DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Transkript

1 DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN:

3 Introduktion Formålet med denne vejledning er at give en introduktion til de sikkerhedsmæssige udfordringer og løsninger ved at indbygge informationsteknologi i produkter og produktionsapparat. Vejledningen har fokus på produktionsapparatet. Der bliver dog også skelet til sikkerheden i produkter, i det omfang produkterne indgår i et andet produktionsapparat. Vejledningen ser ikke isoleret på produktionssikkerhed, men prøver at sørge for, at virksomhedens sikkerhed er på plads i alle dele af organisationen. Dermed udbredes sikkerhedsdisciplinen til ikke kun at adressere kontormiljøet, men også at komme rundt i de øvrige dele af virksomheden - særligt også produktionsapparatet. Målgruppen for vejledningen er danske virksomheder, som allerede har eller er i gang med at overveje, enten at bygge intelligens ind i deres eksisterende produkter eller at sætte deres produktionsudstyr på et netværk. Vejledningen falder i tre uafhængige dele. Første del henvender sig til virksomhedens direktion. Først gennemgås problemstillingen overordnet med fokus på de udviklingsmæssige tendenser og deres forretningsmæssige konsekvenser. Dernæst gennemgås den rolle, som ledelsen må forventes at indtage på området. Denne anden del af vejledningen henvender sig til de mellemledere i virksomheden, som har ansvaret for virksomhedens overordnede informationssikkerhed, virksomhedens produktionsapparat og virksomhedens produkter. Denne del udgør en konkret tjekliste rettet mod produktionsapparatet. Tredje del gennemgår på struktureret vis de forskellige sikkerhedsinitiativer, som bør tages overalt i organisationen. Denne del skal betragtes som en baggrundsrapport for andel del. Til slut i dokumentet findes en ordliste, som forklarer nogle af de organisatoriske eller tekniske begreber, der anvendes i denne vejledning. Vejledningen er udformet så den retter sig mod mellemstore og store danske virksomheder, men særligt del to kan med fordel læses af alle virksomheder, som har et eget produktionsapparat. Baggrund I takt med at produkter og produktionsapparatet kommer på nettet, er det af stigende betydning, at fokus på sikkerheden forøges. I forskellige standarder 1 beskrives sikkerhed som tilstedeværelsen af tilgængelighed, fortrolighed og integritet 2. Tilgængelighed vil sige, at systemer, data og informationer om en transaktion og dens baggrund skal kunne tilgås, når der er brug for det. Fortrolighed betyder, at ingen uvedkommende har haft adgang til systemer eller data m.v. Integritet betyder, at ingen uvedkommende har foretaget ændringer. I forhold til produkt- og produktionssikkerhed har der typisk været fokus på tilgængeligheden, fordi det ofte er den afgørende parameter for forretningen, at produktionen ikke står stille. Samtidig har udstyret ofte 1 Vejledningens tredje del har en omfattende gennemgang af de forskellige standarder og "best practises" på området. 2 På engelsk taler man om CIA-modellen: Confidentiality, Integrity og Availability. 3

4 været baseret på proprietære "stand alone" systemer, som kunne beskyttes alene gennem fysisk sikring. Virkeligheden har imidlertid ændret sig, i takt med at mere og mere udstyr bliver forbundet til nettet, og dermed potentielt får fjernadgang. Produktionsudstyret bliver i stigende grad også koblet op til / sammen med forretningens applikationer, og der sker dermed en integration af udstyr i virksomheden. Endelig har produktionsudstyr en meget længere holdbarhed end det udstyr, vi har været vant til at have på nettet - f.eks. pc'er og telefoner. Opkoblingen til nettet, integrationen af udstyr i virksomheden, det faktum af produktionsudstyret i en række sammenhænge skal køre uafbrudt og produktionsudstyrets holdbarhed sætter sikkerheden i nyt perspektiv. For at opnå den holistiske sikkerhed er det nødvendigt, at bevæge sig mere i retning af at tænke på fortrolighed og integritet - uden at det sker på bekostning af tilgængeligheden. Det er også nødvendigt at samarbejde om sikkerhed på tværs i organisationen, således at sikkerhed i produktionen tænkes sammen med informationssikkerheden i kontormiljøet og den fysiske sikkerhed. På baggrund af de forskellige kilder, der er omtalt i vejledningens tredje del, har vi i denne anden del opstillet en tjekliste med anbefalinger, som personer med ansvar for produkt- og produktionssikkerhed kan søge inspiration i, når de sammen med andre sikkerhedsansvarlige i virksomheden skal arbejde med at forbedre sikkerheden. Anbefalinger Anbefalingerne falder i fire grupper. Der er først en række tekniske anbefalinger, som kræver opmærksomhed i produktionen, og som skal indgå i virksomhedens samlede risikobillede. Det er tekniske tiltag, som skal iværksættes i produktionsmiljøet og af medarbejderne i produktionsmiljøet. F.eks. skal produktionen kortlægge, hvilke logiske forbindelser der er ind til produktionsudstyret og sørge for, at kun de nødvendige forbindelser er åbne, og at de er tilstrækkeligt beskyttet. Dernæst er der en gruppe anbefalinger til krav rettet mod de leverandører, som skal levere og evt. servicere udstyr i produktionen. F.eks. vil disse leverandører ofte forsøge at retfærdiggøre, at de skal have fjernadgang til systemet - hvad der i visse tilfælde kan være ganske fornuftigt, mens det måske i andre tilfælde er uhensigtsmæssigt. Leverandørerne skal betragtes som både interne, f.eks. en udviklingsafdeling, og eksterne i form af andre virksomheder. For det tredje er der en række organisatoriske forhold, som produktionen skal give sit bidrag til, således at virksomhedens samlede sikkerhed er i overensstemmelse med det af ledelsen fastlagte sikkerhedsniveau. F.eks. skal produktionen kortlægge, hvilket udstyr den har stående, med hvilke versioner af hvilke applikationer. Denne kortlægning skal indgå i virksomhedens samlede kortlægning af aktiver. Endelig er der en gruppe overordnede anbefalinger, som skal spejles oppe fra og ned i de forskellige sikkerhedsafdelinger i organisationer - herunder især produktionen, kontormiljøet og den fysiske sikkerhed. Disse overordnede anbefalinger tager udgangspunkt i det aktuelle trusselsniveau, som virksomhederne står overfor. En del af anbefalingerne går derfor igen i flere grupper. 4

5 Tekniske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø 1. Som minimum skal produktions- og kontormiljø adskilles således, at produktionen får sit eget netværkssegment. Særlige unit-maskiner, som har behov for remote adgang, skal placeres på eget segment. Yderligere segmentering skal vurderes efter behov. 2. Alle forbindelser til de forskellige netværkssegmenter skal kortlægges og beskyttes af firewalls - både internt i produktionen og i forhold til omverdenen. Firewallen skal blokere irrelevante porte og services. Særligt forretningskritiske systemer skal helt lukkes for adgang udefra. Såfremt et eller flere systemer i produktionsmiljøet ikke supporterer tilstrækkelig brugergodkendelse via sikre kanaler, bør adgang til produktionsmiljøet sikres ved hjælp af VPN eller lignende teknologi, for at sikre at kun godkendte brugere kan kommunikere med enheder på netværket. 3. Kommunikation mellem netværkssegmenter - f.eks. produktions- og kontormiljø - bør ske gennem en DMZ. Produktionsmiljøet må ikke have direkte adgang til internettet. 4. Det skal overvejes at sikre netværkssegmenterne med f.eks. envejskommunikation og logning af netværkstrafikken og overvågning af logs (brugeraktiviteter, afvigelser, sikkerhedshændelser, administratoraktiviteter m.v.). Det skal overvejes at installere IDS/IPS-systemer. 5. Der skal løbende foretages penetrationstests 3 mod produktionsmiljøets netværkssegment(er). 6. Klassificeret information, der kommunikeres ud af produktionen, skal krypteres. 7. Der skal foretages sikkerhedskopiering af relevante data og systemkonfigurationer, og det skal kontrolleres, at denne virker. 8. Sikkerhedshændelser i produktionen skal opsamles og kortlægges sammen med eller med samme bevågenhed som virksomhedens øvrige sikkerhedshændelser. 9. Det skal overvejes at skabe redundans for særligt kritiske komponenter og forbindelser. 10. Det skal vurderes, om der kan installeres sikkerhedspakker bl.a. med beskyttelse mod ondsindet kode i produktionsmiljøet. 11. Driften skal guides af driftsafviklingsprocedurer, som beskriver, hvem der må foretage sig hvad. Der skal desuden være retningslinjer, som bl.a. beskriver, hvor udstyr placeres, under hvilke omstændigheder der må ske ændringer, og hvordan kapacitetsplanlægning foregår. 12. De sikkerhedsansvarlige skal sørge for at holde sig up-to-date med sikkerhedsbrister og sikkerhedsopdateringer til netop det udstyr, de er i besiddelse af 4. Krav til (interne og eksterne) leverandører af udstyr til produktionsmiljøet 1. Der skal være procedurer for indkøb af nyt udstyr til produktionen - og herunder hvilke krav der skal stilles ved indkøbet. 2. Der skal overvejes, om virksomheden vil stille krav til, at leverandøren er certificeret efter forskellige standarder - f.eks. common criteria. 3. Eksterne leverandører skal underskrive og overholde sikkerhedspolitikken. 3 Penetrationstests kan laves på forskellige niveauer, gående fra en simpel test som tester at det meste er bare nogenlunde sikkert (typisk en automatiseret test) og en dybere test, hvor man decideret forsøger hacking (typisk en manuel test). Disse tests skal gennemføres med stor varsomhed og kun af personale eller eksterne konsulenter med stor viden på området. 4 Der kan hos forskellige leverandører eller sikkerhedsvirksomheder abonneres på patchinformation, om netop de produkter, man er i besiddelse af. Man kan også konsultere med overordnede kilder som f.eks. ICS-CERT. Alternativt kan det også være nyttigt at indgå i branchenetværk med faglige kollegaer fra andre virksomheder for at udveksle erfaringer. 5

6 4. Leverandøren skal på forhånd have foretaget en sårbarhedsanalyse af sin leverance. 5. Ved samarbejde med eksterne leverandører bør der altid foreligge SLA'er, som tager hensyn til de i dette dokument nævnte krav og anbefalinger. Særligt skal der adresseres følgende forhold: hvilke data der håndteres, hvordan leverancen indgår i virksomhedens systemer, hvilken netværkstrafik der er tilknyttet, adgang til kildekode, logisk adgang, change management (herunder tidsfrist indenfor hvilken leverandøren skal rette sårbarheder), logning, hændelsesrapportering, backup og beredskab. 6. Opdateringer - f.eks. sikkerhedsfeatures - der kommer fra leverandøren, skal være testet inden de implementeres i produktionen. Opdateringer bør installeres via en af virksomheden ejet og kontrolleret jumpstation, som leverandøren får tildelt adgang til, når det er nødvendigt. 7. Åbne bagdøre fra leverandører vurderes kritisk og lukkes, hvis der ikke kan gives særlige grunde for, at de holdes åbne. Såfremt de skal holdes åbne, skal der ske to-faktor-autentifikation og evt. etableres en call-back-funktion. Organisatoriske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø 1. De personer, som er ansvarlige for sikkerheden i produktionen, bør søge samarbejde om sikkerheden på tværs i organisationen. 2. Der skal udarbejdes uddybende retningslinjer til sikkerhedspolitikken indeholdende bl.a. sikkerhedsprocesser og formulering af kontroller i produktionen. Arbejdet bør tage udgangspunkt i en af virksomheden valgt standard for at sikre holismen. 3. Alle aktiver i produktionen - i betydningen systemer, informationer og data - skal identificeres, dokumenteres og klassificeres. 4. For alle aktiver i produktionen skal der udpeges en ejer. 5. For alle aktiver i produktionen skal der foretages en risikoanalyse, som opsummerer hvilke trusler aktiverne står overfor, hvilken sandsynlighed der er for at truslen realiseres, hvilke korrigerende tiltag der er iværksat, hvilke tiltag der yderligere skal iværksættes og hvilken restrisiko, der så er tilbage. 6. Der skal være procedurer for genanvendelse og afskaffelse af udstyr i produktionen. Overordnede holistiske sikkerhedskrav 1. Sikkerhedsarbejdet skal organiseres, så det understøtter og skaber værdi for forretningen. 2. Sikkerhedsarbejdet skal være holistisk i den betydning, at det dækker hele organisationen - herunder kontormiljøet, produktionen, produkterne og den fysiske sikring. 3. Der skal ske samarbejde om sikkerheden på tværs i organisationen. 4. Det skal sikres, at personalet har de rette faglige kvalifikationer til at udføre deres arbejde under hensyntagen til sikkerhedspolitikken og de uddybende retningslinjer. Der bør løbende afholdes tests og awarenesskampagner, som skærper opmærksomheden mod politikker og procedurer. 5. Det skal sikres, at personalet er i besiddelse af de rette privilegier til at udføre deres arbejde - hverken mere eller mindre. 6. Der skal være procedurer for udstedelse og inddragelse af adgang. 7. Der skal udarbejdes en fysisk sikringsplan med klassifikation af områder i virksomheden. 8. Der skal etableres fysisk adgangskontrol. Adgangskontrollen til klassificerede områder bør være baseret på to-faktor-autentifikation og fotoidentifikation. Den fysiske adgang skal overvåges. 9. Der skal være funktionsadskillelse i virksomheden. Bl.a. skal udvikling, test og drift adskilles. 6

7 10. Den elektroniske perimeter skal beskyttes, overvåges og dokumenteres, og der skal være procedurer, der adresserer, hvordan information der går ud af virksomheden - f.eks. fra produktionsmiljøet via DMZ ind i kontormiljøet og derfra ud af virksomheden - skal håndteres. 11. Der skal være procedurer for, hvordan sikkerhedshændelser i virksomheden håndteres. 12. Der skal etableres en tværorganisatorisk beredskabsplan, som bl.a. præciserer, hvem der tager sig af hvad, og hvilke systemer der skal retableres i hvilken rækkefølge. 13. Det skal sikres, at lovgivning og relevante best practises overholdes. 7