======Litteratur: Cybersikkerhet for industrielle systemer====== Denne siden holdes oppdatert av [[https://www.ntnu.no/ansatte/mary.a.lundteigen|Mary Ann Lundteigen]], professor på teknisk kybernetikk, NTNU. ==== Oversikt over problemstillingen: ==== * [[https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf|US Cybersecurity & Infrastructure Security Agency (CISA) sin 2-sider]] ====Videoer og podcasts fra bransjeorganisasjoner og konferanser:==== **Videoer** * Nyttige videoer om cybersikkerhet for industrielle systemer ("OT"): * [[https://www.youtube.com/c/InternationalSocietyofAutomationISA|International Automation Association sine videoer]], spesielt: * [[https://www.youtube.com/playlist?list=PLC3fVVaSjwYFnmFFvKInJqD93i5muE_Xh|IACS Cybersecurity for CISOs - det vil si oppgaver for de som har ansvar innenfor cybersikkerhet ]] * [[https://www.youtube.com/playlist?list=PLC3fVVaSjwYEyz_t_npWQ9MccSSYU6zv8|Case eksempler cyberangrep]] * [[https://www.youtube.com/playlist?list=PLC3fVVaSjwYFFK1LnmHn-kLr2RCniIIez|Incident Command System for Industrial Control Systems (ICS4ICS)]] * Videoer fra store konferanser: * [[https://www.youtube.com/c/S4Events|"S4 Events - according to their own statements largest and most advanced ICS cyber security events in the world"]] - flere vidoer tilgjengelig på en rekke relevante tema * [[https://www.youtube.com/results?search_query=CS3Sthlm|CS3Sthlm - Conference for ICS/SCADA and Critical Infrastructure]] * How to revenge a PLC attack - an example from a PLC lab: * [[https://www.youtube.com/watch?v=pNNOUiR8EQo|Talk by Sharon Brizinov]] at the DEFCON Conference **Podcasts** * [[https://open.spotify.com/show/1F0k9fEq8q9f51n3ZQ584u|The Industrial Security podcast]] * [[https://darknetdiaries.com/|Darknet Diaries pod]] (some episodes concern industrial systems) ====Lærebøker:===== * [[https://books.google.no/books?id=uQEjtAEACAAJ&printsec=frontcover&dq=editions:ISBN3800753065&hl=no]|Guideline Industrial Security]] * [[https://link.springer.com/book/10.1007/978-3-319-75880-0|Cyber Security for Cyber Physical Systems]] by Saqib Ali, Taiseera Al Balushi, Zia Nadir, Omar Khadeer Hussain. Springer International Publishing (2018) ====Rammeverk og standarder:==== //NB: Studenter får tilgang til alle ISO, IEC, NORSOK standarder via [[https://innsida.ntnu.no/wiki/-/wiki/Norsk/Standarder|denne siden]]. // * [[https://www.standard.no/nettbutikk/sokeresultater/?search=iec+62443|IEC 62443 Security for industrial automation and control systems]] (består av mange deler/rapporter og er industriens (internasjonale) implementering av ISO 2700x standardene * IEC TR 63069: [[https://www.standard.no/nettbutikk/sokeresultater/?search=IEC+TR+63069|IEC TR 63069 Industrial-process measurement, control and automation - Framework for functional safety and security]]. Viser kobling mellom cybersikkerhet for industrielle kontroll og sikkerhetssystemer generelt og og funksjonell sikkerhet spesielt. * [[https://www.dnv.com/cybersecurity/recommended-practices/dnv-rp-g108-cyber-security-in-the-oil-and-gas-industry-based-on-IEC-62443.html|DNV RP G108 Retningslinje i bruk av IEC 62443 for oljebransjen]] utviklet av DNV * ISA 84.00.09 [[https://www.isa.org/products/isa-tr84-00-09-2017-cybersecurity-related-to-the-f|Cybersecurity Related to the Functional Safety Lifecycle]]. Innkjøpt til biblioteket hos NTNU (ikke del av standard.no abonnement). * EU direktiv for cybersikkerhet: [[https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC|Directive (EU) 2016/1148]] * Computer security rescource center (CSRC) publikasjoner fra (US) National institute of standards and technology (NIST): * [[https://www.nist.gov/cyberframework|Cybersecurity framework (CSF)]] * [[https://csrc.nist.gov/pubs/sp/800/30/r1/final|NIST SP 800-30 Guide for Conducting Risk Assessments|Guide for Conducting Risk Assessments]] * [[https://csrc.nist.gov/pubs/sp/800/218/final|NIST SP 800-218 Secure software development framework]] * [[https://csrc.nist.gov/pubs/sp/800/82/r3/final|NIST SP 800-32 Guide to industrial control systems security]] * [[https://csrc.nist.gov/glossary|Definisjoner og terminologi]] * European union agency for cybersecurity (ENISA) publikasjoner og rapporter: * [[https://www.enisa.europa.eu/publications/protecting-industrial-control-systems.-recommendations-for-europe-and-member-states|Protecting Industrial Control Systems. Recommendations for Europe and Member States]] * [[https://www.enisa.europa.eu/publications/methodology-for-a-sectoral-cybersecurity-assessment|Methodology for Sectoral Cybersecurity Assessments]] * [[https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox?v2=1|Interoperable EU Risk Mangement Toolbox]] * [[https://www.norskoljeoggass.no/arbeidsliv/retningslinjer/integrerte-operasjoner/104-anbefalte-retningslinjer-krav-til-informasjonssikkerhetsniva-i-ikt-baserte-prosesskontroll--sikkerhets--og-stottesystemer-ny-revisjon-pr-05.12.2016/|Offshore Norge Retningslinje 104]] for IKT-baserte prosesskontroll,-sikkerhet og støttesystemer ====Cybersikkerhet og Industri 4.0==== * [[https://www.dke.de/resource/blob/1711300/9e7add87021790df6d2dc57312e05302/security-standards-white-paper-for-sino-german-industrie-40-data.pdf|Security Standards White Paper for Sino-German Industrie 4.0/Intelligent Manufacturing]] ====Cyberrisikoanalyser:==== **Standarder og rammeverk:** * [[https://handle.standard.no/no/Nettbutikk/produktkatalogen/Produktpresentasjon/?ProductID=1174017|IEC 62443-3-2 Security for industrial automation and control systems - Part 3-2: Security risk assessment for system design]] * [[https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-toolbox?v2=1|ENISA Interoperable EU Risk Mangement Toolbox]] **Artikler:** * Finnes mange review-artikler, for eksempeldenne [[https://www.sciencedirect.com/science/article/pii/S0167404815001388|artikkelen]] ==== Metoder for å forstå og redusere konsekvensene av angrep ==== * [[https://inl.gov/national-security/cie/|Cyber-informed engineering]] - building in defenses against cyberattacks already from early design phase. Focusing both on cybersecurity countermeasures as well as "non-hackable" solutuions. * Guidelines referenced are found here at [[https://www.osti.gov/biblio/1995796|OSTI.gov]] * More information is also provided by [[https://www.energy.gov/ceser/cyber-informed-engineering|energy.gov]] * [[https://www.mitre.org/news-insights/publication/crown-jewels-analysis-industrial-control-systems |Crown Jewel Analysis (CJA) for ICS]] (utviklet av MITRE) * [[https://inl.gov/cce/|Consequence-driven cyberinformed engineering (CCE)]] (Utviklet av Idahoo National lab, USA * [[https://inl.gov/wp-content/uploads/2021/01/CCE-Phase-1-4-Reference-Document.pdf|CCE report]] * Case study [[https://www.osti.gov/biblio/1696803|"Stinky Cheese"]] * Case study [[https://www.osti.gov/biblio/1645032|"(Ukraine) Baltavia Power outage"]] * [[https://www.sans.org/reading-room/whitepapers/ICS/paper/36297|The industrial control System cyber kill chain]] (utviklet av SANS, en anerkjent forening som gir ulike type opplæring og kursvirksomhet innenfor cybersikkerhet. * Foreslått [[https://www.plc-security.com/1| Top 20 Secure PLC konfigurering]] og [[https://lookerstudio.google.com/embed/reporting/56daef42-12e3-4e39-b0f4-a69d8a17f426/page/p_cp9zmfwwyc|tilhørende interaktiv nettside]] ==== Verktøy for å avdekke sårbarheter: ==== * CISA presenterer [[https://www.cisa.gov/free-cybersecurity-services-and-tools|tabeller]] med eksempler verktøy (ekspander under overskrifter på siden): * [[https://www.cisa.gov/cyber-resource-hub|Generell oversikt]] over verktøy for å vurdere sårbarheter etc * Eksempel: Verktøy for å vurdere tiltak mot "randsomware" for IT og OT systemer: [[https://www.cisa.gov/stopransomware/cyber-security-evaluation-tool-csetr|Cybersecurity evaluation tool (CSET)]] og tilhørende [[https://github.com/cisagov/cset|github]] * Eksempler på verktøy for deteksjon og overvåkning (IDS og/eller IPS): * [[https://github.com/cisagov/ICSNPP|ICSNPP]] (kompatibelt med Zeek - tidligere Bro) * [[https://www.snort.org/|Snort/Snort 2]] (network) * [[https://suricata.io/|Suricata]] (network) * [[https://zeek.org/|Zeek]] (tidligere Bro) (network) * [[https://www.ossec.net/|OSSEC]] (host) * [[https://github.com/cisagov/Malcolm|Malcom]] * [[https://www.nozominetworks.com/|Nozomi]] * [[https://claroty.com/|Claroty]] * [[https://www.dragos.com/cybersecurity-platform/|Dragos]] * Idaho National Laboratory (INL) [[https://www.osti.gov/servlets/purl/1376870/|undersøkelse av cybersecurity verktøy]] * Vertkøy for å identifisere OT utstyr på nettet med sårbarheter: * [[https://www.shodan.io/explore/category/industrial-control-systems|Shodan]] * [[https://www.cisa.gov/publication/stuff-off-search|Stuff off search (CISA)]] * [[https://attackevals.mitre-engenuity.org/|MITRE Engenuity]] som sammenligner analyser som er gjort. Eksempelvis for Triton vist [[https://attackevals.mitre-engenuity.org/ics/triton/|her]]. ====Datasett å analysere cyberangrep for OT systemer:==== * [[https://sites.google.com/a/uah.edu/tommy-morris-uah/ics-data-sets|Industrial Control System (ICS) Cyber Attack Datasets]] * [[https://itrust.sutd.edu.sg/itrust-labs_datasets/|iTrust from Singapore University of Technology and Design (SUTD)]] ==== Organisasjoner som analyserer cyberhendelser, publiserer rapporter, presenterer statistikk mm:==== * [[https://dragos.com/|Dragos]] (Amerikansk. Etablert av anerkjente eksperter, blant annet Robert M. Lee) * [[https://www.cisa.gov/|Cybersecurity and Infrastructure Security Agency (CISA)]] * [[https://www.mitre.org|MITRE]] (Amerikansk, ikke-kommersiell organisasjon) som drifter sider som: * [[https://collaborate.mitre.org/attackics/index.php/Main_Page|ATT&CK for ICS]] * [[https://d3fend.mitre.org/ |MITRE defend]] * [[https://cve.mitre.org/|CVE]] - Common vulnerabilities and exposures, where searchers are available from [[https://cve.mitre.org/cve/search_cve_list.html|CVE search]] * [[https://cwe.mitre.org/|CWE]] – Common Weakness Enumeration * [[https://capec.mitre.org/|CAPEC]] – Common attach pattern enumeration and classification * [[https://www.mitre.org/publications|Pulikasjoner]] fra MITRE * [[https://www.logiic.org/|LOGIIC program]] (Amerikansk programside) Inneholder rapporter og presentasjoner i forbindelse med samarbeid mellom olje og gassindustrien og myndighetsorgan for å forbedre cybersikkerhet * [[https://www.sans.org/emea/|SANS Institute]] (USA, privat): Gir kurs og opplæring, generelt men også et utvalg rettet mot ICS. Ved å registrere bruker kan man også få mulighet til å delta på ulike events. * [[https://www.sans.org/webcasts/?msc=main-nav|Web-casts]] - kan også høre innlegg gitt tilbake i tid. * [[https://www.sans.org/mlp/free-cybersecurity-events/?msc=main-nav|Tilgang til gratis"events"SANS summits]] * [[https://www.sans.org/white-papers/?msc=main-nav|Whitepapers]] ====Organisasjoner som overvåker cybersikkerheten og sårbarheter:==== * [[https://dragos.com/|Dragos]] (Amerikansk. Følger med globalt. ) * [[https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/|Nasjonal cybersikkerhetssenter (NCSC)]]. Nasjonalt senter som samtidig er en arena for nasjonalt og internasjonalt samarbeid for håndtering av digital sikkerhet * [[https://nsm.no/om-oss/historien-om-nsm/nsm-norcert-etableres|NorCert - Norwegian Computer Emergency Response Team]]. Funksjon utført av NCSC (Norsk. Alle sektorer) * [[https://www.kraftcert.no/no/|KraftCERT]] Cyberresponsmiljø for sektorene kraft og petroleum, men støtter også prosessindustri, vann- og avløpssektoren samt energigjennvinning * [[https://www.cisa.gov/uscert/|US-CERT]] (Amerikansk) Responsteam for cyberhendelser. Organisert under Department of Homeland Security (DHS) og Infrastructure Security Agency (CISA). * [[https://www.normacyber.no/|NORMA-Cyber]] (Norsk) Senter som leverer tjenester til Norske skipseiere og andre aktører i maritim industri. * [[https://www.cisa.gov/|CISA]] - Cybersecurity and Infrastructure Security Agency: * [[https://www.cisa.gov/ics|Oversikt over ICS relaterte tjenester]], informasjon og verktøy * [[https://www.cisa.gov/news-events/cybersecurity-advisories|Liste over varsler og sårbarheter publisert av CISA]] * Eksempel på advarsel [[https://www.cisa.gov/uscert/ncas/alerts/aa22-103a|AA22-103A]] om sårbarheter i OT systemer der det er kjent at aktører har utviklet verktøy for å utnytte disse. * [[https://www.cisa.gov/known-exploited-vulnerabilities-catalog|Oversikt over sårbarheter som er utnyttet]] fra CICA * [[https://www.cisa.gov/uscert/ncas/current-activity/2022/09/22/cisa-and-nsa-publish-joint-cybersecurity-advisory-control-system|Eksempler på strategier]] for å beskytte mot cyberangrep ====Om hendelser og noen eksempler på malware i fokus nå:==== //Kildene er bare eksempler. Finnes både grundigere rapporter og artikler.// * [[https://www.osti.gov/servlets/purl/1505628.71Nicole|History of Industrial Control System Cyber Incidents (2018)]] laget av Idaho National Lab (USA) * [[https://doi.org/10.1016/j.ress.2021.107485|Analyse av cyberhendelser i prosessindustrien]] * Stuxnet - [[https://www.sciencedirect.com/topics/computer-science/stuxnet|samling av artikler]] * Analyse av hackerangrep vannsdistribusjon Florida utført av [[https://www.dragos.com/resource/analyzing-a-new-water-watering-hole/|Dragos]] * Læringspunkter fra angrepet på rørledningen "Colonial pipeline" oppsummert av [[https://www.dragos.com/blog/industry-news/recommendations-following-the-colonial-pipeline-cyber-attack/|Dragos]] * Cyberangrep på uran-anrikingsanlegg i Iran (2010): [[https://darknetdiaries.com/episode/29/|Episode 29 om Stuxnet]]. Intervjuet er også gjengitt i [[https://darknetdiaries.com/transcript/29/|skriftsform]] * Cyberangrep på kraftdistribusjonsanlegg i Ukraina (2015&2016). * Oppsummering av [[https://www.dragos.com/resource/crashoverride-analyzing-the-malware-that-attacks-power-grids/|Dragos]] av malware som Black Energy (2015) og Industroyer / C(R)ASHOVERRIDE (2016). Se også denne [[https://www.dragos.com/wp-content/uploads/CrashOverride-01.pdf|Dragos-rapporten]]. * Stegvis gjennomgang med vurdering av effekt av IEC 62443 krav [[https://blog.isa.org/lessons-learned-forensic-analysis-ukrainian-power-grid-cyberattack-malware|utført av ISA]] * Cyberangrep på sikkkerhetssystemene ved et prosessanlegg i Saudi-Arabia: [[https://darknetdiaries.com/episode/68/|Episode 68 om Triton]]. Interjuet er også gjengitt i [[https://darknetdiaries.com/transcript/68/|skriftsform]]. Merk at Triton også er kjent som Trisis. *Simulert angrep på en sikkerhets PLC [[https://www.dragos.com/resource/mitre-engenuity-attack-evaluations-for-ics-whitepaper-2021/|Dragos whitepaper]] Malware i fokus per nå: * PIPEDREAM her [[https://youtu.be/H82sbIwFxt4|presentert av CEO Robert Lee på S4 i 2022]] - kanskje ikke noen over eller på siden av den akkurat nå! ====Databaser å søke etter hendelser i:==== * [[https://www.risidata.com/Database|RISI]] - Repository of Industrial Security Incidents (ikke oppdatert siden 2015, men de jobber med saken) * [[https://www.aria.developpement-durable.gouv.fr/?lang=en|ARIA]] - Analysis, Research and Information on Accidents (Dekker alle typer industrielle ulykker, men har skrevet litt om cybersikkerhet her [[https://www.aria.developpement-durable.gouv.fr/wp-content/uploads/2017/08/2017_08_18_Note_cyberterrorisme_JFM_vfinale_EN.pdf|veiledning]] til å finne ulykker knyttet til kontrollsystem) ====Status i ulike bransjer:==== __Petroleumsindustrien:__ * [[https://www.ptil.no/fagstoff/utforsk-fagstoff/prosjektrapporter/2021/ikt-sikkerhet--robusthet-i-petroleumssektoren-ii/|IKT sikkerhet - robusthet i petroleumsindustrien II]] (flere rapporter utgitt i 2021) * [[https://www.ptil.no/globalassets/fagstoff/prosjektrapporter/ikt-sikkerhet/ikt-sikkerhet-og-uavhengighet-2021.pdf|Cybersikkerhet og uavhengighet]] * [[https://www.ptil.no/fagstoff/utforsk-fagstoff/podkast/podkast-ikt-sikkerhet-i-petroleumssektoren/|IKT sikkerhet i petroleumssiden]] (podcast) * [[https://www.ptil.no/fagstoff/utforsk-fagstoff/video/2021/dealing-with-the-dark-side/|IKT sikkerhet: Dealing with the dark side]] (video) * [[https://doi.org/10.1109/ACCESS.2020.3007960|Systematisk gjennomgang]] av cyberhendelser i Olje og gassvirksomheten * Eksempel på oppsummering av tilsyn om bedrifters håndtering av cybersikkerhet: * [[https://www.ptil.no/tilsyn/tilsynsrapporter/2019/aker-bp--valhall-ph--ikt-sikkerhet/|Valhall/AkerBP]] * [[https://www.ptil.no/tilsyn/tilsynsrapporter/2020/gassco--kollsnes--informasjonssikkerhet-for-industrielle-ikt-systemer/|Kolsnes/Gassco]] * [[https://www.ptil.no/tilsyn/tilsynsrapporter/2020/neptune--gjoa--informasjonssikkerhet-for-industrielle-ikt-systemer/|Gjøa/Neptune]] * Oversikt over alle rapporter som dokumenterer studier finansiert og publisert av petroleumstilsynet: * [[https://www.ptil.no/sok-fagstoff/?q=IKT+sikkerhet&fc=408|Fagstoff om IKT-sikkerhet]] * [[https://www.ptil.no/fagstoff/utforsk-fagstoff/video/2019/skjerpet-innsats-for-ikt-sikkerhet/|Video om digital sikkerhet]] __Rapporter energisektor:__ * [[https://www.dnv.com/cybersecurity/cyber-insights/thecyberpriority.html|DNV rapport om tilstand cybersikkerhet i energibransjen]] __Maritim sektor:__ * [[https://www.sdir.no/contentassets/174739a55adb44098b05bcb8ef3b2f65/2020-12-18---rapport-overordnet-strategi-for-maritim-digital-sikkerhet---v3-klar-til-levering-nfd-og-sd.pdf?t=1610910211600|Sjøfartsdirektoratets strategi]] for digital sikkerhet * [[https://www.tu.no/artikler/sarbarhetsstudie-beskriver-fem-hittil-ukjente-dataangrep-mot-skip/505393?key=Spmr7XtP|Cybersikkerhet]] i media * Lysneutvalget om [[https://www.regjeringen.no/contentassets/fe88e9ea8a354bd1b63bc0022469f644/no/sved/7.pdf|digitale sårbarheter i maritim sektor]] (DNV-GL) * [[https://www.dnv.com/maritime/dnv-rp-0496-recommended-practice-cyber-security-download.html|DNV retningslinje DNV-RP-0496]] Cyber security resilience management for ships and offshore units in operation * [[https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx|Internasjonalt regelverk fra IMO]] (international maritime organization) ==== Masteroppgaver knyttet til OT cybersecurity:==== NTNU - Engineering cybernetics * Mina Helena Rørvik Haver (2023). [[https://hdl.handle.net/11250/3093314|Using Integrated Safety and Cybersecurity Risk Assessment Methods for Operational Technology over the Entire System Life-cycle]] * Maja Simons Markusson (2023). [[https://hdl.handle.net/11250/3093315|Consequence-based Detection of Cyberattacks in Operational Technology]] * Kristine Sørum Bakken (2023). [[https://hdl.handle.net/11250/3093316|Application of Combined Safety and Cybersecurity Risk Analysis of Industrial Automation and Control Systems]] * Karine Borgerud (2022). [[https://ntnuopen.ntnu.no/ntnu-xmlui/handle/11250/3093928|Combined Safety and Security Analysis on an Autonomous Passenger Ferry Using CyPHASS]] * Sander Endresen (2022). [[https://ntnuopen.ntnu.no/ntnu-xmlui/handle/11250/3025734|Cyber security handling in manufacturing plants]] * Lars Flå (2021). [[https://ntnuopen.ntnu.no/ntnu-xmlui/handle/11250/2781029|Threat modeling framework for smart grids]] * Sigurd Skaret (2020). [[https://ntnuopen.ntnu.no/ntnu-xmlui/handle/11250/2780986|Cybersecurity for process control with cloud solutions]] Andre universitet: * Vegard Berge [[https://bora.uib.no/bora-xmlui/handle/11250/3140895|Enhanced Anomaly Detection in Industrial Control Systems aided by Machine Learning]]