ICS Security: পাওয়ার প্ল্যান্ট এবং ম্যানুফ্যাকচারিং সিস্টেমে সাইবার নিরাপত্তা নিশ্চিতকরণ!

ICS-এর সবচেয়ে নিচের স্তরে আছে field device — sensor, actuator, valve, motor — যেগুলো প্রকৃত physical process-এর সাথে interact করে। তার উপরে আছে controller — Programmable Logic Controller বা PLC এবং Remote Terminal Unit বা RTU — যেগুলো sensor থেকে data নিয়ে control logic execute করে এবং actuator-কে command পাঠায়।

আরো উপরে আছে SCADA system বা Distributed Control System যা multiple PLC/RTU-কে centrally monitor এবং control করে। SCADA-তে Human-Machine Interface বা HMI থাকে যার মাধ্যমে operator process visualize করতে এবং intervene করতে পারেন।

সর্বোচ্চ level-এ থাকে enterprise system — ERP, MES, এবং historian database — যা business operation-এর সাথে process operation-কে সংযুক্ত করে।

Purdue Enterprise Reference Architecture এই hierarchy-কে formalize করেছে। Level 0 থেকে Level 5 পর্যন্ত প্রতিটি tier-এ আলাদা security requirement এবং control থাকা উচিত।

ICS-এ ব্যবহৃত communication protocol-গুলো প্রায়শই legacy এবং security-by-design থেকে দূরে। Modbus, DNP3, IEC 60870-5-104, এবং Profinet — এদের অধিকাংশই প্লেইনটেক্সট-এ traffic পাঠায় এবং authentication mechanism নেই বললেই চলে।

ICS-কে টার্গেট করা threat actor-দের বৈচিত্র্য বহুগুণ বেড়েছে গত দশকে। State-sponsored APT group যেমন Sandworm (Russia), VOLTZITE (China), এবং Lazarus (North Korea) দীর্ঘমেয়াদি espionage এবং potential sabotage-এর লক্ষ্যে ICS infrastructure-এ অনুপ্রবেশ করেছে।

Ransomware group-ও ক্রমেই OT environment-কে টার্গেট করছে। Colonial Pipeline (২০২১) ছিল একটি wake-up call — যদিও ম্যালওয়্যার IT-তে ছিল, প্রভাব OT operation-এ পড়েছিল। এর পর থেকে ALPHV, LockBit, এবং BlackByte-এর মতো group industrial target-কে preference দিচ্ছে।

Hacktivist group বিশেষ করে geopolitical tension-এর সময় critical infrastructure-কে target করে। Iran-Israel conflict-এ উভয় পক্ষের hacktivist water treatment plant এবং fuel station-কে disrupt করেছে।

Insider threat ICS-এ বিশেষভাবে dangerous কারণ insider-দের কাছে process knowledge থাকে। Disgruntled employee বা contractor-এর কাছে এমন access আছে যা external attacker-এর জন্য সহজে available নয়।

Supply chain attack OT-কে নতুন একটি attack vector দিয়েছে। SolarWinds (২০২০) এবং 3CX (২০২৩)-এর মতো attack প্রমাণ করেছে যে সরাসরি OT-কে target না করে trusted vendor-কে compromise করেও সম্ভব।

Initial access সাধারণত corporate IT network-এর মাধ্যমে অর্জিত হয়। Spear phishing, RDP brute force, বা VPN exploit — এই vector-গুলোতে IT network-এ foothold অর্জিত হয়। তারপর lateral movement-এর মাধ্যমে OT DMZ এবং সেখান থেকে OT network-এ propagation।

Engineering workstation OT compromise-এর জন্য অত্যন্ত valuable target। এই workstation-এ PLC programming software (TIA Portal, Studio 5000, ইত্যাদি) থাকে যা সরাসরি controller-এ code push করতে পারে। একটি compromised engineering workstation মানে সম্পূর্ণ control system-এ access।

HMI manipulation একটি common tactic। Attacker HMI-এ displayed value পরিবর্তন করতে পারে যাতে operator বুঝতে না পারেন যে process abnormal চলছে। Stuxnet ঠিক এই কাজটি করেছিল — centrifuge destroy করার সময় HMI-তে normal reading দেখাচ্ছিল।

PLC logic tampering সরাসরি control flow পরিবর্তন করে। Triton/TRISIS attack-এ attacker safety PLC-তে malicious logic deploy করার চেষ্টা করেছিল। সফল হলে এর পরিণতি catastrophic হতে পারত।

Firmware-level attack সবচেয়ে অগ্রসর কৌশল। Controller-এর firmware-এ persistence অর্জন করলে attacker production environment-এ years ধরে undetected থাকতে পারে। এই ধরনের attack-এর evidence Industroyer2 এবং অন্যান্য sophisticated tool-এ পাওয়া গেছে।

IEC 62443 standard ICS network segmentation-এর জন্য zone এবং conduit model প্রস্তাব করে। প্রতিটি zone-এ similar security requirement সহ asset থাকে, এবং zone-এর মধ্যে communication conduit-এর মাধ্যমে নিয়ন্ত্রিত হয়।

IT এবং OT-এর মধ্যে DMZ অপরিহার্য। Historian, jump server, এবং patch server এই DMZ-এ থাকা উচিত। কোনো অবস্থাতেই IT system সরাসরি OT system-এর সাথে যোগাযোগ করা উচিত নয়।

OT-এর ভেতরেও segmentation দরকার। Different process line, different safety integrity level (SIL), এবং different criticality-এর system আলাদা zone-এ থাকা উচিত। এর ফলে একটি compromise-এর blast radius সীমিত থাকে।

Data Diode বা Unidirectional Gateway সবচেয়ে শক্তিশালী network protection। এটি hardware-enforce করে যে data শুধু এক দিকেই flow করতে পারে — OT থেকে IT-তে। ফলে attacker IT থেকে OT-তে কোনোভাবেই pivot করতে পারে না।

Industrial firewall যেমন Tofino, Hirschmann EAGLE, এবং Fortinet FortiGate Rugged ICS-এর কঠিন পরিবেশের জন্য designed। এগুলো industrial protocol decode এবং filter করতে পারে।

প্রতিটি ICS deployment-এ একটি comprehensive asset inventory থাকতে হবে। Passive discovery tool যেমন Dragos, Claroty, এবং Nozomi Networks network traffic বিশ্লেষণ করে সমস্ত device, firmware version, এবং communication pattern automatically map করে।

Vulnerability management OT-এ একটি গুরুতর চ্যালেঞ্জ। Traditional vulnerability scanner OT device-কে crash করতে পারে। তাই passive vulnerability identification এবং vendor security advisory monitoring-এর উপর নির্ভর করতে হয়।

Patching আরো জটিল। OT system-এ planned downtime সাধারণত বছরে কয়েকবার থাকে। তাই সব vulnerability immediately patch করা possible নয়। Compensating control যেমন network segmentation, monitoring, এবং virtual patching ব্যবহার করতে হয়।

Anomaly-based detection ICS environment-এ signature-based-এর চেয়ে বেশি কার্যকর। Process behavior সাধারণত predictable, তাই baseline establish করে anomaly detect করা সহজ। কোনো PLC যদি সাধারণত write করে না এমন register-এ write করে, এটি একটি strong indicator।

Whitelisting OT endpoint-এ ভালো কাজ করে কারণ এই system-এ চলা software set সীমিত এবং স্থিতিশীল। Carbon Black, Tripwire, এবং McAfee Application Control এই কাজে ব্যবহৃত হয়।

IEC 62443 (ISA/IEC 62443) ICS security-এর সবচেয়ে comprehensive standard। এটি asset owner, system integrator, এবং component provider — সবার জন্য আলাদা requirement set করে। Security Level (SL 1 থেকে SL 4) framework asset-এর criticality অনুসারে required protection define করে।

NIST SP 800-82 federal facility-র জন্য guidance দেয়। এর latest version (Revision 3) modern threat landscape-কে address করেছে — ransomware, cloud-OT integration, এবং zero trust principle।

NERC CIP North American power grid-এর জন্য mandatory standard। Critical Infrastructure Protection-এর এই standard-এ specific control requirement থাকে — asset categorization, access control, monitoring, incident response, এবং recovery।

CISA-এর Cybersecurity Performance Goals critical infrastructure সংস্থাগুলোর জন্য baseline security expectation set করে। 38টি specific goal রয়েছে যা সব sector-এ applicable।

বাংলাদেশে BTRC এবং BCSIRT এই ধরনের framework develop করতে শুরু করেছে। Power sector-এর জন্য Bangladesh Power Development Board সম্প্রতি cybersecurity guideline প্রকাশ করেছে।

Ukraine power grid attack ২০১৫ এবং ২০১৬ — প্রথমবার বিশ্ব দেখল যে cyber attack large-scale blackout ঘটাতে পারে। আক্রমণকারীরা spear phishing-এর মাধ্যমে IT network-এ ঢুকেছিল, তারপর months ধরে OT network reconnaissance করেছিল। চূড়ান্ত pre-planned attack-এ তারা একসাথে multiple substation-এর circuit breaker open করে দেয়, ২৩০,০০০ মানুষ ছয় ঘণ্টা ধরে অন্ধকারে ছিলেন।

Florida water treatment plant (২০২১)-এ একজন attacker remote access-এর মাধ্যমে sodium hydroxide-এর level dangerous পর্যায়ে বাড়িয়ে দিয়েছিল। সৌভাগ্যবশত একজন alert operator real-time-এ এটি লক্ষ্য করে correct করেন। এই ঘটনা water sector-এর vulnerability প্রকাশ করেছে।

Petrochemical plant TRITON attack (২০১৭) safety system-কে target করার প্রথম confirmed instance। Schneider Electric-এর Triconex Safety Instrumented System-এ malicious firmware deploy করার চেষ্টা হয়েছিল। ভাগ্যক্রমে coding error-এর কারণে plant safely trip করে গিয়েছিল।

Norsk Hydro ransomware (২০১৯)-এ একটি বৃহৎ aluminum manufacturer LockerGoga ransomware-এ আক্রান্ত হয়েছিল। তাদের response দীর্ঘ এবং costly ছিল, কিন্তু তারা ransom না দিয়ে operation restore করতে সক্ষম হয়েছিল। এই incident transparent communication এবং backup importance-এর শিক্ষা দিয়েছে।

বাংলাদেশের power sector-এ আজ পর্যন্ত কোনো major confirmed ICS attack হয়নি, কিন্তু threat intelligence-এ regular reconnaissance activity পাওয়া গেছে।

Modbus protocol exploitation-এর একটি simple example দেখা যাক। Modbus-এ কোনো authentication নেই, তাই network access থাকলেই PLC-এর coil এবং register manipulate করা যায়:

from pymodbus.client import ModbusTcpClient

client = ModbusTcpClient('192.168.1.100', port=502)
client.connect()

# Read holding register
result = client.read_holding_registers(address=0, count=10, slave=1)
print(result.registers)

# Write to register (potentially dangerous)
client.write_register(address=0, value=1000, slave=1)
client.close()

এই simplicity-ই Modbus-কে এত vulnerable করে তুলেছে। যদি network segmentation সঠিকভাবে enforce না করা হয়, যেকেউ এই কাজ করতে পারে।

DNP3 secure authentication addition এসেছে অনেক পরে, এবং production-এ adoption এখনো সীমিত। OPC UA তুলনামূলক modern এবং security feature built-in, কিন্তু legacy infrastructure-এ adoption ধীর।

প্রথম layer হলো physical security। অনেক ICS attack physical access-এর সাথে শুরু হয় — USB drop, rogue device installation, বা insider physical access। Plant area-এর comprehensive physical security control অপরিহার্য।

Network architecture-এ Purdue model অনুসরণ করুন। প্রতিটি level-এর মধ্যে strong segmentation, এবং inter-zone communication-এর জন্য controlled conduit ব্যবহার করুন।

Identity and Access Management OT-তেও critical। Default credential change করুন, role-based access enforce করুন, এবং MFA implement করুন (যেখানে possible)। Privileged access সবসময় audit করুন।

Continuous monitoring deploy করুন। SIEM-এর সাথে OT-aware solution integrate করুন। Process anomaly, configuration change, এবং unusual communication pattern এর জন্য alert set up করুন।

Backup এবং recovery extensively test করুন। PLC project file, HMI configuration, এবং historian database-এর regular backup নিন এবং সেগুলো isolated, immutable storage-এ রাখুন।

Vendor security relationship maintain করুন। প্রতিটি বড় vendor-এর সাথে security contact থাকা উচিত। তাদের advisory monitor করুন এবং patch testing pipeline তৈরি করুন।

Staff training continuously করুন। OT engineer-দের cybersecurity awareness, এবং IT security team-কে process knowledge — উভয় দিকের cross-training অপরিহার্য।

Regular tabletop exercise এবং red team engagement চালান। বাস্তব scenario simulate করে response capability test করুন।

OT এবং IT-র convergence অপরিবর্তনীয়। IIoT, predictive maintenance, এবং digital twin-এর জন্য data exchange বাড়ছে। এই trend নতুন security challenge তৈরি করছে।

5G connectivity industrial environment-এ adoption বাড়ছে। এর high bandwidth এবং low latency নতুন application enable করছে, কিন্তু attack surface-ও বাড়াচ্ছে।

AI/ML-based anomaly detection ICS environment-এ ভালো কাজ করছে কারণ process behavior generally predictable। ভবিষ্যতে এই technology আরো sophisticated হবে।

Zero Trust principle-এর OT adaptation চলছে। NIST SP 800-207 এবং subsequent guidance OT context-এ এই concept-কে adapt করার পথ দেখাচ্ছে।

Quantum-resistant cryptography critical infrastructure-এ আগামী দশকে major migration হবে। যদিও present-এ urgency কম, long-lived OT system-এর জন্য planning এখনই শুরু করা উচিত।