DYNACON

SOC OT - MONITOROWANIE STANU BEZPIECZEŃSTWA INFRASTRUKTURY AUTOMATYKI PRZEMYSŁOWEJ ORAZ REAGOWANIE NA ZDARZENIA

Dla zapewnienia skutecznego monitorowania bezpieczeństwa infrastruktury OT oraz reagowania na zidentyfikowane incydenty bezpieczeństwa i zagrożenia wskazane jest utworzenie w organizacji komórki Security Operations Center (SOC) lub wynajęcie istniejącego SOC. Dedykowany dla przemysłu SOC w Dynacon został zbudowany dla zwiększenia odporności na cyberzagrożenia Operatorów Usług Kluczowych i Infrastruktury Krytycznej.
Nadrzędnym celem utworzenia SOC jest centralizacja monitorowania bezpieczeństwa w celu wykrywania zdarzeń niepożądanych, a następnie właściwego reagowania na wykryte zdarzenia. SOC odpowiedzialny jest także za koordynowanie zadań związanych z obsługą niepożądanych zdarzeń w organizacji oraz ich raportowanie. Zapewnienie jednolitego i ciągłego procesu monitorowania bezpieczeństwa pozwoli na skuteczne zapobieganie i reagowanie na incydenty bezpieczeństwa, a w przypadku ich wystąpienia zapewni szybką i skoordynowaną reakcje OUK.

Szczegóły opisu działania SOC będą znajdować się na dedykowanej stronie www.soc.energy, na której Państwo będziecie mogli dowiedzieć się więcej na temat ochrony Infrastruktury Krytycznej i bezpieczeństwa OUK.

1.    Korzyści ze współpracy z SOC w Dynacon:
• Podniesienie poziomu bezpieczeństwa w OUK i IK.
• Spełnienie wymagań znowelizowanej Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
• Zasadnicze obniżenie kosztów związanych z zakupem i utrzymaniem systemów bezpieczeństwa przemysłowego w tym SIEM oraz NAD i SAD (Network Anomally Detection, SCADA Anomally Detection)
• Koordynacja działań bezpieczeństwa na terenie OUK i IK bez podnoszenia kosztów osobowych w OUK.
• Wymagany Ustawą stały transfer wiedzy do zespołów w OUK
• Pełne wsparcie reprezentacji OUK przed CSIRTami
• Integracja cyberbezpieczeństwa z systemami ochrony fizycznej

2.    Funkcjonowanie SOC
Funkcjonowanie komórki SOC oparte jest na trzech podstawowych filarach:
• personel (operatorzy, analitycy, role w komórce, zakres odpowiedzialności);
• technologia (monitorowanie zdarzeń, zbieranie i korelacja zdarzeń);
• procesy (procedury, obsługa incydentów, reakcja na zdarzenia).

3.    Obsługa incydentów
Obsługa incydentów bezpieczeństwa przez SOC jest realizowana w oparciu o przyjęty w Dynacon i danym OUK proces obsługi incydentów, a działania związane z prowadzonymi czynnościami są  być dokumentowane.
Umiejscowienie komórki SOC w strukturach organizacyjnych OUK zapewnia niezależność i swobodę działania pozwalające na efektywne realizowanie zadań operacyjnych.
Skuteczne reagowanie i obsługa incydentów zapewnia wyposażenie zespołu SOC w narzędzia techniczne pozwalające na monitorowanie bezpieczeństwa infrastruktury i zbieranie danych w sposób ciągły z następujących źródeł:
• ruch sieciowy;
• przepływy sieciowe;
• logi systemowe;
• logi z urządzeń bezpieczeństwa (IDP, IPS, zapory sieciowe, system antywirusowy);
• logi z końcówek (stacje dyspozytorskie, inżynierskie);
• informacje z zewnętrznych zaufanych źródeł (CSIRT.GOV.PL, RCB, inne CSIRTy i organizacje bezpieczeństwa);
• informacje z zewnętrznych źródeł (OTX, Vendor Vurnability, i inne)
• wymiana informacji z innymi komórkami SOC (zwłaszcza sektorowymi);
• informacje pozyskiwane z zewnętrznych platform Threat Intelligence;
• systemy wczesnego ostrzegania;
• systemy zarządzania aktywami;
• logi z urządzeń automatyki przemysłowej;
• logi systemów bezpieczeństwa fizycznego (system kontroli dostęp)
• informacje z systemu automatycznej dokumentacji infrastruktury OT

4.    Infrastruktura SOC
Infrastruktura techniczna komórki SOC OT jest zbudowana z systemów informatycznych, dedykowanych dla OT,  umożliwiających monitorowanie stanu bezpieczeństwa, alarmowanie w momencie wykrycia zagrożenia lub naruszenia bezpieczeństwa. Wykorzystanie rozwiązań klasy SIEM (z ang. Security Information and Event Management) dostarcza funkcjonalności pozwalające na:
• wykrywanie incydentów bezpieczeństwa i przeszukiwanie zdarzeń;
• archiwizacja/przechowywanie logów i danych audytowych dotyczących zdarzeń i incydentów bezpieczeństwa;
• korelację zdarzeń w czasie zbliżonym do rzeczywistego;
• podłączanie różnych przemysłowych systemów źródłowych.

Część infrastruktury SOC jest wdrażana na terenie OUK i IK. Stosujemy minimalizację danych transferowanych poza teren OUK.

5.    Organizacja SOC
Zespół SOC, aby efektywnie realizować swoje zadania, pracuje w trybie ciągłym 24/7/365 w oparciu o wykwalifikowany personel świadczący pracę w trybie zmianowym. W celu produktywnego wykorzystania zasobów ludzkich zespołu SOC dokonano podziału na linie operacyjne. Pierwsza linia operacyjna odpowiedzialna jest za monitorowanie bieżących zdarzeń i obsługę standardowych incydentów bezpieczeństwa, druga za obsługę zdarzeń niestandardowych, które nie zostały obsłużone przez pierwszą linię wsparcia oraz trzecia linia obsadzona ekspertami specjalizującymi się w konkretnych obszarach analizy incydentów bezpieczeństwa, posiadającymi kompetencje pozwalające rozwiązywać skomplikowane zagadnienia.
Pierwszą linię tworzymy wraz z personelem OUK, zapewniając właściwy transfer wiedzy i cykliczne Treningi Bojowe.
Podczas projektowania i prowadzenia komórki SOC w Dynacon dla OUK, mamy na uwadze także aspekty bezpieczeństwa, wynikające z otoczenia prawnego. W obszarze infrastruktury krytycznej szczególnie istotne jest uwzględnienie wymagań Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii oraz Rozporządzenia Parlamentu Europejskiego i Rady (EU) nr 1227/2011 z dnia 25 października 2011 r. w sprawie integralności i przejrzystości hurtowego rynku energii (Rozporządzenie REMIT).
SOC w Dynacon spełnia powyższe wymagania.