Der CISO eines Wasserversorgers gibt Tipps, um bei der Konvergenz von IT und OT sicher zu bleiben

Cyber Security News

Die Route 66 verläuft durch die Innenstadt von Albuquerque, New Mexico. Kristin Sanders, CISO der Albuquerque Bernalillo County Water Utility Authority, verrät, wie New Mexicos größter Wasser- und Abwasserversorger die Sicherheitsherausforderung angeht. (Asaavedra32, CC BY-SA 3.0 https://creativecommons.org/licenses/by-sa/3.0, via Wikimedia Commons)

Mit der zunehmenden Konvergenz von IT- und OT-Systemen in kritischen Infrastruktureinrichtungen wird der Einblick in traditionell isolierte operative Systeme zu einer zentralen Sicherheitsherausforderung. Kristin Sanders, Chief Information Security Officer der Albuquerque Bernalillo County Water Utility Authority, zeigte letzte Woche, wie New Mexicos größter Wasser- und Abwasserversorger diese Herausforderung durch den Einsatz einer Reihe von Softwarelösungen, Sensoren und Internet-of-Things-Technologien angeht.

Sanders erkannte an, dass die ABCWUA “vielen Wasserbehörden” in den USA in Bezug auf die IT/OT-Modernisierung und die Einhaltung des Water Infrastructure Act von 2018 voraus ist, und gab Versorgungsunternehmen, die ähnliche Fortschritte machen wollen, Ratschläge. Sie empfahl, sich zunächst auf die Top-20-Kontrollen und -Ressourcen des Center for Internet Security zu konzentrieren und dann zu sehen, wie man verschiedene Lösungen implementieren kann, um einige der niedrig hängenden Früchte zu entfernen.

Aus wirtschaftlicher Sicht sind Lösungen, die gleichzeitig in IT- und OT-Umgebungen implementiert werden können – wie z. B. sichere Zugangsplattformen mit Zwei-Faktor- oder Multi-Faktor-Authentifizierung – ein guter Ansatzpunkt für ein Versorgungsunternehmen, fügte sie in einem von Cisco Systems organisierten Online-Webinar hinzu.

“Sie können wirklich sicherstellen, dass Sie dieses Produkt über mehrere Dinge hinweg einsetzen – RDP, VPN, E-Mail – alles Dinge, die ständig angegriffen werden”, sagte Sanders und merkte an, dass die Lösung von Cisco und Duo Security bei ABCWUA über 12.000 Autorisierungen pro Monat verarbeitet.

Die gleiche Philosophie gilt für die Installation der Cloud-basierten Sicherheitssoftware für Unternehmensnetzwerke bei ABCWUA. “Wir sind in der Lage, diese nicht nur für unsere Desktop-Computer, Laptops und VPN-Clients, sondern sogar für mobile Geräte einzusetzen”, so Sanders. “Wir können also dieses eine Produkt für eine ganze Reihe verschiedener Endpunkte verwenden, um sicherzustellen, dass wir eine vollständige Abdeckung erhalten.”

Ein weiterer wichtiger Schritt ist die Investition in die Schulung der Mitarbeiter, damit sie sowohl den IT- als auch den OT-Betrieb verstehen und nicht nur das eine oder das andere. “In der Vergangenheit wurde nicht erwartet, dass wir das wissen müssen”, sagt Sanders. Aber die Zeiten ändern sich. “Eines der besten Dinge, die wir gemacht haben, war, dass wir jemanden eingestellt haben, der mit der Betriebsseite vertraut war, und ihn auf die IT-Seite geholt haben”, um die IT-Mitarbeiter zu schulen, so Sanders.

Die Behörde, die mehr als 650.000 Verbraucher bedient und seit Herbst 2012 mehr als 100.000 intelligente Zähler installiert hat, hatte in der Vergangenheit ihre OT-Prozesse luftleer und getrennt von der IT gehalten. “Jetzt beginnen wir, eine Konvergenz dieser beiden in IoT zu sehen, [although] traditionell haben die beiden Gruppen nie wirklich viel miteinander gearbeitet”, sagt Sanders.

Bis jetzt “läuft es wirklich gut”, sagte sie. Eine solche Modernisierung ist jedoch nicht ohne Risiko. Die Infosec-Experten des Werks müssen sich Sorgen machen, dass böswillige Akteure OT-Systeme sabotieren könnten, indem sie die angeschlossenen IT-Systeme als ersten Angriffsvektor nutzen. Ein solcher Angriff könnte theoretisch die mehr als 3.000 Meilen langen Wasserversorgungsleitungen, die 2.400 Meilen langen Abwassersammelleitungen oder das duale Grund-/Oberflächenwasserversorgungssystem des Versorgungsunternehmens betreffen.

Solche Gefahren wurden im vergangenen Februar deutlich, als bekannt wurde, dass ein böswilliger Hacker versuchte, die Wasserversorgung von Oldsmar, Florida, zu vergiften, nachdem er ein Fernzugriffssystem gekapert hatte, das von Mitarbeitern der städtischen Wasseraufbereitungsanlage genutzt wurde.

Um diese Bedrohung zu kontrollieren, muss das Sicherheitsteam eines Versorgungsunternehmens Einblick in die OT-Aktivitäten haben. Die Überwachung bei der ABCWUA wurde in der Vergangenheit manuell durchgeführt, wobei die Mitarbeiter die Vorgänge auf einem Bildschirm beobachteten, erklärt Sanders. “In vielen Fällen war die Sicherheit eine Art nachträglicher Gedanke; sie war ursprünglich nicht in das Produkt eingebaut, weil es nie dafür gedacht war, mit einem Netzwerk zu kommunizieren”, fuhr sie fort.

Als IT und OT konvergierten, waren ungeschulte IT-Mitarbeiter zunächst unsicher, wie ein Angriff aussehen könnte. “Denn es gibt keine Möglichkeit zu erkennen, dass es eine Anomalie gibt, wenn man keine Ahnung hat, wie der Normalzustand überhaupt aussieht”, erklärte Sanders.

Aber die Mitarbeiter des Versorgungsunternehmens haben begonnen, einen besseren Einblick in den Netzwerkverkehr zu gewinnen, nachdem sie die industrielle IoT-Sicherheits- und Sichtbarkeitslösung Cyber Vision von Cisco implementiert und mit intelligenten Sensoren und neu implementierten industriellen Switches integriert haben.

“Die Lösung übernimmt das Baselining für Sie, sodass Sie anfangen können, eine Vorstellung davon zu entwickeln, was normaler Datenverkehr ist”, so Sanders. “Auf diese Weise können Sie erkennen, wenn etwas Ungewöhnliches passiert.” Jetzt hat die Behörde Einblick in ihren Bestand an OT-Anlagen und Endpunkten und kann neue Geräte, die sich mit ihren Systemen verbinden, erkennen und entsprechende Warnungen senden.

Im Rahmen der Modernisierung implementierte die Behörde auch ein Firewall Management Center, eine Plattform für sicheres Zugriffs- und Richtlinienmanagement, einen Netzwerk-Controller und ein Management-Dashboard sowie eine Videokonferenzplattform.

Laut Sanders hat die verbesserte Sicherheitsinfrastruktur das Versorgungsunternehmen in die Lage versetzt, “die Sicherheit der Mitarbeiter und auch die Sicherheit unseres Wassers zu gewährleisten.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com