Cybersecurity for Process Control with Cloud Solutions

Abstract

Denne masteroppgaven er skrevet i samarbeid med det SINTEF-ledede forskningsprosjektet "Towards Autonomy in Process Industries" (TAPI). Målet deres er å føre den norske prosessindustrien mot autonomi, og de ser spesielt på krysningen mellom maskinlæring og modellbasert regulering. Noen av disse maskinlæringsmodellene kan være plassert i en skyløsning, og denne oppgaven undersøker cybersikkerheten i forbindelse med å koble industrielle automasjons- og kontrollsystemer til skyen.

Dagens skymarked har blitt undersøkt, inkludert leverandører, distribusjonsmodeller og servicemodeller. Hvordan ansvaret for cybersikkerheten i skyløsninger er fordelt mellom de ulike partene basert på valg av skymodeller har også blitt belyst.

En litteraturstudie har blitt utført og det ble oppdaget at det er veldig lite forskning og anbefalte fremgangsmåter i forbindelse med cybersikkerhet når skyløsninger blir implementert i kontrollsystemer. Mange organisasjoner har anbefalte fremgangsmåter for cybersikkerhet i kontrollsystemer generelt. Disse anbefalingene er nesten utelukkende basert på å være i samsvar med den flerdelte standarden IEC 62443. Denne standarden har blitt undersøkt, og det har blitt diskutert hvilke av systemkravene fra denne standarden som er mest relevante i forbindelse med introduksjon av skyløsninger til kontrollsystemer. 22 av de totalt 51 kravene ble vurdert til å være spesielt relevante under denne undersøkelsen.

Et referansesystem av et industrielt automasjons- og kontrollsystem med en skyløsning har blitt forberedt, og risikoen har blitt vurdert med og uten å iverksette de relevante systemkravene fra IEC 62443 som mottiltak. Dette har inkludert hvordan denne typen systemkrav kan bli oppfylt for systemet, og om de hjalp med å redusere sårbarheter som ble introdusert som følge av implementering av skyløsninger. Det har blitt konkludert med at å være i samsvar med standarden bidrar til cybersikkerhet for kontrollsystemer hvor skyløsninger har blitt implementert.

This master's thesis is written in cooperation with the SINTEF lead research project Towards Autonomy in Process Industries (TAPI). Their aim is moving the Norwegian process industry towards autonomy, and are especially looking into the intersection between machine learning and model-based control. Some of these machine learning models may be located in a cloud solution, and this thesis looks into the cybersecurity aspect of connecting industrial automation and control systems to the cloud.

Today's cloud market has been examined, including the providers, deployment models and service models. How the cybersecurity responsibility of the cloud solutions is divided between different parties based on the cloud models chosen has also been illuminated.

A literary study has been performed and it was discovered that there is very little research and recommended practices for cybersecurity when introducing cloud solutions to control systems. Many organizations do however have recommendations for cybersecurity in control systems in general. These recommendations are almost exclusively built upon being compliant with the IEC 62443 multi-part standard. This standard has been examined and it has been discussed which of its system requirements are most relevant to the introduction of cloud solutions to control systems. 22 out of the total of 51 requirements was determined to be especially relevant during this examination.

A reference system of an industrial automation and control system with a cloud solution has been prepared and its risk has been assessed with and without the implementation of the relevant system requirements from IEC 62443 as countermeasures. This included how these system requirements could be fulfilled for the system, and whether they helped mitigate vulnerabilities that was introduced due to the implementation of a cloud solution. It was concluded that being compliant with the standard does contribute to ensure cybersecurity for control systems where cloud solutions have been implemented.