2017年、中東の石油化学施設は、プロセス安全システムを特に標的としたマルウェアの最初の被害者という不運な結果となった。TRITONのおかげで、石油・ガス産業はSISプロセス安全性とICSサイバーセキュリティの融合のゼロ地点となった。それまでサイバー脆弱性とは真剣に考えられていなかったプロセス安全システムが、突然スポットライトを浴びることになったのです。
プロセス安全システムは安全に設計されているが、必ずしもサイバーセキュアではない。油田やオフショアプラットフォームのような上流のアプリケーションから、精製や石油化学のような下流のアプリケーションに至るまで、石油・ガス産業は、プロセス安全システムのインストールベースが圧倒的に多く、したがって最も危険にさらされている。
TRITON/TRISIS/HatManマルウェア事件は、プロセス安全と産業用制御システムの世界は、潜在的なサイバー脅威の観点からだけでなく、全体的に見るべきであることを証明した。これには、制御システムとプロセス安全資産を監視し、プロセス安全領域に存在する膨大な知識をICSサイバーセキュリティの世界に適用するための統一されたアプローチが必要である。
"非正規デバイス "の国で
プロセス安全システムは、製油所や石油化学プラントの異常事態とプラ ント事故との間の最後の防衛線であることが多い。プラント事故は、比較的軽微なものから、プロセスプラントやその周辺地域で何百人もの命を奪ってきた大規模な爆発や火災に及ぶことがあります。異常事態が発生した場合、安全システムはトリップし、プラントをシャットダウンするか、さもなければ安全な状態にします。
プロセス・セーフティ・コントローラは、通常、プラント制御アプリケーションの大部分を扱う一般的な産業用制御システムまたは DCS とは別に存在するため、サイバーセキュリティ・コミュニティでは「文書化されていないデバイス」と呼ばれています。
このカテゴリーに分類されるシステムは、プロセス安全システムだけではありません。コンプレッサー制御システム、バーナー管理システム、貯蔵ターミナル自動化システム、その他の補助システムなど、知名度の高い ICS システムの領域外に存在するシステムは数え切れないほど多く設置されており、これらはすべて産業プラントの重要なアプリケーションを制御しているが、サイバーセキュリティに関してはあまり注目されていない。
新世代の脅威に対応する新しいツール
プロセス安全システムは、安全計装システム(SIS)とも呼ばれ、ICSまたは分散制御システムと並行して動作する、それ自体が真のシステムである。
SISには、独自のプロトコル、特定のハードウェア、エンジニアリング・ワークステーション、アプリケーションなどが含まれる。国家が支援するハッキング・グループは、こうしたシステムのリバース・エンジニアリングや侵入に多大なリソースを投入しているが、エンド・ユーザーは、こうした「文書化されていない」システムや資産をサイバーセキュリティ戦略全体の一部として取り込む必要があるだろう。研究者たちがこうした新しい形態のマルウェアについて理解を深めるにつれて、エンドユーザーが武器庫に追加できる新しいツールも利用できるようになるだろう。
Nozomi Networks は、TRISIS/TRITON/HatManに多大な研究を行ってきたサプライヤーの一つで、エンドユーザーがプロセス安全システムへの侵入や脅威を検知するのに役立つ新しいツールも開発しています。Wireshark用のTriStationプロトコル・プラグインや、実際のTriconexコントローラーをシミュレートするTriconexハニーポット・ツールなどです。
サイバー攻撃の新顔?
敵対する国家による米国の重要インフラや製造業への組織的なサイバー攻撃の脅威が高まっている。つい数カ月前、米国土安全保障省は、最近の産業および重要インフラ攻撃を引き起こした主要なハッキング・グループを、ロシア国家がスポンサーであると認定した。
製造業、プロセス産業、発電・T&D、原子力、上下水道、さらにはビル管理やスマートシティ分野のエンドユーザーは、この脅威を取り巻くガイダンスについて最新の情報を得る必要がある。
安全システムを超えて真のコンバージェンスへ
プロセス安全とサイバーセキュリティの世界は密接に絡み合っている。最近のマルウェア事件では、プロセス安全システムが、おそらく国家が支援したハッキンググループによって攻撃されました。プロセス安全システムは、産業用制御システム(ICS)を苦しめるマルウェアやサイバー攻撃と決して無縁ではありませんでした。
プロセス安全システムにおけるサイバー脆弱性は、サイバーセキュリティ製品やソリューションをこれらのシステムに適用するだけでは解決できない。プロセス・オートメーション・システムと同様に、サイバーセキュリティはシステムのライフサイクル全体を通じてプロアクティブに対処する必要がある。安全性とサイバーセキュリティの分野は、互いに多くのことを学ぶことができる。例えば、プロセス安全ライフサイクルで一般的に実行される HAZOP とリスク分析の原則は、すでに ICS サイバーセキュリティに適用されている。
何ができるか?
プロセスセーフティシステムと産業用制御システムインフラストラクチャ全体のセキュリティを強化するために、エンドユーザが今日から実行できる具体的な手順は数多くある。プロセス安全と同様に、ICS サイバーセキュリティはライフサイクルの観点からアプローチされるべきである。これらのステップの中には、キャビネットの施錠や、プログラミング・モードでないときのセーフティ・ロジック・ソルバーの手動キー・スイッチの施錠など、安全システムのコンフィギュレーションやエンジニアリングで適切な手順を実施するような簡単なものもあります。
その他のステップには、サイバー攻撃を監視・検知するための適切なツールやアプリケーションの使用が含まれる。文書化されていないデバイス」の状況を文書化し、プロセス安全や、これまでICSサイバーセキュリティの一部と見なされていなかったその他のアプリケーションに関連するシステムやネットワークを含める必要がある。
