Konferansen NFEA Cyber Security finner sted i Oslo 24. og 25. April og kan friste med mange spennende foredrag innen cybersikkerhet for automatisering og prosesskontrollsystemer.
Øverst på programmet er selveste Robert M. Lee, CEO i Dragos Inc. og verdenskjent SCADA sikkerhetsekspert, som skal holde åpningsforedraget om dagens trusselbilde for cybersikkerhet i industrielle kontrollsystemer.
Vi var så heldige å få chattet litt med Robert, og fikk en liten smakebit på hvilke tema han kommer til å dekke i foredraget sitt.
Hvordan har trussellandskapet rundt cyberangrep på industrielle kontrollsystemer endret seg de siste årene?
Det er to dramatiske endringer som har skjedd i trussellandskapet. For det første så har mange cyberangrep som vi tidligere omtalte som teoretiske, slik som målrettede angrep mot instrumenterte sikkerhetssystemer nå skjedd i virkeligheten (ref. TRISIS hendelsen). Dette avslører hva trusselaktørene har som intensjon, og er i stand til å oppnå. For det andre så vet vi i dag mer enn noen gang at unike cybertrusler mot industrielle kontrollsystemer eksisterer, men at mange systemeiere ikke har vært klar over dette, rett og slett fordi de manglet evne til å se og oppdage cyberangrep mot sine systemer.
Hvilken betydning har oppmerksomheten rundt TRISIS hendelsen hatt?
Noe av medieoppmerksomheten har vært nyttig for å opplyse systemeiere utover de som var direkte involvert i hendelseshåndteringen. Men noen av historiene som ble slått opp i media inneholdt direkte misvisende informasjon om saken, slik som feilaktig informasjon om hvilket selskap som ble rammet eller hvem som sto bak. I tillegg til dette ga pressen oppmerksomhet til mange som uttalte seg uten å ha førstehånds kjennskap til saken, og som benyttet anledningen til å promotere sin personlige agenda. Vi trenger å studere og lære av hendelser som dette, men da må vi behandle saken med den dybdekunnskap og nyansering som den fortjener.
Hva kan vi gjøre bedre for å beskytte kritisk infrastruktur mot cyberangrep?
Det er mange måter å håndtere sikkerhet i industrielle kontrollsystemer. Når vi står fremfor målrettede angripere er det ikke nok å kun tenke på bedre sikring av systemene. Mange sikkerhetsfolk fokuserer på at vi må tette sikkerhetshull og sårbarheter, men det viser seg at de fleste angripere heller utnytter seg av legitim innebygd funksjonalitet i systemene. For å beskytte seg mot disse typene angrep trenger vi dyktige folk, som med riktige verktøy og prosesser kan oppdage og håndtere truslene. Det de lærer av hendelseshåndteringen kan spilles inn i sikkerhetsarbeidet helt frem til leverandør, slik at vi i neste omgang får produkter med bedre innebygd sikkerhet. Dette er en etteretningsbasert tilnærming. Vi kan lære av mulige hendelser (ekspertanalyser) og vi kan lære fra faktiske hendelser (etterretningsbasert). Sammen kan vi skape en sikrere verden.
Til slutt, hvordan kan vi best lære fra cyberhendelser, for eksempel når det gjelder ransomware-angrepet mot Norsk Hydro?
Norsk Hydro gjorde en fantastisk jobb når det gjelder åpenhet og rask deling av informasjon. Dette blir en ny gullstandard for hvordan håndtere kommunikasjon rundt cyberangrep. Det er mange fordeler med å flytte elementer og funksjonalitet fra IT systemer over til industrielle kontrollsystemer; men dette bringer også med seg risiko. Vi må forsikre oss om at den økte risikoen kompenseres med risikoreduserende tiltak som bedre nettverksarkitektur, passive verktøy for monitorering av nettverkstrafikk og deteksjon av angrep, samt aktive mottiltak i form av personell som forstår de operasjonelle systemene og prosessene i tillegg til cybersikkerhet. Mange cyberangrep slik som ransomware-angrepene vi har sett i det siste er helt klart mulig å unngå basert på lærdommer fra tidligere hendelser. Dette betyr ikke at man skal skylde på den som blir angrepet. Men vi kan bestrebe oss mot å ha kompenserende tiltak som gjør at vi alltid griper sjansen til å lære fra slike hendelser, slik at vi driver frem sikkerhetsarbeidet ved enhver anledning.