image

NSA: wees voorzichtig met aansluiten van OT-systemen op IT-netwerken

maandag 3 mei 2021, 12:33 door Redactie, 5 reacties

Organisaties die van OT (operationele technologie)-systemen gebruikmaken moeten die niet zomaar aansluiten op IT-netwerken en stilstaan bij de risico's die dit met zicht meebrengt, waaronder het overlijden van personen, zo adviseert de Amerikaanse geheime dienst NSA. Onder operationele technologie vallen allerlei industriële systemen, wetenschappelijke apparatuur en automatiseringssystemen.

Binnen de Amerikaanse overheid en defensiesector zijn volgens de NSA veel OT-systemen in gebruik die niet meer door de leverancier worden ondersteund en waar onvoldoende middelen voor het beheer zijn vrijgemaakt. Om de cybersecurity van OT-systemen te verbeteren heeft de NSA een Cybersecurity Advisory gepubliceerd waarin het verschillende aanbevelingen doet.

De Amerikaanse geheime dienst stelt dat organisaties direct in actie moeten komen om hun OT-netwerken en controlesystemen te beschermen tegen kwetsbaarheden die worden geïntroduceerd door het aansluiten van deze systemen op IT-netwerken. Aanvallers die via de it-omgeving weten binnen te komen kunnen zo ook de OT-systemen aanvallen. Daarbij wijst de NSA naar de recente supply-chain-aanval via de software van SolarWinds.

Volgens de NSA moeten organisaties beseffen dat een geïsoleerd OT-systeem beter beschermd is tegen aanvallen dan een systeem dat met een IT-netwerk is verbonden. Toch erkent de geheime dienst dat er scenario's kunnen zijn waarbij een OT-systeem toch met een netwerk verbonden moet zijn. In deze gevallen kan er voor een tijdelijke verbinding worden gekozen, bijvoorbeeld om updates te downloaden of voor onderhoudswerkzaamheden.

Wanneer wordt besloten dat een netwerkverbinding noodzakelijk is, wijst de NSA op verschillende maatregelen die moeten worden genomen, zoals het toevoegen van sensoren en monitoring en het creëren van een netwerkoverzicht en baseline voor systemen en netwerkcommunicatie. "Hoewel er legitieme redenen kunnen zijn voor connectiviteit en het automatiseren van processen, lopen OT- en controlesystemen inherent risico wanneer ze met zakelijke IT-systemen zijn verbonden. Sta stil bij de risico's, voordelen en kosten voordat je zakelijke IT- en OT-netwerken met elkaar verbindt", concludeert de NSA.

Image

Reacties (5)
03-05-2021, 13:51 door walmare
Dit kan in 1 zin worden samengevat: Gebruik geen consumenten software voor zakelijke toepassingen.
03-05-2021, 14:05 door Anoniem
Ik zou zeggen: helemaal geen permanente verbindingen met de buitenwereld gebruiken.

Met een air-gapped machine met een read-only OS de gewenste data binnenhalen door kortstondig online te gaan.
Dan die machine weer offline halen.
Rebooten (i.v.m. "in memory" zaken) voor het weer verbinden met het interne netwerk.
Dan de download doorzetten naar het interne netwerk, desnoods via weer een andere OS.

Natuurlijk CRC's checken / netwerkschillen / grondige checks op netwerkverkeer etc.
Zoiets zullen veiligheidsdiensten mogelijk ook wel gebruiken.
03-05-2021, 14:09 door Anoniem
Door walmare: Dit kan in 1 zin worden samengevat: Gebruik geen consumenten software voor zakelijke toepassingen.

Euh nee? Dit gaat om zaken zoals beademingsapparaten die niet aan het KA netwerk gehangen moeten worden omdat dat zo makkelijk is met monitoren.
03-05-2021, 14:18 door Anoniem
Door walmare: Dit kan in 1 zin worden samengevat: Gebruik geen consumenten software voor zakelijke toepassingen.

Dat is, maar dan ook totaal niet waar dit advies over gaat.

Het advies gaat over het zoveel mogelijk isoleren (geisoleerd houden) van OT omgeving en dan op het juiste niveau (applicatie/identity).
En als er al koppelingen nodig zijn, die alleen gecontroleerd moeten worden toegestaan met waar mogelijk additionele risico-beperkende maatregelen.

Dit advies is nodig/zinnig omdat in veel omgevingen over de jaren heen "stiekem" koppelingen zijn ontstaan tussen IT en OT-omgevingen.

Dit alles heeft niets, maar dan ook niets met "consumenten software" te maken. Wel alles met de unieke uitdagingen van/in OT-omgevingen: extreem lange levensduur van apparatuur en software, als gevolg daarvan de afhankelijkheid van kwetsbare protocollen en crypto's en daarbovenop het niet vaak niet kunnen/mogen updaten van de OT-software.
03-05-2021, 16:53 door Anoniem
Gebruik geen consumenten software... Nou, toevallig nog achter gekomen dat een van onze leveranciers een stukje hobbybob software heeft gebouwd wat zich niet aan de RFC's houdt en al maanden een productie-issue veroorzaakt waar ze ons de schuld van geven, terwijl ze dit al meer dan een jaar zelf wisten...

Maar ik durf te wedden dat 99.999% van alle Nederlandse bedrijven in de productie minstens 1 applicatie of appliance hebben welke niet meer ondersteunt wordt, ze dit wel of niet weten maar als ze het wel weten er geen toekomst-pad is om dit risico te mitigeren... En ze mij gaan bellen over een jaartje om het op te lossen (wanneer ze gehacked zijn, wanneer het doosje stuk is gegaan enz...

Laatst nog een bank geholpen door een nieuwe PSU te bouwen voor een Cisco Local Director met een Pentium (EOL <<2000), gelukkig doe ik hun PCI-DSS niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.