным инфраструктурам. Воздействие на безопасность человека должно оцениваться на основе того, возможны ли травмы, заболевания или смерть из-за неисправности промышленной системы управления.
Это должно включать любые ранее выполненные оценки воздействия на безопасность, выполненные организацией в отношении как сотрудников, так и широкой общественности. Также может потребоваться рассмотрение воздействия на окружающую среду. Этот анализ должен включать любые доступные оценки воздействия на окружающую среду, выполненные организацией, чтобы определить, как инцидент может повлиять на природные ресурсы и дикую природу в краткосрочной или долгосрочной перспективе. Кроме того, следует отметить, что промышленные системы управления может не располагаться в одном контролируемом месте и может быть распределена по обширной физической территории и подвергаться неконтролируемому воздействию окружающей среды. Наконец, воздействие на физическую среду должно исследовать степень, в которой инцидент может повредить инфраструктурам, внешним по отношению к ICS (например, генерация/доставка электроэнергии, транспортная инфраструктура и водоснабжение).
Влияние физического нарушения процесса промышленной системы управления
В дополнение к влиянию на физическую среду, оценка риска должна также оценивать потенциальное влияние на физический процесс, выполняемый рассматриваемой промышленной системы управления, а также на другие системы. Инцидент, который влияет на ICS и нарушает зависимый процесс, может вызвать каскадное влияние на другие связанные процессы промышленной системы управления и зависимость широкой общественности от полученных продуктов и услуг. Влияние на связанные процессы ICS может включать как системы и процессы внутри организации (например, производственный процесс, который зависит от процесса, контролируемого рассматриваемой системой), так и системы и процессы, внешние по отношению к организации (например, коммунальное предприятие, продающее вырабатываемую энергию на соседний завод).
Киберинцидент также может негативно повлиять на рассматриваемый физической промышленной системы управления. Этот тип влияния в первую очередь включает физическую инфраструктуру завода (например, резервуары, клапаны, двигатели), а также как цифровые, так и нецифровые механизмы управления (например, кабели, ПЛК, манометр). Повреждение ICS или физического оборудования может вызвать как краткосрочные, так и долгосрочные простои в зависимости от степени инцидента. Примером киберинцидента, влияющего на ICS, является вредоносное ПО Stuxnet, которое вызвало физическое повреждение центрифуг, а также нарушило зависимые процессы.
Включение нецифровых аспектов промышленной системы управления в оценки воздействия
Влияние на ICS невозможно адекватно определить, сосредоточившись только на цифровых аспектах системы, поскольку часто существуют нецифровые механизмы, которые обеспечивают отказоустойчивость и не позволяют промышленной системе управления действовать вне допустимых параметров. Следовательно, эти механизмы могут помочь уменьшить любое негативное влияние, которое может оказать цифровой инцидент на ICS, и должны быть включены в процесс оценки риска.
Например, промышленные системы управления часто имеют нецифровые механизмы управления, которые могут предотвратить работу промышленные системы управления вне безопасной границы и тем самым ограничить воздействие атаки (например, механический предохранительный клапан давления). Кроме того, аналоговые механизмы (например, счетчики, сигнализация) могут использоваться для наблюдения за физическим состоянием системы, чтобы предоставить операторам надежные данные, если цифровые показания недоступны или повреждены. Таблица 3-1 содержит классификацию нецифровых механизмов управления, которые могут быть доступны для снижения воздействия инцидента ICS.
Определение потенциального воздействия, которое киберинцидент может оказать на ICS, должно включать анализ всех нецифровых механизмов управления и степени, в которой они могут смягчить потенциальное негативное воздействие на промышленные системы управления. Существует множество соображений при рассмотрении возможных эффектов смягчения нецифровых механизмов управления, таких как:
Нецифровые механизмы управления могут потребовать дополнительного времени и участия человека для выполнения необходимых функций мониторинга или управления, и эти усилия могут быть существенными. Например, такие механизмы могут потребовать от операторов поездок на удаленный объект для выполнения определенных функций управления. Такие механизмы также могут зависеть от времени реакции человека, которое может быть медленнее, чем у автоматизированных средств управления.
Ручные и аналоговые системы могут не обеспечивать возможности мониторинга или управления с той же степенью точности и надежности, что и цифровая система управления. Это может представлять риск, если первичная система управления недоступна или повреждена из-за снижения качества, безопасности или эффективности системы. Например, цифровое/числовое реле защиты обеспечивает большую точность и надежное обнаружение неисправностей, чем аналоговые/статические реле, поэтому система может с большей вероятностью демонстрировать ложное срабатывание реле, если цифровые реле недоступны.
Включение влияния систем безопасности
Системы безопасности также могут снизить влияние киберинцидента на промышленные системы управления. Системы безопасности часто развертываются для выполнения определенных функций мониторинга и контроля, чтобы обеспечить безопасность людей, окружающей среды, процесса и ICS. Хотя эти системы традиционно реализуются как полностью избыточные по отношению к основной промышленной системы управления, они могут не обеспечивать полной избыточности от киберинцидентов, особенно от изощренного злоумышленника. Влияние внедренных мер безопасности на систему безопасности следует оценивать, чтобы определить, не оказывают ли они отрицательного влияния на систему.
Учет распространения воздействия на подключенные системы
Оценка воздействия инцидента также должна включать то, как воздействие от ICS может распространяться на подключенную промышленную систему управления или физическую систему. ICS может быть взаимосвязана с другими системами, так что сбои в одной системе или процессе могут легко каскадно распространяться на другие системы как внутри, так и за пределами организации. Распространение воздействия может происходить из-за как физических, так и логических зависимостей. Надлежащее сообщение результатов оценки рисков операторам связанных или взаимозависимых систем и процессов является одним из способов смягчения таких последствий.
Логическое повреждение взаимосвязанной промышленной системы управления может произойти, если киберинцидент распространится на связанные системы управления. Примером может быть распространение вируса или червя на связанную промышленную систему управления, а затем воздействие на эту систему. Физическое повреждение также может распространиться на другие взаимосвязанные ICS. Если инцидент влияет на физическую среду промышленной системы управления, он может также повлиять на другие связанные физические домены. Например, воздействие может привести к физической опасности, которая ухудшает близлежащие физические среды. Кроме того, воздействие может также ухудшить общие общие зависимости (например, электропитание) или привести к нехватке материалов, необходимых для более позднего этапа промышленного процесса.