Penetrační test SCADA/OT

Industriální sítě (OT = Operational Technology) a řídicí systémy (ŘS, SCADA = Supervisory Control And Data Acquisition, ICS = Industrial Control System) vyžadují specifický přístup k posouzení jejich kybernetického zabezpečení.

Požadavky na vysokou spolehlivost omezují možnosti instalace bezpečnostních aktualizací. Navíc jsou často využívány pomaleji vyvíjené standardizované průmyslové protokoly, jejichž zabezpečení nemusí odpovídat současným požadavkům. Podstatné je proto také posoudit míru oddělení OT sítě od okolního prostředí.

Přínosy

Testy OT/ICS/SCADA jsou vždy připravovány na základě důkladné konzultace se zákazníkem. Snažíme se vytvořit scénáře, které odpovídají rizikům, kterých se provozovatel systému obává.

Obvykle není k dispozici žádné testovací prostředí. Testování proto vždy probíhá v kooperaci se zákazníkem, abychom pokud možno předešli jakýmkoli nežádoucím dopadům na provoz. Typicky se vyhýbáme invazivnějším testům.

Specifické prostředí OT často neumožňuje nalezené nedostatky rychle opravit. Přesto je jejich znalost nezbytná pro správné vyhodnocení rizik a pro plánování budoucího rozvoje.

Řídicí a dohledové systémy mohou být též zařazeny mezi kritickou infrastrukturu státu. I proto by měly být prověřovány penetračním testováním.

Průběh testů

Testování obvykle probíhá přímo u zákazníka za jeho dohledu a podpory.

Testované oblasti lze přizpůsobit dle konkrétních požadavků. Testy mohou zahrnovat například:

• oddělení SCADA/OT sítě od okolí (kancelářské sítě zákazníka, internetu, ...),

• segmentaci a prostupy uvnitř OT sítě,

• možnosti přenosu dat mezi OT sítí a okolím,

• prověření možností fyzického připojení zařízení do OT sítě,

• zabezpečení běžných počítačů využívaných pro běh SCADA systému (serverů i klientů),

• SCADA klienta jakožto desktopovou (případně webovou) aplikaci a příslušný serverový backend,

• komunikaci na úrovni OT protokolů jako jsou IEC 101 (standard IEC 60870-5-101), IEC 104 (standard IEC 60870-5-104), DNP3, Modbus, Profibus, BACnet a další.

Další typy testů

Vedle testů zmíněných v předchozí sekci poskytujeme také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled. Mnohé z nich mohou být pro specifické nasazení SCADA/OT relevantní.

Závěrečná zpráva

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.