Using Integrated Safety and Cyber-security Risk Assessment Methods for Operational Technology over the Entire System Life-cycle

Abstract

Sikring av kritisk infrastruktur mot cybertrusler har blitt stadig viktigere. Et eksempel er cyberangrepet på Ukrainas strømnett i 2016, som forårsaket et strømbrudd. Cyberangrep kan føre til innvirkninger på sikkerhetsbildet i sivil infrastruktur, f.eks. ved å kutte strømmen til sivile sykehus som er avhengig av en pålitelig strømforsyning. Bransjer som er avhengig av Operasjonell Teknologi (OT) for daglig drift inkluderer olje- og gassindustrien, kjernefysiske anlegg og strømnett. Derfor er det av interesse å tilby en cybersikkerhetsstruktur for å sikre sikkerheten til disse bransjeaktørenes OT-systemer og drift.

Når cybersikkerhetsbrudd kan påvirke sikkerhetsbildet, må metoder som vurderer både sikkerhet og cybersikkerhet tas i bruk. Denne masteroppgaven har studert to metoder for felles sikkerhets- og cybersikkerhetsrisikovurdering. Den første av disse metodene er Idaho National Laboratories (INLs) Konsekvensdreven Cyberinformert Ingeniørteknikk (CCE), en relativt ny metode som etterstreber å beskytte de mest kritiske systemene i et anlegg. Den andre metoden er kausalitetsmetoden UFoI-E (Ukontrollerte Strømmer av Informasjon og Energi). Denne metoden ønsker å identifisere mulige avvik og implementere barrierer som hindrer disse avvikene i å utvikle seg til sikkerhetskonsekvenser. De to kombinerte metodene for risikovurdering av sikkerhet og cybersikkerhet har blitt demonstrert på OT-systemer, og mulighetene for å bruke disse vurderingene gjennom hele systemets livssyklus har blitt utforsket. Disse risikovurderingene kan hjelpe aktørene til bedre å forstå sårbarhetene og truslene OT-systemene deres står overfor, selv utover den initielle designfasen, og inn i driftsfasen.

Metodene er brukt i en casestudie av et elektrisk nett med hovedfokus på en trafostasjon. Metodene ble gjenstand for en gjensidig sammenligning. Et forslag til modifikasjon gjelder implementering av et sjekklisteverktøy for CCE-metoden for å gi et bedre rammeverk for å organisere dokumentene som trengs for å gjennomføre vurderingen. Det er utviklet et verktøy for å løse denne problemstillingen, inkludert en kalkulator som forenkler prosessen med å beregne poengene assosiert til en konsekvens for kritiske hendelser.

Flere attributter og karakteristikker har blitt vurdert for å sammenligne de to metodene. Ved å bruke et rammeverk for å sammenligne metoder for vurdering av sikkerhet og cybersikkerhet, har denne oppgaven vurdert flere attributter og egenskaper ved hver metode. Sammenligningene og casestudieresultatene har gitt grunnlag for forslag til modifikasjoner som kan vurderes i fremtidige prosjekter ved bruk av disse metodene. Oppgaven avsluttes med forslag vedrørende fremtidig arbeid innen temaet.

Securing critical infrastructure from cyber threats has become increasingly important. An example is the 2016 cyber attack on Ukraine's electric grid, which caused a blackout. Cyber attacks can cause safety impacts on civilian infrastructure, e.g. by cutting the electricity to civilian hospitals which depend on a reliable supply of electricity. Industries widely dependant on Operational Technology (OT) systems for daily operations include the oil and gas industry, nuclear facilities, and electric power distribution. Therefore, providing a security structure to ensure the safety of these industry actors' OT assets and operationality is of interest.

When cyber security breaches are capable of causing safety impacts, methods considering both safety and cyber security require consideration. This thesis has studied two methods of joint safety and cyber-security risk assessment. The first of these methods is Idaho National Laboratories' (INLs) Consequence-driven Cyber-informed Engineering (CCE), a relatively new method seeking to protect the most critical systems in a facility. The second method is the Uncontrolled Flows of Information and Energy (UFoI-E) causality method. This method seeks to identify possible deviations and implement barriers that prevent these deviations from evolving into safety consequences. The two combined safety and cybersecurity assessment methods have been applied to OT, and opportunities in using these assessments during the entire system life-cycle have been explored. These risk assessments can aid the stakeholders in better understanding the vulnerabilities and threats their OT systems face, even beyond the initial design phase and into the operational phase.

The methods have been applied in an electrical grid system case study, mainly focusing on an electric substation. The methods were subject to a mutual comparison. One proposal for modification regards the implementation of a checklist tool for the CCE method to provide a better framework for organising the documents needed to conduct the assessment. A tool has been developed to address this issue, including a calculator that simplifies the process of calculating the impact scores of critical events.

Several attributes and characteristics have been considered to thoroughly compare the two methods. The comparisons and the case study results have provided grounds for suggestions for modifications to be considered in future projects using these methods. The thesis concludes by proposing a set of thoughts regarding future work on the subject.