/ / Antworten auf Cyber ​​Intrusion in SCADA System

Antworten auf Cyber ​​Intrusion im SCADA-System

Antworten auf Cyber ​​Intrusion im SCADA-System

Antworten auf Cyber ​​Intrusion im SCADA-System


Fortsetzung aus dem technischen Artikel: Cyber ​​Intrusion in SCADA-System erkennen


Die drei R als Antwort

Die „drei R“ der Antwort auf Cyber-Intrusion sind

  1. RAufnahme,
  2. Reporting, und
  3. REstoring.

Theoretisch wäre es wünschenswert Aufzeichnung aller Datenkommunikation in und aus allen Geräten der Unterstation.

Auf diese Weise, wenn ein Eindringling greift das System erfolgreich ankönnen die Aufnahmen zur Bestimmung herangezogen werden welche Technik der Eindringling verwendete, um das System zu ändern und diese bestimmte Sicherheitsanfälligkeit zu schließen. Zweitens wäre die Aufzeichnung für die Identifizierung des Eindringlings von unschätzbarem Wert.

Wenn die Aufzeichnung auf nachweislich unabänderliche Weise erfolgt, kann sie außerdem als Beweismittel vor Gericht zugelassen werden, wenn der Eindringling gefasst wird.

Alstom und Cisco entwickeln sichere Automatisierungslösung für digitale Unterstationen

Alstom und Cisco entwickeln sichere Automatisierungslösung für digitale Unterstationen


Aufgrund der hohen Frequenz von SCADAKommunikation, die niedrigen Kosten für Kommunikationsausrüstung der Unterstation und die Tatsache, dass die Unterstationen vom Sicherheitspersonal des Unternehmens entfernt sind, kann es unmöglich sein, alle Kommunikationen aufzuzeichnen.

</ p>

Ja aber…

In der Praxis werden Systembesitzer, obwohl theoretisch wünschenswert, wahrscheinlich alle Versuche zurückstellen die Datenkommunikation der Unterstation aufzeichnen bis um:

  1. Es werden Speichermedien entwickelt, die schnell, umfangreich und kostengünstig sind
  2. Es werden SCADA-orientierte IDSs entwickelt, die den nicht verdächtigen normalen Verkehr herausfiltern und nur die abweichenden Muster aufzeichnen können.

Aber auch wenn die für ein Eindringen verantwortliche Kommunikationssequenz bei ihrem Auftreten weder erkannt noch aufgezeichnet wird, Dennoch ist es wichtig, dass Verfahren entwickelt werden, um den Dienst nach einem Cyberangriff wiederherzustellen.

Es ist äußerst wichtig, dass das Dienstprogramm Sicherungskopien der Software aller programmierbaren Unterstationseinheiten und Dokumentation bezüglich der Standardparameter und Einstellungen aller erstellt IEDs (Intrusion Detection Systems). Diese Sicherungen und Dokumentation sollten in einem sicheren Speicher aufbewahrt werden, der normalerweise nicht für die Mitarbeiter der Umspannstation zugänglich ist.

Es erscheint ratsam, dass Diese Sicherungen werden an einem anderen Ort als der Unterstation selbst aufbewahrt um den Schaden, den ein böswilliger Insider anrichten könnte, zu senken.

Simatic WinCC Scada V6 und V11

Simatic WinCC Scada V6 und V11 mit Ausrüstung wie Motor, Pumpe, VFD, Ventil, Auto-Manuell-Station usw.


Nachdem das Dienstprogramm zu dem Schluss gekommen ist, dass ein bestimmtes programmierbares Gerät beschädigt wurde (in der Tat, wenn nur ein erfolgreiches Eindringen vermutet wird), sollte die Software aus dem sicheren Backup neu geladen werden.

Wenn die Einstellungen an einem IED unrechtmäßig geändert wurden, Die ursprünglichen Einstellungen müssen wiederhergestellt werden.

Es sei denn, die Art der Verletzung der Sicherheit istBekannt und reparierbar, sollte das Dienstprogramm ernsthaft erwägen, das Gerät offline zu stellen oder auf andere Weise unzugänglich zu machen, um eine zukünftige Ausnutzung derselben Sicherheitsanfälligkeit zu verhindern.

Ressource: Electric Power Substations Engineering - J. D. McDonald (Get by Amazon)

Bemerkungen: