Mit einem risikobasierten Ansatz den Code zur Cybersicherheit knacken: bewährte Praktiken von Emerson für Energie- und Wasserlieferanten
Von Bob Yeager
Für die Strom- und Wasserindustrien ist die digitale Transformation in vielerlei Hinsicht Segen und Fluch zugleich.
Einerseits haben unglaubliche technologische Fortschritte – darunter die Konvergenz von Informationstechnologie (IT) und Betriebstechnologie (OT), verbesserte Konnektivität, optimierter Zugriff auf größere Datensätze und vieles mehr – die Möglichkeiten von Versorgungsunternehmen und Kommunen revolutioniert, ihre Betriebsabläufe zu optimieren, dezentrale Energieressourcen sicher zu verwalten und weiterhin zuverlässige, kostengünstige Energie zu erzeugen und sauberes Wasser zu produzieren.
Andererseits werden Energie- und Wasserlieferanten, die ihre Geschäftstätigkeit transformieren, um von den oben genannten Vorteilen zu profitieren, zunehmend anfällig für Cybersicherheitsangriffe und -bedrohungen. Dies gilt insbesondere dann, wenn sie nicht den richtigen Ansatz oder Partner haben, um sich zu schützen.
Heutzutage treten zunehmend Cybersicherheitsangriffe auf kritische Infrastrukturen auf. Die US-Umweltschutzbehörde veröffentlichte ein Memorandum, in dem sie die Notwendigkeit einer Überprüfung der Sicherheitspraktiken lokaler Wasserversorgungssysteme betonte, und Dragos – ein führendes Unternehmen im Bereich der industriellen Cybersicherheit – berichtete kürzlich über einen anhaltenden Anstieg der Vorfälle im Energiesektor.
Mehr Angriffe bedeuten höhere Kosten. Tatsächlich werden die weltweiten jährlichen Kosten für Cybersicherheitsangriffe und -bedrohungen im Jahr 2023 voraussichtlich 8 Billionen US-Dollar betragen, gegenüber 3 Billionen US-Dollar im Jahr 2015, und bis 2025 voraussichtlich auf 10,5 Billionen US-Dollar ansteigen.
Mit mehr verteilten Energieressourcen, wie Windparks, Solaranlagen und Mikronetzen, die erneuerbaren Strom in das Netz einspeisen, sodass kritische Infrastruktur mit Strom versorgt werden können, haben Hacker noch mehr Möglichkeiten, den Stromfluss aus der Ferne zu stören. Das US- Energieministerium erklärte in einem Bericht vom Oktober, dass dezentrale Energiequellen „neue Herausforderungen für die Cybersicherheit des Stromnetzes darstellen“ und daher mit Sicherheit als „Kernkomponente“ konzipiert werden sollten.
Da Hacker stets geschickter werden, anspruchsvollere Techniken einsetzen und sich in vielen Fällen weiterentwickeln und schneller Neuerungen vornehmen als die Unternehmen, die sie ins Visier nehmen, stellt sich die Frage: Welche Maßnahmen können Unternehmen ergreifen, um die Hacker abzuwehren?
Ein risikobasierter Ansatz für die Cybersicherheit
Unabhängig von der Branche kann die Einführung eines risikobasierten Ansatzes Ihnen helfen, potenzielle Schwachstellen zu identifizieren und Ihr Unternehmen jetzt und in Zukunft zu schützen. Ein risikobasierter Ansatz dient nicht dem Schutz vor allen Bedrohungen, sondern der Identifizierung potenzieller Schwachstellen und der Treffen strategischer Entscheidungen auf der Grundlage der Wahrscheinlichkeit und der Auswirkungen jeder einzelnen Schwachstelle.
Wenn Sie Ihre Cybersicherheitsmaßnahmen verstärken, sollten Sie diese Vorgehensweisen berücksichtigen, um sicherzustellen, dass Ihr Ansatz ganzheitlich ist und sich ständig weiterentwickelt:
Beurteilen Sie die Risiken.
Dank einer Risikobeurteilung erhält Ihr Unternehmen wichtige Erkenntnisse, die Ihnen helfen, Risiken im Voraus zu mindern. Bei einer Beurteilung ermitteln Sie die Einsatzbereitschaft der wichtigsten Komponenten für die Cybersicherheit, wie Netzwerksicherheit, Datenverwaltung, Perimeterschutz und mehr, und erlangen ein besseres Verständnis der allgemeinen Sicherheitsposition Ihres Systems.
Beschränken Sie den Zugriff auf Systeme.
Sicherheitsmaßnahmen können umständlich sein und den Verzicht auf umfassende Sicherheit verführerisch machen, aber genau das ist es, worauf die Angreifer zählen. Beschränken Sie den Systemzugriff, indem Sie sicherstellen, dass Ihre Arbeitskräfte die Sicherheitsrichtlinien einhalten, Risiken ständig neu beurteilen und dabei helfen, die richtige Sicherheitskultur im Unternehmen aufzubauen.
Legen Sie strenge Richtlinien fest.
Selbst ausgefeilte, sichere Maßnahmen können durch menschliches Versagen nutzlos gemacht werden. Aus diesem Grund ist es wichtig, dass Arbeitskräfte die strengen Verwaltungsrichtlinien kennen und einhalten, um die Risiken durch Social Engineering, Phishing und die damit verbundenen Angriffe zu reduzieren.
Rüsten Sie Ihr Steuerungssystem auf.
Ausfallzeiten sind kostspielig und sollten so weit wie möglich vermieden werden. Durch die rechtzeitige Installation von Patches und System-Upgrades können Sie Ausfallzeiten minimieren und gleichzeitig das Risiko ungeschützter Server und Workstations beseitigen.
Gehen Sie über den Perimeterschutz hinaus.
Angreifer gehen häufig davon aus, dass ein Perimeterschutz vorhanden ist und verwenden daher gängige Protokolle und bekannte Service-Anschlüsse, um Komponenten des Steuerungssystems zu kompromittieren. Um gezielte Angriffe abzuwehren, kontrollieren Sie den Systemperimeter und schützen Sie potenzielle Einstiegspunkte, indem Sie anpassbare Firewalls einsetzen und kontinuierlich nach Sicherheitslücken suchen.
Lassen Sie nur beschränkt Fernzugriff zu.
Fast alle Steuerungssysteme werden mit einer Form von Fernvernetzbarkeit bereitgestellt − aber nur weil Fernzugriff die Norm ist, ist er noch lange nicht sicher. Stellen Sie sicher, dass Systeme, bei denen Fernzugriff erforderlich ist, überwacht werden und sicher implementiert sind. Sie können für zusätzliche Sicherheit sorgen, indem Sie mehrere Authentifizierungsebenen einrichten.
Machen Sie sich mit Ihrem Steuerungssystem vertraut.
Nachdem Sie Ihren risikobasierten Ansatz für Cybersicherheit entwickelt und bereitgestellt haben, muss sichergestellt werden, dass Sie die möglichen Risiken ständig überwachen und potenzielle Angriffe und Bedrohungen so schnell wie möglich erkennen. Der richtige Ansatz für Cybersicherheit ist ein Ansatz, der sich ständig weiterentwickelt und anpasst.
Für Energieversorger oder kommunale Versorgungsunternehmen, die innovativ sein und mit der heutigen Konkurrenz Schritt halten wollen, ist die digitale Transformation nicht mehr nur ein „nice to have“, sondern unverzichtbar. Die bestehenden Risiken sollten diese Unternehmen nicht daran hindern, Vorzüge wie verbesserte Zusammenarbeit und höheres Innovationspotenzial der Arbeitskräfte, bahnbrechende betriebliche Verbesserungen und mehr zu genießen.
In der sich ständig verändernden Landschaft der Cybersicherheit sind die oben genannten Praktiken außerdem nur ein Ausgangspunkt. Um ihre Betriebsabläufe und ihren risikobasierten Ansatz zum Schutz ihrer Anlagen wirklich zu optimieren, automatisieren Energie- und Wasserversorgungsunternehmen heute ihre Prozesse und integrieren nahtlos branchenführende Cybersicherheitslösungen – wie das Ovation™-Steuerungssystem von Emerson, das vom US-Heimatschutzministerium als qualifizierte Anti-Terror-Technologie ausgewiesen und zertifiziert ist – in ihre Geschäftsabläufe.
Unabhängig davon, wo sich ein Unternehmen auf seinem Weg zur Cybersicherheit befindet, gibt es immer Möglichkeiten zur Verbesserung, zur Weiterentwicklung und zur besseren Vorbereitung auf die nächsten potenziellen Angriffe oder Bedrohungen, die in der Nähe lauern.
Nur weil ein Angriff noch nicht geschehen ist, bedeutet dies nicht, dass Sie vor ihm sicher sind. Nehmen Sie sich also heute die Zeit, den richtigen Ansatz zu entwickeln und mit dem richtigen Partner zusammenzuarbeiten. Sie werden morgen dafür dankbar sein.
