Litteratur: Cybersikkerhet for industrielle systemer
Denne siden holdes oppdatert av Mary Ann Lundteigen, professor på teknisk kybernetikk, NTNU.
Oversikt over problemstillingen:
Videoer og podcasts fra bransjeorganisasjoner og konferanser:
Videoer
- Nyttige videoer om cybersikkerhet for industrielle systemer («OT»):
-
- Videoer fra store konferanser:
- "S4 Events - according to their own statements largest and most advanced ICS cyber security events in the world" - flere vidoer tilgjengelig på en rekke relevante tema
- How to revenge a PLC attack - an example from a PLC lab:
- Talk by Sharon Brizinov at the DEFCON Conference
Podcasts
- Darknet Diaries pod (some episodes concern industrial systems)
Lærebøker:
- Cyber Security for Cyber Physical Systems by Saqib Ali, Taiseera Al Balushi, Zia Nadir, Omar Khadeer Hussain. Springer International Publishing (2018)
Rammeverk og standarder:
NB: Studenter får tilgang til alle ISO, IEC, NORSOK standarder via denne siden.
- IEC 62443 Security for industrial automation and control systems (består av mange deler/rapporter og er industriens (internasjonale) implementering av ISO 2700x standardene
- IEC TR 63069: IEC TR 63069 Industrial-process measurement, control and automation - Framework for functional safety and security. Viser kobling mellom cybersikkerhet for industrielle kontroll og sikkerhetssystemer generelt og og funksjonell sikkerhet spesielt.
- DNV RP G108 Retningslinje i bruk av IEC 62443 for oljebransjen utviklet av DNV
- ISA 84.00.09 Cybersecurity Related to the Functional Safety Lifecycle. Innkjøpt til biblioteket hos NTNU (ikke del av standard.no abonnement).
- EU direktiv for cybersikkerhet: Directive (EU) 2016/1148
- Computer security rescource center (CSRC) publikasjoner fra (US) National institute of standards and technology (NIST):
- European union agency for cybersecurity (ENISA) publikasjoner og rapporter:
- Offshore Norge Retningslinje 104 for IKT-baserte prosesskontroll,-sikkerhet og støttesystemer
Cybersikkerhet og Industri 4.0
Cyberrisikoanalyser:
Metoder for å forstå og redusere konsekvensene av angrep
- Cyber-informed engineering - building in defenses against cyberattacks already from early design phase. Focusing both on cybersecurity countermeasures as well as «non-hackable» solutuions.
- Guidelines referenced are found here at OSTI.gov
- More information is also provided by energy.gov
- Crown Jewel Analysis (CJA) for ICS (utviklet av MITRE)
- Consequence-driven cyberinformed engineering (CCE) (Utviklet av Idahoo National lab, USA
- Case study "Stinky Cheese"
- Case study "(Ukraine) Baltavia Power outage"
- The industrial control System cyber kill chain (utviklet av SANS, en anerkjent forening som gir ulike type opplæring og kursvirksomhet innenfor cybersikkerhet.
Verktøy for å avdekke sårbarheter:
- CISA presenterer tabeller med eksempler verktøy (ekspander under overskrifter på siden):
- Generell oversikt over verktøy for å vurdere sårbarheter etc
- Eksempel: Verktøy for å vurdere tiltak mot «randsomware» for IT og OT systemer: Cybersecurity evaluation tool (CSET) og tilhørende github
- Eksempler på verktøy for deteksjon og overvåkning (IDS og/eller IPS):
- ICSNPP (kompatibelt med Zeek - tidligere Bro)
- Snort/Snort 2 (network)
- Suricata (network)
- Zeek (tidligere Bro) (network)
- OSSEC (host)
- Idaho National Laboratory (INL) undersøkelse av cybersecurity verktøy
- Vertkøy for å identifisere OT utstyr på nettet med sårbarheter:
- MITRE Engenuity som sammenligner analyser som er gjort. Eksempelvis for Triton vist her.
Datasett å analysere cyberangrep for OT systemer:
Organisasjoner som analyserer cyberhendelser, publiserer rapporter, presenterer statistikk mm:
- Dragos (Amerikansk. Etablert av anerkjente eksperter, blant annet Robert M. Lee)
- MITRE (Amerikansk, ikke-kommersiell organisasjon) som drifter sider som:
- CVE - Common vulnerabilities and exposures, where searchers are available from CVE search
- CWE – Common Weakness Enumeration
- CAPEC – Common attach pattern enumeration and classification
- Pulikasjoner fra MITRE
- LOGIIC program (Amerikansk programside) Inneholder rapporter og presentasjoner i forbindelse med samarbeid mellom olje og gassindustrien og myndighetsorgan for å forbedre cybersikkerhet
- SANS Institute (USA, privat): Gir kurs og opplæring, generelt men også et utvalg rettet mot ICS. Ved å registrere bruker kan man også få mulighet til å delta på ulike events.
- Web-casts - kan også høre innlegg gitt tilbake i tid.
Organisasjoner som overvåker cybersikkerheten og sårbarheter:
- Dragos (Amerikansk. Følger med globalt. )
- Nasjonal cybersikkerhetssenter (NCSC). Nasjonalt senter som samtidig er en arena for nasjonalt og internasjonalt samarbeid for håndtering av digital sikkerhet
- NorCert - Norwegian Computer Emergency Response Team. Funksjon utført av NCSC (Norsk. Alle sektorer)
- KraftCERT Cyberresponsmiljø for sektorene kraft og petroleum, men støtter også prosessindustri, vann- og avløpssektoren samt energigjennvinning
- US-CERT (Amerikansk) Responsteam for cyberhendelser. Organisert under Department of Homeland Security (DHS) og Infrastructure Security Agency (CISA).
- NORMA-Cyber (Norsk) Senter som leverer tjenester til Norske skipseiere og andre aktører i maritim industri.
- CISA - Cybersecurity and Infrastructure Security Agency:
- Oversikt over ICS relaterte tjenester, informasjon og verktøy
- Eksempel på advarsel AA22-103A om sårbarheter i OT systemer der det er kjent at aktører har utviklet verktøy for å utnytte disse.
- Eksempler på strategier for å beskytte mot cyberangrep
Om hendelser og noen eksempler på malware i fokus nå:
Kildene er bare eksempler. Finnes både grundigere rapporter og artikler.
- History of Industrial Control System Cyber Incidents (2018) laget av Idaho National Lab (USA)
- Stuxnet - samling av artikler
- Analyse av hackerangrep vannsdistribusjon Florida utført av Dragos
- Læringspunkter fra angrepet på rørledningen «Colonial pipeline» oppsummert av Dragos
- Cyberangrep på uran-anrikingsanlegg i Iran (2010): Episode 29 om Stuxnet. Intervjuet er også gjengitt i skriftsform
- Cyberangrep på kraftdistribusjonsanlegg i Ukraina (2015&2016).
- Oppsummering av Dragos av malware som Black Energy (2015) og Industroyer / C(R)ASHOVERRIDE (2016). Se også denne Dragos-rapporten.
- Stegvis gjennomgang med vurdering av effekt av IEC 62443 krav utført av ISA
- Cyberangrep på sikkkerhetssystemene ved et prosessanlegg i Saudi-Arabia: Episode 68 om Triton. Interjuet er også gjengitt i skriftsform. Merk at Triton også er kjent som Trisis.
- Simulert angrep på en sikkerhets PLC Dragos whitepaper
Malware i fokus per nå:
- PIPEDREAM her presentert av CEO Robert Lee på S4 i 2022 - kanskje ikke noen over eller på siden av den akkurat nå!
Databaser å søke etter hendelser i:
- RISI - Repository of Industrial Security Incidents (ikke oppdatert siden 2015, men de jobber med saken)
- ARIA - Analysis, Research and Information on Accidents (Dekker alle typer industrielle ulykker, men har skrevet litt om cybersikkerhet her veiledning til å finne ulykker knyttet til kontrollsystem)
Status i ulike bransjer:
Petroleumsindustrien:
- IKT sikkerhet - robusthet i petroleumsindustrien II (flere rapporter utgitt i 2021)
- IKT sikkerhet i petroleumssiden (podcast)
- Systematisk gjennomgang av cyberhendelser i Olje og gassvirksomheten
- Eksempel på oppsummering av tilsyn om bedrifters håndtering av cybersikkerhet:
- Oversikt over alle rapporter som dokumenterer studier finansiert og publisert av petroleumstilsynet:
Rapporter energisektor:
Maritim sektor:
- Sjøfartsdirektoratets strategi for digital sikkerhet
- Cybersikkerhet i media
- Lysneutvalget om digitale sårbarheter i maritim sektor (DNV-GL)
- DNV retningslinje DNV-RP-0496 Cyber security resilience management for ships and offshore units in operation
- Internasjonalt regelverk fra IMO (international maritime organization)
Masteroppgaver knyttet til cybersecurity:
- Mina Helena Rørvik Haver (2023). Using Integrated Safety and Cybersecurity Risk Assessment Methods for Operational Technology over the Entire System Life-cycle
- Maja Simons Markusson (2023). Consequence-based Detection of Cyberattacks in Operational Technology
- Kristine Sørum Bakken (2023). Application of Combined Safety and Cybersecurity Risk Analysis of Industrial Automation and Control Systems
- Karine Borgerud (2022). Combined Safety and Security Analysis on an Autonomous Passenger Ferry Using CyPHASS
- Sander Endresen (2022). Cyber security handling in manufacturing plants
- Lars Flå (2021). Threat modeling framework for smart grids
- Sigurd Skaret (2020). Cybersecurity for process control with cloud solutions