Öl- und Gasunternehmen stehen vor einigen der dringendsten Herausforderungen der modernen Cybersicherheitsinfrastruktur. “Es gibt zwei Arten von Unternehmen in dieser Branche”, so Corie Allemand, Global Lead of O&G bei Stratus, “diejenigen, die gehackt wurden, und diejenigen, die wissen, dass sie gehackt wurden.”
Die Anfälligkeit aller Systeme für Cyberangriffe wird durch zahllose Beispiele belegt, vom berüchtigten Stuxnet-Hack vor einem Jahrzehnt bis zum jüngsten Einbruch in die Colonial Pipeline. Die Bewältigung der unzähligen Herausforderungen im Bereich der Cybersicherheitsinfrastruktur ist eine große Aufgabe, die durch die immer strengeren gesetzlichen Anforderungen noch verschärft wird, die innerhalb von legacy industriellen Automatisierungsarchitekturen und traditionellen OT-Netzwerken schnell unüberschaubar werden können. In einem kürzlich durchgeführten Webinar mit Xage Security erläutern unsere Experten die neuen DHS-Richtlinien für Cybersicherheitsinfrastrukturen in der O&G-Industrie, ihre praktischen Auswirkungen auf Betreiber und die Edge Computing Konzepte, die den Weg der digitalen Transformation fast zu einfach erscheinen lassen.
Wie wir hierher kamen – Lehren aus dem Stuxnet-Wurm
Vor 10 Jahren war Stuxnet der erste Hack eines industriellen Automatisierungssystems, der der Welt die Augen dafür öffnete, wie Hacker auf IA-Systeme zugreifen, sie kontrollieren und Daten in ihnen fälschen können, trotz der Luftschranke zwischen dem OT-Netzwerk und dem Internet. Damals ging man davon aus, dass dieser Airgap-Ansatz vertrauenswürdige Netzwerke schafft, die nur von innen angreifbar sind und auf die von außen nicht zugegriffen werden kann. Leider hätte diese Annahme nicht falscher sein können.
Im Buch Industrial Network Security von Eric D. Knapp und Joel Thomas Langill aus dem Jahr 2015 heißt es: “Stuxnet hat bewiesen, dass viele Annahmen über industrielle Cyber-Bedrohungen falsch sind, und zwar mit einer Malware, die weitaus ausgefeilter war als alles bisher Dagewesene.” Sechs Jahre später, während die Öl- und Gasunternehmen ihre Digitalisierung weiter vorantreiben, ist diese Aussage nach wie vor zutreffend.
Der Stuxnet-Virus bahnte sich seinen Weg in das so genannte geschützte Netzwerk, auf das sich OT-Fachleute in aller Welt zu dieser Zeit verließen. Obwohl die Hacker die Absicht hatten, in die Umgebung einer Organisation einzudringen und eine kriminelle Mission zu erfüllen, was ihnen auch gelang, erschütterte ihre Schöpfung die Welt, indem sie die kritischen Infrastrukturen eines Landes nach dem anderen veränderte und zerstörte. “Es verbreitete sich über die ganze Welt”, so Allemand in dem kürzlich durchgeführten Webinar, “die Bezeichnung Virus ist sehr, sehr zutreffend.”
Stuxnet hat der Industrie bewiesen, dass man keinem Netzwerk, auch wenn es noch so weit vom World Wide Web entfernt ist, trauen kann. Diese Erkenntnis veränderte den Kurs der industriellen Automatisierung und beschleunigte die Digitalisierung vieler Sektoren, einschließlich der Öl- und Gasindustrie. Die digitale Transformation ist noch nicht abgeschlossen, und für Öl- und Gasunternehmen ist es besonders wichtig, sie richtig zu gestalten, da sie sowohl das Risikoprofil der Unternehmen erhöhen als auch ihre Sicherheitslage verbessern kann.
Die zwei Seiten der Digitalisierung für Öl- und Gasunternehmen
Die zunehmende Digitalisierung in der Industrieautomation ist in mehrfacher Hinsicht eine Zwickmühle. Während neue Technologien wie Edge Computing neue Werkzeuge und Fähigkeiten einführen, die die Entscheidungsfindung verbessern und die Sicherheit von Bedienern und Daten schützen, stellen sie auch dringende Anforderungen an die Cybersicherheitsinfrastruktur. “Wenn wir diese neuen Technologien in diesen neuen Systemen einsetzen, müssen wir sicherstellen, dass die Sicherheit an erster Stelle steht”, sagt Allemand.
Vor diesem Hintergrund sollten O&G-Unternehmen nicht vor der digitalen Transformation zurückschrecken. In dem kürzlich durchgeführten Webinar sagt der Experte Rudy de Anda von Stratus : “Um wettbewerbsfähig zu sein, muss man seine Daten vernetzen und nutzen.” Es gibt unzählige Erfolgsgeschichten, in denen Unternehmen, die dies richtig machen, nicht nur ihre Cybersicherheitsinfrastruktur stärken, sondern auch Vorteile erschließen, die ihren Marktanteil erhöhen und ihre Geschäftsziele fördern. Experten von Xage und Stratus verraten, wie Öl- und Gasunternehmen die Vorteile der Digitalisierung nutzen können, ohne die Einhaltung gesetzlicher Vorschriften zu gefährden und ohne die Hardware von legacy auszutauschen.
Einblick in die DHS-Richtlinien für die Cybersicherheitsinfrastruktur von Pipelines
Im Juli erließ das DHS Richtlinien zur Cybersicherheit für Pipelines, “um eine Wiederholung der Abschaltung der Colonial Pipeline zu verhindern, die zu massiven Treibstoffengpässen und Panikkäufen von Benzin führte”, so die Washington Post. Diese Anforderungen entsprechen zwar dem dringenden Bedarf an einem standardisierten Cybersicherheitsleitfaden in der Branche, stellen aber auch eine große Herausforderung dar, die Betreiber und IT-Mitarbeiter gleichermaßen entmutigt.
Einige der DHS-Anforderungen, die die Experten von Xage und Stratus in dem Webinar diskutieren, sind:
- Eine Null-Vertrauens-Methode, die implizites Vertrauen in jedes Netz vermeidet
- Abhilfemaßnahmen für die Rotation von Benutzerberechtigungen und die Verwaltung des Zugriffs auf Anlagen
- Protokolle für die Aktualisierung und das Patchen von Software
Laut Joe Blazeck, Sales and Business Development Leader bei Xage Security, “bewegen wir uns weg vom Konzept der vertrauenswürdigen Netzwerke, bei denen Unternehmen einmalig am Perimeter verifiziert werden, und bewegen uns hin zu einem Sicherheitsansatz, bei dem Unternehmen kontinuierlich jeden Benutzer, jedes Gerät, jede Anwendung und jede Transaktion verifizieren. Wir vermeiden implizites Vertrauen in Geräte und Netzwerke und gehen zu diesem neuen Prinzip der geringsten Privilegien über.”
Auch wenn diese Richtlinien offensichtlich erscheinen, bereiten sie in der Praxis Kopfzerbrechen. Ein gutes Beispiel dafür sind Software-Updates, die aufgrund der Vielzahl der Regionen, in denen Pipelines betrieben werden, und der oft unzusammenhängenden Gruppen von IT-Fachleuten, die die Pipelines in diesen riesigen Regionen stückweise aktualisieren, regelmäßig zu ungeplanten Ausfallzeiten führen. Diese computergestützten Implementierungen scheinen eine einfache Aufgabe zu sein, sowohl für die Plattform als auch für die Software, aber wenn man sich die Plattform in ganz Nordamerika vorstellt, versteht man das Ausmaß der Herausforderung, die diese Art von Update mit sich bringt. Die großen Herausforderungen im Zusammenhang mit dem Software-Patching, der Kontrolle des Asset-Managements und der schieren Anzahl der zu verwaltenden Zugangsdaten sind nur einige der Probleme, die Betreibern, die für die Sicherung kritischer Infrastrukturen verantwortlich sind, heute zu schaffen machen.
Stratus und Xage erleichtern die Arbeit mit DX für Pipelines und eröffnen völlig neue Möglichkeiten
Die Umsetzung einer Null-Vertrauens-Methode und anderer erforderlicher Abhilfestrategien ist einfach und leicht mit den richtigen Edge Computing und Anbieter von Cybersicherheitslösungen. Laut Blazeck “besteht der Grundgedanke von Zero Trust darin, dass keinem Akteur, System, Netzwerk oder Dienst, der außerhalb oder innerhalb des Sicherheitsperimeters operiert, vertraut wird. Stattdessen überprüfen diese Organisationen alle Anfragen zur Verbindung mit beliebigen Systemen, bevor sie den Zugang gewähren. Man kann sich fast vorstellen, dass die Sicherheitstools in einem Null-Vertrauensmodell davon ausgehen, dass Geräte und Benutzer böswillige Absichten haben, und sie gehen fast davon aus, dass ein Verstoß bereits stattgefunden hat.” In der Praxis bedeutet dies, dass Administratoren die Frage beantworten müssen, wie sie ein erfolgreiches Regelwerk implementieren können, um jede Transaktion in ihrem Netzwerk zu überprüfen – eine Herausforderung, die in traditionellen OT-Netzwerken, die sich auf granulare Eins-zu-eins-Regelwerke verlassen, schnell unüberschaubar werden kann.
An dieser Stelle kommen Xage und Stratus ins Spiel. Blazeck fährt fort: “Wir gehen an diese Aufgabe heran, indem wir Identitäten für all diese verschiedenen Teile erstellen. Wir erstellen eine Identität für jeden Benutzer, jedes Gerät und jede Anwendung und erweitern diese auf Datenpunkte. Wir kontrollieren dann – durch Gruppierung und durch Richtlinien, im Gegensatz zum Öffnen und Schließen von Firewall-Ports – wie diese Identitäten miteinander interagieren dürfen. Jede Identität, egal ob es sich um einen Benutzer oder eine Sache handelt, hat ihre eigene Grenze, und jede Identität kann auf der Grundlage von Richtlinien, die im zentralen Xage-System verwaltet werden, mit anderen Identitäten interagieren. Dieser identitätszentrierte Zero-Trust-Ansatz ermöglicht es Betreibern, vertrauenswürdige Verbindungen mit allen entfernten Endpunkten aufrechtzuerhalten.” Dies sind nur einige der Möglichkeiten, die Xage-Lösungen bieten. Der Betrieb dieser Art von hochmoderneredge Cybersicherheitssoftware auf einem fehlertoleranten Server wie dem Stratus ztC Edge ermöglicht es Unternehmen auch, Ausfälle sicher zu überstehen.
Das Schöne an den Lösungen von Xage und Stratus ist, dass sie in erster Linie softwarebasiert sind und auf die Hardware von legacy aufgesetzt werden können, wodurch Funktionen wie die Filterung des Zugriffs vor Ort für ältere SPS ermöglicht werden, in die keine Sicherheitsfunktionen integriert sind. “Es scheint fast ein wenig einfach, ein wenig simpel zu sein”, sagt Allemand, “aber wir können das einsetzen … und all die Dinge tun, die die Digitalisierung verspricht. Sie haben einen Server, der auf edge läuft und in der Lage ist, diese anspruchsvollen Aufgaben auf edge auszuführen – einschließlich der Sicherheit – während Sie das Netzwerk erweitern, um neue Anforderungen zu erfüllen.”
Die Bedeutung einer sicheren Lösung für die industrielle Datenverarbeitung darf nicht unterschätzt werden. Denn wenn Unternehmen Daten von Geräten nutzen wollen, um bessere Edge Computing Wenn Unternehmen die Daten von Geräten nutzen wollen, um bessere Geschäftsentscheidungen zu treffen, müssen sie unbedingt die Authentizität, die Genauigkeit und den Datenschutz dieser Daten sicherstellen, die Hacker in herkömmlichen IA-Architekturen nachweislich leicht fälschen können.
Wenn der Weg der digitalen Transformation jedoch effizient abgesichert ist, sind die Möglichkeiten endlos. Rudy de Anda, Experte von Stratus , erklärt: “Wir stellen fest, dass der Einsatz dieser Technologien, wenn er effizient erfolgt, die Möglichkeit bietet, die Bandbreite für den Einsatz einiger dieser wirklich leistungsstarken vernetzten und edge Tools zu gewinnen, die Ihre Daten nutzen und gleichzeitig Ihre Sicherheitslage stärken, anstatt sie zu schwächen.”
Wenn Sie mehr erfahren möchten, sehen Sie sich das vollständige Webinar Actionable Insights to DHS Cybersecurity Requirements in Oil and Gas an.