Evaluation tool for assessing an organization’s OT security policy

Abstract

Tämä tutkimus keskittyy tuotantoteknologian (OT) kyberturvallisuuteen. Tuotantoteknologia koostuu moninaisista ohjelmoitavista järjestelmistä ja laitteista, jotka toimivat fyysisen ja virtuaalisen maailman rajapinnassa. Fyysisiä prosesseja ohjaaviin järjestelmiin kohdistuvan kyberhyökkäyksen seuraukset voivat olla vakavia. OT-järjestelmien kehitys on tehnyt niistä haavoittuvampia kyberuhkia vastaan. Kasvava huoli OT-turvallisuudesta on lisännyt alan tutkimusta.

Tässä tutkimuksessa käytetty tutkimusmetodologia on suunnittelutiede. Sen mukaisen iteratiivisen prosessin lopputulos on artefakti, jonka avulla organisaatiot voivat arvioida OT-turvallisuuspolitiikkaansa. Tämän tutkielman kontekstissa OT-turvallisuuspolitiikka ymmärretään kokoelmana niistä hallintakeinoista, jotka organisaatio on ottanut tai suunnittelee ottavansa käyttöön OT-ympäristöidensä suojaamiseksi.

Arviointityökalu perustuu MITRE ATT&CK for ICS®-viitekehykseen sisältyvään tietoon. Se auttaa organisaatioita arvioimaan nykyistä lähestymistapaansa OT-turvallisuuteen viitekehykseen kuuluvia hallintakeinoja vasten. Arvioinnin tulosten perusteella organisaatiot voivat pyrkiä parantamaan suojautumiskykyään OT-ympäristöihin kohdistuvien kyberhyökkäysten varalta.

Työn kirjallisuuskatsaus tukee artefaktin uutuusarvoa. Sen soveltuvuutta demonstroidaan käytännössä tutkimukseen osallistuneen yhteistyöyrityksen OT-tietoturvapolitiikan arviointiin. Esitellyn artefaktin katsotaan täyttävän sen suunnittelukriteerit suurimmalta osin. Tutkimus kuitenkin esittelee useita alueita, joilla tapahtuva jatkokehitys tekisi ratkaisusta kypsemmän.

This research focuses on the cybersecurity of Operational Technology (OT). OT encompasses various programmable systems that operate in the intersection of the physical and virtual world. Consequences of cyberattacks on systems controlling physical processes can be severe. The evolution of OT systems has made them more vulnerable against cyberthreats. Simultaneously, the rising concern over the security of OT has increased the research on the domain.

The research methodology of this thesis is design science research. The outcome of the iterative process is an artifact that can be used for assessing an organization’s OT security policy. In the context of this thesis, OT security policy is understood as a collection of countermeasures an organization has implemented or plans to implement for safeguarding its OT environment.

The Evaluation Tool is based on the information included in MITRE ATT&CK for ICS® framework. It aids organizations in assessing their current approach to OT security against the mitigations included in the framework. Based on the results of the assessment, organizations can seek to improve their defensive capabilities against cyberattacks targeted at OT environments.

The novelty of the artifact is supported by the literature review. It is successfully applied for assessing an OT security policy of a case-company to demonstrate its applicability. The proposed artifact is concluded to meet its design criteria for the most part. However, the research presents multiple areas where further effort could be directed to make the artifact more mature.