Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Transkript

1 Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014

2 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering til Windows XP Embedded (WXPE). Når WXPE ikke længere bliver opdateret, er der risiko for, at nye sårbarheder, der måtte blive fundet i styresystemet, ikke vil blive lukket af Microsoft hvorved sårbarhederne kan blive udnyttet ved fremtidige cyberangreb. Center for Cybersikkerhed anbefaler på den baggrund, at organisationer, der anvender WXPE, allerede nu begynder at overveje og planlægge mulighederne for at sikre enheder med WXPE. Denne sikkerhedsanbefaling har til formål at understøtte organisationernes arbejde hermed. Herunder præsenterer Center for Cybersikkerhed indledningsvis WXPE og nogle af de komplikationer, der vil kunne optræde ved ophøret af serviceopdateringerne. Herefter følger en række konkrete anbefalinger, som Center for Cybersikkerhed opfordrer organisationerne til at følge, med henblik på at de indtænker fremtidig sikkerhed og funktionalitet i forhold til enheder med WXPE - også efter 31. december Der er ikke tale om en egentlig sikkerheds- og funktionalitetsløsning, men om ni generiske overvejelser og tiltag, der vil være til gavn for mange organisationer. WXPE og risikoen for sårbarheder WXPE er en skrællet udgave af Windows XP, der bliver anvendt som styresystem på forskellige former for udstyr, f.eks. udstyr, der anvendes i industrielle kontrolsystemer og ved distribution af elektricitet og vand samt som basissoftware i hospitalsudstyr og kontantautomater. En WXPE-installation understøtter en delmængde af Windows XP s services, API er og drivere, og indeholder dermed også de sårbarheder, der måtte være heri. Microsoft har i takt med udviklingen af Windows løbende udviklet nyere versioner af Windows Embedded. Den seneste version er således Windows Embedded 8. Center for Cybersikkerhed vurderer, at det kommende ophør af serviceopdateringer til WXPE kan få betydning for informationssikkerheden i de systemer og den infrastruktur, hvori enheder med WXPE indgår. For enheder med WXPE kan det imidlertid være kompliceret eller i praksis umuligt at foretage en udskiftning på kort sigt. Center for Cybersikkerhed anbefaler derfor, at organisationer, der anvender systemer og infrastruktur, hvori enheder med WXPE indgår, snarest muligt indleder planlægning af opgradering og/eller konvertering til tidssvarende software eller overvejer andre muligheder for at sikre enhederne med WXPE, herunder i størst mulig grad at isolere dem fra internetforbindelser. Kernen i enheder med WXPE er en applikation, der afvikler enhedens funktion, men organisationerne skal også være opmærksomme på den hardware og de styringssystemer, som enheder med WXPE eventuelt kommunikerer med. Det er således væsentligt, at organisationerne fokuserer på enhedens funktion og de krav, den stiller til sit omgivende miljø. Indsigt i enhedens funktion er essentielt for at træffe beslutning om, hvorvidt organisationerne skal opgradere styresystemet eller finde nye applikationer til enheder med WXPE. Hvis organisationerne hverken kan opgradere enhedernes styresystem eller finde nye applikationer, vil det måske være nødvendigt med et 1 1

3 nyt styresystem, der løser samme opgave. Alternativt kan organisationerne forsøge at finde en helt ny enhed, der løser samme opgave, eller isolere enheden helt, hvis der ikke eksisterer en ny løsning. Valget afhænger af, hvordan det er muligt at finde en funktionel erstatning for WXPE-løsningen. Anbefalinger Herunder præsenterer Center for Cybersikkerhed en række anbefalinger som organisationerne, der benytter sig af enheder med WXPE bør overveje. Anbefalingerne løser ikke organisationernes potentielle udfordringer med hverken funktionalitet eller sikkerhed, men beskriver en proces, der understøtter langsigtede, planlagte og gennemtænkte sikkerhedsog funktionalitetstiltag for enheder med WXPE. 1) Kortlæg, hvilke enheder, der kører med WXPE, samt deres applikationer Det kan være kompliceret at etablere et overblik over, hvilke enheder, der benytter WXPE. Enheder med WXPE løser ofte meget forskellige opgaver, og det er ikke nødvendigvis tydeligt, at enheden benytter WXPE som underliggende teknologi. Enheder med WXPE kan som nævnt bl.a. anvendes i industrielle kontrolsystemer og ved distribution af elektricitet og vand samt som basissoftware i hospitalsudstyr og kontantautomater. Center for Cybersikkerhed anbefaler, at organisationerne kortlægger, hvilke enheder med WXPE, de har i drift, og hvilke opgaver enhederne udfører. Organisationerne kan evt. kontakte deres leverandører for at konstatere, om enhederne benytter WXPE. I forlængelse heraf anbefaler Center for Cybersikkerhed, at organisationerne kortlægger applikationer, der kører på enheder med WXPE, med henblik på at afgøre, om de kan opgraderes. 2) Foretag risikovurdering Efter kortlægningen anbefaler Center for Cybersikkerhed, at organisationerne udarbejder en risikovurdering for systemer eller infrastruktur, der anvender WXPE eller hvori enheder med WXPE indgår. Center for Cybersikkerhed anbefaler, at organisationerne, når de foretager risikovurderingen, inddrager hensyn til både sikkerhed og funktionalitet. Organisationerne bør gennemføre en risikovurdering af hver enhed, der benytter WXPE, og derefter prioritere enhederne efter både sikkerheds- og funktionalitetsrisici. Risikoen kan udtrykkes som en samlet vurdering af sandsynligheden for og konsekvensen af, at en enheds funktion bliver sat ud af drift og/eller kompromitteret. Organisationerne kan i mange tilfælde med fordel fokusere på konsekvensen ved driftsnedbrud og/eller kompromittering, da det kan være svært at vurdere sandsynligheden for, at en given enhed bliver sat ud af drift eller udsættes for en kompromittering. 3) Overvej, hvad der skal ske med enheder med WXPE Når kortlægningen af enheder med WXPE og risikovurdering er foretaget, bør organisationerne overveje, hvorvidt hver enhed, der benytter WXPE, skal have opgraderet styresystemet til et, der fortsat sikkerhedsunderstøttes af leverandøren, have ny applikation, have ny hardware, isoleres eller om en helt ny løsning skal implementeres (punkt 4-8 nedenfor). 2

4 Desuden bør organisationerne når de har gennemført risikovurderingen og overvejet, hvilken måde de vil håndtere hver enhed, der benytter WXPE planlægge, hvornår og hvordan de pågældende enheder kan opgraderes, isoleres eller om en ny løsning implementeres, da det kan betyde, at organisationerne skal tage enheder ud af drift i en periode for derefter at sætte enhederne i drift på ny. Organisationerne vil givetvis nemt kunne tage visse enheder ud af drift og sætte dem i drift på ny, uden at det generer produktionen, mens driftsstop, udskiftning og idriftsættelse af andre enheder kræver god planlægning. Derfor er det vigtigt, at organisationerne vurderer de risici, der er forbundet med driftsstop, udskiftning og idriftsættelse, og eventuelt planlægger et servicevindue, hvor det kan ske. 4) Opgradering af styresystem I de tilfælde, hvor organisationerne kan opgradere en enhed til en senere version af Windows eller et andet styresystem, som fortsat bliver sikkerhedsopdateret, er en sådan opgradering typisk den mest enkle fremgangsmåde, da funktionaliteten og sikkerhedsniveauet som udgangspunkt bliver bibeholdt. Organisationerne skal imidlertid være opmærksomme på, at et nyt styresystem kan stille krav til den hardware, den bliver afviklet på, som ikke honoreres af den eksisterende enhed. Hardwareproblematikken bliver uddybet under punkt 6 nedenfor. Desuden bør organisationerne være opmærksomme på, at applikationer i visse tilfælde kan forhindre opgradering af styresystemet, selv om hardwaren måtte understøtte det. Det er således nødvendigt, at organisationerne afprøver, om de nødvendige applikationer kan afvikles stabilt på det opgraderede styresystem, og at organisationerne konfigurerer sikkerhedsindstillinger ved opgradering. 5) Ny applikation Hvis en applikation forhindrer opgradering af styresystemet på en given enhed, kan det være nødvendigt at udfase den og finde en ny applikation, der udfører samme opgave. Første skridt er at lede efter opdateringer til og nyere releases af den aktuelle software. I nogle tilfælde skal der måske udvikles en ny applikation, der gør det muligt at flytte opgaven til en anden platform. Den nye applikation kan stille andre krav til styresystem og hardware, og det kan være forbundet med store omkostninger og tid at indføre en ny applikation. Center for Cybersikkerhed anbefaler derfor, at organisationerne starter deres planlægning i god tid og får budgetteret med udgifter til udviklingen. 6) Ny hardware Som nævnt kan både en opgradering af styresystem og en løsning med en ny applikation stille nye krav til den hardware, løsningen kører på, hvorfor det kan være nødvendigt at udskifte hardwaren. I tilfælde af udskiftning af hardwaren, anbefaler Center for Cybersikkerhed, at organisationerne gennemgår den nye hardware og vurderer, hvilke kommunikationsindgange, der skal være tilgængelige. Det skal være muligt at afvikle applikationen hensigtsmæssigt, og organisationerne skal kunne opdatere og vedligeholde styresystemet uden, at der bliver gået på kompromis med sikkerheden. Det meste moderne hardware har USB-porte, trådløst netværk eller andre kommunikationsteknologier, der er nemt tilgængelige. Det er væsentligt at være opmærksom på, 3 3

5 hvilke faciliteter hardwaren har og at fjerne eller deaktivere alle kommunikationsfaciliteter, der ikke er vigtige for driften af enheden. 7) Isolation Det bør have første prioritet at opgradere udstyr fra WXPE til en nyere udgave af Windows eller til et andet styresystem, men det kan imidlertid for enkelte enheder vise sig at være en umulig opgave inden det annoncerede tidspunkt for ophør af serviceopdateringer. I disse tilfælde bør organisationerne som alternativ overveje at isolere enheden. I den forbindelse bør organisationerne oprette en politik for, hvem der kan tilgå enheden, og under hvilke omstændigheder enheden kan tilsluttes netværk, USB-nøgler og tilsvarende. Center for Cybersikkerhed anbefaler, at enheder med WXPE, der ikke opgraderes eller udskiftes, i stedet isoleres mest muligt. Er der funktionalitetskrav, der gør, at enheden med WXPE ikke kan isoleres, bør organisationerne udvise særlig stor opmærksomhed på uregelmæssigheder, f.eks. gennem en styrkelse af den løbende overvågning af logs samt gennem øget opmærksom på, om der konstateres sårbarheder i WXPE. 8) Helt ny løsning En enhed med WXPE vil ofte have en vis alder, og der kan være anledning til at vurdere, om arkitekturen i løsningen fortsat er tidssvarende. I en situation, hvor det ikke er enkelt at erstatte WXPE på en given enhed, bør organisationerne derfor overveje, om de kan udfase enheden, og hvordan det sikkerheds- og forretningsmæssige formål kan opnås ved brug af nye teknologier eller ad anden vej. 9) Afprøv den nye opsætning Uanset om organisationerne har opgraderet et eksisterende styresystem, isoleret enheden eller fundet en helt ny løsning, er det vigtigt at afprøve, om alt virker, som det skal. Mange enheder med embedded-styresystem vil være svære at tage ud af drift og idriftsætte på ny, hvorfor det er væsentligt, at organisationerne har overblik over de processer, der kan påvirke henholdsvis driftsstop og idriftsættelse af enheden. Samtidig bør organisationerne også teste, om enhedens opdaterings- og sikkerhedsprocedurer virker. Hvis det har en meget stor konsekvens, såfremt enheden bliver kompromitteret, kan organisationerne gennemføre en penetrationstest, der kan vise, hvor højt et sikkerhedsniveau der er implementeret på enheden. Kilde: roadmap/2014/01/managing-windowsxp-after-extended-support-ends Center for Cybersikkerhed Center for Cybersikkerhed bidrager til at beskytte Danmark mod cyberangreb med fokus på den kritiske ikt-infrastruktur. Det sker bl.a. ved, at Center for Cybersikkerhed varsler om cyberangreb, og ved at centeret efter nærmere vurdering bistår angrebne organisationer med at imødegå og afhjælpe cyberangreb. På Center for Cybersikkerheds hjemmesiden, cfcs.dk, er der yderligere information om cybertrusler og cybersikkerhed, herunder løbende opdaterede situationsbilleder, trusselsvurderinger, vejledninger samt en årlig risikovurdering. 4