Patch Management in OT Environment

Abstract

Critical and industrial infrastructure systems have previously been isolated to a great degree but due to the increased need for e.g. remote access and data collection, the industrial systems have become more connected, and thereby, exposed to more cyber threats. This research is focused on operational technology (OT) security and particularly on patch management in OT environment. The research question is formed around the implementation of patch management in a way that minimizes cyber risks and production disruptions. Patches are an efficient method to protect OT environment, but the patch deployment often requires production disruption. The OT systems set requirements for high availability and safety which make patch management planning more complex than in normal IT systems. Furthermore, the lifecycle of an OT system is usually longer and not all OT systems can necessarily be patched. The research method in this thesis is Design Science Research Methodology that is used to create an artifact. The artifact is a checklist for systematic patch management in OT environment. The findings are collected via semi-structured interviews with IT and OT professionals. In addition to the inter-views, the artifact is further developed in a small-scale workshop with the security professionals. The findings of this thesis suggest that the OT patch management is de-pendent on technology, people, and processes. Communication and collaboration between the IT & OT professionals and the relevant stakeholders has the most remarkable impact on patch management and minimization of cyber risks and production disruptions. Other remarkable factors are OT asset management, patch automation, backups and rollback, lifecycle management, manual patching, allocation of sufficient resources, and regular maintenance. The demonstration and evaluation of the artifact is limited to three production sites of a case study company. Future research in other organizations or industries could support the further development of the artifact.

Kriittisen infrastruktuurin ja teollisuuden tietojärjestelmät ovat perinteisesti olleet suljetuissa ympäristöissä, mutta esimerkiksi etäyhteyksien ja datankeräämisen tarpeen lisääntyessä myös tuotantoympäristöt muuttuvat aiempaa avoimemmiksi ja altistuvat lisääntyvissä määrin kyberuhille. Tämä tutkimus tarkastelee tuotantoteknologian (OT) kyberturvallisuutta ja erityisesti päivitysten hallintaa tuotantoympäristössä. Keskeinen tutkimuskohde on tuotannon tietoturvapäivitysten hallinta tavalla, joka minimoi kyberriskit ja tuotantokatkokset. Päivitykset ovat tehokas tapa suojata OT-ympäristöä, mutta päivitysten asentaminen vaatii usein tuotantokatkon. OT-järjestelmät edellyttävät erityisesti korkeaa saatavuutta ja turvallisuutta, jonka vuoksi päivitysten asentaminen vaatii enemmän suunnittelua kuin ns. tavallisen IT-tietojärjestelmän päivittäminen. OT-järjestelmien elinkaari on usein myös huomattavan pitkä, jonka vuoksi kaikkia OT-järjestelmiä ei välttämättä pystytä päivittämään. Tutkimuksen menetelmä perustuu suunnittelutieteeseen, jonka avulla kehitetään artefaktina tarkastuslista järjestelmälliseen tietoturvapäivitysten hallintaan teollisuusympäristössä. Tutkimustulokset on kerätty haastattelemalla IT- ja OT-tietoturva-ammattilaisia. Haastatteluiden perusteella kehitettyä tarkastuslistaa on kehitetty edelleen työpajassa tietoturva-ammattilaisten kanssa. Tutkimus osoittaa, että OT-järjestelmien päivittäminen ja tuotantokatkojen minimointi riippuu teknologiasta, ihmisistä ja prosesseista. Merkittävin vaikutus on IT- ja OT-ammattilaisten ja sidosryhmien välisellä yhteistyöllä ja viestinnällä. Muita merkittäviä tekijöitä ovat OT-komponenttien ja -laitteiden tunnistaminen, päivitysten automatisointi, varmuuskopiointi ja niiden palauttaminen, elinkaarenhallinta, manuaalinen päivittäminen, riittävät resurssit ja säännöllinen huolto. Tutkimuksen otanta on yhden yrityksen kolme tuotantolaitosta. Mahdollisen jatkotutkimuksen avulla artefaktia voi kehittää sovellettavammaksi myös muissa yrityksissä ja toimialoilla.