A Procedure for Assessing Security Updates in Industrial Systems

Cover Page

Cite item

Full Text

Abstract

This paper is devoted to the problem of applying cybersecurity updates (patches) for the software of instrumentation and control systems (ICS) with a long lifecycle. The problem is considered for the system operation stage. The main focus is on the large number of vulnerabilities found in software, the complexity of analyzing the impact of a vulnerability on system security, and the requirements for testing the compatibility of updates and software certification after changes have been made. Based on the Failure Mode and Effects Analysis (FMEA), a procedure is proposed to simplify the analysis of the impact of a vulnerability on cybersecurity. This procedure considers a smaller set of attack scenarios rather than each vulnerability separately. The analysis of attack scenarios also covers the effect of security measures. The procedure includes simple criteria for applying security updates based on the analysis results. An example of vulnerability analysis using this procedure is provided.

About the authors

K. V Semenkov

Trapeznikov Institute of Control Sciences, Russian Academy of Sciences

Author for correspondence.
Email: semenkov@ipu.ru
Moscow, Russia

V. G Promyslov

Trapeznikov Institute of Control Sciences, Russian Academy of Sciences

Email: vp@ipu.ru
Moscow, Russia

References

  1. IEC TR 62443-2-3. Technical report. Security for industrial automation and control systems – Part 2-3: Patch management in the IACS environment. – Geneva: International Electrotechnical Commission, 2015. – 61 p.
  2. Методика тестирования обновлений безопасности программных, программно-аппаратных средств: утв. ФСТЭК России 28 октября 2022 г. [Metodika testirovaniya obnovlenii bezopasnosti programmnykh, programmno-apparatnykh sredstv: appr. by FSTEC of Russia on October 28, 2022. (In Russian)]
  3. Souppaya, M., Scarfone, K. Guide to enterprise patch management planning: preventive maintenance for technology. Special Publication (NIST SP) – 800-40r4. – Gaithersburg, MD: National Institute of Standards and Technology, 2022. – DOI: https://doi.org/10.6028/NIST.SP.800-40r4
  4. National Information Assurance (IA) Glossary. CNSS Instruction No. 4009. – Fort Meade: Committee on National Security Systems Instruction, 2015. – 103 p.
  5. CVE. – URL: https://cve.mitre.org (дата обращения: 02.10.2024). [Accessed October 2, 2024].
  6. Банк данных угроз безопасности информации. – URL: https://bdu.fstec.ru/vul (дата обращения: 02.10.2024). [Bank dannykh ugroz bezopasnosti informatsii. – URL: https://bdu.fstec.ru/vul (accessed October 2, 2024). (In Russian)]
  7. CERT-FR avis. – URL: https://www.cert.ssi.gouv.fr/avis/ (дата обращения: 02.02.2024). [Accessed February 2, 2024].
  8. ISO/IEC TS 9569:2023. Technical specification. Information security, cybersecurity and privacy protection – Evaluation criteria for IT security – Patch Management Extension for the ISO/IEC 15408 series and ISO/IEC 18045. – Geneva: International Standard Organization/IEC, International Electrotechnical Commission, 2023. – 36 p.
  9. Руководство по организации процесса управления уязвимостями в органе (организации): утв. ФСТЭК России 17 мая 2023 г. [Rukovodstvo po organizatsii protsessa upravleniya uyazvimostyami v organe (organizatsii): appr. by FSTEC of Russia on May 17, 2023. (In Russian)]
  10. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств: утв. ФСТЭК России 28 октября 2022 г. [FSTEHK Rossii. Metodika otsenki urovney kritichnosti uyazvimostey programmnykh, programmno-apparatnykh sredstv: appr. by FSTEC of Russia on October 28, 2022. (In Russian)]
  11. Scarfone, K., Souppaya, M., Dodson, D. Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. Special Publication (NIST SP) - 800-218. – Gaithersburg, MD: National Institute of Standards and Technology, 2022. – DOI: https://doi.org/10.6028/NIST.SP.800-218
  12. Методика оценки угроз безопасности информации: утв. ФСТЭК России 5 февраля 2021 г. [Metodika otsenki ugroz bezopasnosti informatsii: appr. by FSTEC of Russia on February 5, 2021. (In Russian)]
  13. ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели: стандарт. – М.: Стандартинформ, 2020. – 72 p. [IEC/TS 62443-1-1:2009 Industrial communication networks. – Network and system security. – Part 1-1: Terminology, concepts and models (IDT). – Geneva: International Electrotechnical Commission, 2009. – 81 p.]
  14. ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения. Общие требования. – М.: Стандартинформ, 2016. – 24 с. [GOST R 56939-2016. Zashchita informatsii. Razrabotka bezopasnogo programmnogo obespecheniya. Obshchie trebovaniya. – Moscow: Standartinform, 2016. – 24 s. (In Russian)]
  15. ГОСТ 19.101-77. Единая система программной документации. Виды программ и программных документов. – М.: Стандартинформ, 2010. [GOST 19.101-77. Edinaya sistema programmnoi dokumentatsii. Vidy programm i programmnykh dokumentov. – Moscow: Standartinform, 2010. (In Russian)]
  16. Промыслов В.Г., Жарко Е.Ф. Подходы к оценке риска кибербезопасности АСУТП АЭС // Автоматизация в промышленности. – 2022. – № 11. – С. 28–33. [Promyslov, V.G., Zharko, E.F. Approaches to risk assessment in cybersecurity of A-plant process control systems // Automation in Industry. – 2022. – No. 11. – P. 28–33. (In Russian)]
  17. Dissanayake, N., Jayatilaka, A., Zahedi, M., AliBabar, M. Software security patch management - A systematic literature review of challenges, approaches, tools and practices // Information and Software Technology. – 2022. – Vol. 144. – Art. no. 106 771.
  18. ГОСТ Р 51901.12-2007 (МЭК 60812:2006) Менеджмент риска. Анализ видов и последствий отказов.: стандарт. – М.: Стандартинформ, 2008. – 35 p. [IEC 60812:2006 Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA). – Geneva: International Electrotechnical Commission, 2006. – 93 p.]
  19. About CWE. – URL: https://cwe.mitre.org/about/index.html (дата обращения: 22.04.2024). [Accessed April 22, 2024].
  20. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. – М.: Стандартинформ, 2011. – 51 с. [GOST R ISO/MEK 27005-2010. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment riska informatsionnoi bezopasnosti. – M.: Standartinform, 2011. – 51 s. (In Russian)]
  21. ГОСТ Р ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности. – М.: Стандартинформ, 2008. – 118 с. [GOST R ISO/MEK 15408-3-2008. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Kriterii otsenki bezopasnosti informatsionnykh tekhnologii. Chast' 3. Komponenty doveriya k bezopasnosti. – M.: Standartinform, 2008. – 118 s. (In Russian)]
  22. CVE Metrics. – URL: https://www.cve.org/About/Metrics (дата обращения: 22.04.2024). [Accessed April 22, 2024].
  23. Haddad, A., Aaraj, N., Nakov P., et al. Automated Mapping of CVE Vulnerability Records to MITRE CWE Weaknesses. – arXiv:2304.11130, 2023. – doi: 10.48550/arXiv.2304.11130
  24. Lin, Y.-Z., Mamun, M., Chowdhury, V.A., et al. HW-V2W-Map: Hardware Vulnerability to Weakness Mapping Framework for Root Cause Analysis with GPT-assisted Mitigation Suggestion. – arXiv:2312.13530, 2023. – DOI: https://doi.org/48550/arXiv.2312.13530
  25. Mell, P., Scarfone, K., Romanosky, S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0. – 2007. – 23 p. – URL: https://www.first.org/cvss/v2/guide (дата обращения: 01.04.2024). [Accessed April 1, 2024].
  26. Common Vulnerability Scoring System v3.0: Specification Document. – URL: https://www.first.org/cvss/v3.0/specification-document (дата обращения: 22.09.2024). [Accessed September 22, 2024].
  27. Калькулятор CVSS V3. – URL: https://bdu.fstec.ru/calc3 (дата обращения: 22.09.2024). [Calculiator besjpasonosti. – URL: https://bdu.fstec.ru/calc3 (accessed September 22, 2024). (In Russian)].
  28. Kekül, Н., Ergen, B., and Arslan, H. Comparison and Analysis of Software Vulnerability Databases // Int. J. Eng. Manuf.. – 2022. – Vol. 12, no. 4. – P. 1–14.
  29. How We Assess Acceptance Levels. – URL: https://nvd.nist.gov/vuln/cvmap/How-We-Assess-Acceptance-Levels (дата обращения: 26.04.2024). [Accessed April 26, 2024].
  30. CAPEC List. – URL: https://capec.mitre.org/data/index.html (дата обращения: 31.05.2024). [Accessed April 22, 2024].
  31. MITRE ATT&CK. – URL: https://attack.mitre.org/ (дата обращения: 22.04.2024). [Accessed April 22, 2024].
  32. Microsoft Threat Modeling Tool. – URL: https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool-threats (дата обращения: 31.05.2024). [Accessed May 31, 2024].
  33. Pietre-Cambacedes, L., Chaudet, C. Disentangling the relations between safety and security // Proceedings of the 9th WSEAS International Conference on Applied Informatics and Communications. – Stevens Point, Wisconsin, 2009. – P. 156–161.
  34. Boehs, E. Everything I Know About the XZ Backdoor. – URL: https://boehs.org/node/everything-i-know-about-the-xz-backdoor (дата обращения: 10.04.2024). [Accessed April 10, 2024].
  35. CVE-2022-23812. – URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23812 (дата обращения: 10.04.2024). [Accessed April 10, 2024].
  36. Капранов О., Гуреева Ю. Сотрудникам Минпросвещения запретили пользоваться техникой Apple. – Текст: электронный // Российская газета. – 19.07.2023. – URL: https://rg.ru/2023/07/19/sotrudnikam-minprosveshcheniia-zapretili-polzova­­tsia-tehnikoj-apple.html (дата обращения: 22.10.2024). [Kapranov O., Gureeva Yu. Sotrudnikam Minprosveshcheniya zapretili pol'zovat'sya tekhnikoi Apple. – Tekst: elektron-nyi // Rossiiskaya gazeta. – July 7, 2023. – URL: https://rg.ru/2023/07/19/sotrudnikam-minprosveshcheniia-zapretili-polzovatsia-tehnikoj-apple.html (accessed October 22, 2024). (In Russian)]
  37. Commerce Department Prohibits Russian Kaspersky Software for U.S. Customers // Bureau of Industry and Security. – June 20, 2024. – URL: https://www.bis.gov/press-release/commerce-department-prohibits-russian-kaspersky-software-us-customers (дата обращения: 20.12.2024). [Accessed December 20, 2024].
  38. Semenkov, K., Promyslov, V., Poletykin, A., et al. Validation of Complex Control Systems with Heterogeneous Digital Models in Industry 4.0 Framework // Machines. – 2021. – Vol. 9. – No. 3. – Art. no. 62.
  39. ГОСТ ISO/IEC TS 19249-2021. Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений. – М.: Стандартинформ, 2021. – 32 с. [GOST ISO/IEC TS 19249-2021. Informatsionnye tekhnologii. Metody i sredstva obespecheniya bezopasnosti. Katalog printsipov postroeniya arkhitektury i proektirovaniya bezopasnykh produktov, sistem i prilozhenii. – M.: Standartinform, 2021. – 32 s. (In Russian)]
  40. MIL-P 1629. USA Military Standard, Procedure for Performing a Failure Mode, Effects and Criticality Analysis. – Washington, DC: Department of Defense, 1980. – 54 p.
  41. Schmittner, C., Gruber, T., Puschner, P., Schoitsch, E. Security Application of Failure Mode and Effect Analysis (FMEA) // In: Lecture Notes in Computer Science. – 2014. – Vol. 8666. – P. 310–325. – DOI: https://doi.org/10.1007/978-3-319-10506-2_21
  42. Talwar, P. Software Failure Mode and Effects Analysis // Advances in Intelligent Systems and Computing. – 2020. – Vol. 1131. – P. 86–91.
  43. Busquim e Silva, R.A., Piqueira, J.R.C., Cruz, J.J., Marques R.P. Cybersecurity Assessment Framework for Digital Interface Between Safety and Security at Nuclear Power Plants // International Journal of Critical Infrastructure Protection. – 2021. – Vol. 34. – Art. no. 100453. – DOI: https://doi.org/10.1016/j.ijcip.2021.100453.
  44. Бугайский К.А., Калашников А.О., Бирин Д.С. и др. Применение логико-вероятностного подхода в информационной безопасности (Часть 1) // Cybersecurity Issues. – 2023. – No. 4 (56). – P. 23–32. [Kalashnikov, A.O., Bugajskij, K.A., Birin D.S., et al. Application of the logical-probabilistic method in information security (part 1) // Cybersecurity Issues. 2023. – No. 4 (56). – P. 23–32. (In Russian)]
  45. Менгазетдинов Н.Э., Полетыкин А.Г., Промыслов В.Г. и др. Комплекс работ по созданию первой управляющей системы верхнего блочного уровня АСУ ТП для АЭС «Бушер» на основе отечественных информационных технологий. – М.: ИПУ РАН. – 2013. – 95 c. [Mengazetdinov, N.E., Poletykin, A.G., Promyslov, V.G., et al. Kompleks rabot po sozdaniyu pervoi upravlyayushchei sistemy verkhnego blochnogo urovnya ASU TP dlya AES “Busher” na osnove otechestvennykh informatsionnykh tekhnologii. – Moscow: IPU RAN. – 2013. – 95 p. (In Russian)]
  46. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239. [Trebovania po obespecheniyu bezopasnosti znachimyh ob’ektov kriticheskoi informatsionnoi infrastruktury Rossijskoj Federatsii: appr. by FSTEC of Russia on December 25, 2017. (In Russian)]

Supplementary files

Supplementary Files
Action
1. JATS XML
Download


Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».