Izazovi zaštite operativne tehnologije

Većina današnjih OT mreža sastoji se od nasleđene opreme koja je prvobitno dizajnirana da bude zaštićena („air gapped“) od nesigurnih mreža. Međutim, tokom vremena, veći deo je postao povezan sa IT mrežama. Većina bezbednosnih napora za zaštitu OT-a uključuje kontrole zasnovane na mreži, kao što su zaštitni zidovi koji dozvoljavaju podacima da napuste OT mrežu za analizu, ali ne dozvoljavaju unos podataka ili signala. Iako je važno, ove kontrole perimetra su neefikasne protiv napada koji potiču iz OT mreže, kao što je malver na prenosivim uređajima. Pored toga, otkriven je malver koji koristi ranjivosti u VPN (virtuelne privatne mreže) i softveru za mrežne uređaje. Mnogi tradicionalni sigurnosni alati ne mogu se primeniti na OT okruženje. U nekim slučajevima ovi alati mogu oštetiti osetljive uređaje koji kontrolišu opremu postrojenja. Čak je i samo skeniranje ovih uređaja na ranjivosti dovelo do velikih poremećaja u procesu. Primena sigurnosnih zakrpa (ažuriranja) za rješavanje poznatih ranjivosti u sustavima visoke dostupnosti predstavlja još jedan operativni rizik, s obzirom na to da malo mjesta ima reprezentativne sigurnosne sustave na kojima se testiraju zakrpe. Zbog ovih rizika od poremećaja, rukovodioci operativnih jedinica oklevaju da dozvole promene u svom OT okruženju. Ovo zahteva od timova za bezbednost da primene zaobilazna rešenja koja su daleko manje efikasna u upravljanju rizikom. Dodavanje još većeg rizika i složenosti predstavljaju nove tehnologije kao što su industrijski uređaji IoT, cloud servisi, mobilni industrijski uređaji i bežično umrežavanje. Mnogi tradicionalni sigurnosni alati ne mogu se primeniti na okruženje operativne tehnologije. Izvan tehnologije je ljudski faktor, jer se mnoge industrije suočavaju sa nedostatkom veština vezanih za sajber bezbednost. Problem je još gori za kompanije teške industrije, koje moraju da zaposle i IT i OT timove bezbednosti, i da privuku talente na udaljene lokacije. U izveštaju o globalnoj informaciono-bezbednosnoj radnoj snazi iz 2017. godine, profesionalna organizacija za sajber-bezbednost (ISC)2 je predvidela da će jaz između kvalifikovanih IT profesionalaca i nepopunjenih pozicija porasti na 1,8 miliona do 2022. godine.

Izloženost riziku treće strane

U poređenju sa IT-om, OT okruženje je visoko prilagođeno, jer podržava proces specifičan za datu operaciju. Vlasnička karakteristika OT opreme znači da se kompanije oslanjaju na OEM da ga održi i napravi promene. Ova oprema je često „crna kutija“ za svog vlasnika, koja nema vidljivost u sigurnosnim karakteristikama ili nivoima ranjivosti. Štaviše, kompanije sve više rade outsourcing održavanja i rad OT, ili usvajanje procesa u sekvenci: izgraditi-operacija-transfer ugovora. Ove vrste odnosa zahtevaju od trećih strana da dobiju fizički pristup OT mrežama. Gde je potrebno daljinsko održavanje, vlasnik treba da uspostavi veze sa OEM mrežama. Ove udaljene veze su uglavnom bez nadzora od strane vlasničkih organizacija, uvodeći slepu tačku. Nekoliko industrijalaca prijavilo je da treće strane često povezuju laptop i prenosive uređaje za skladištenje podataka direktno u OT mrežu bez prethodnih provera sajber bezbednosti, uprkos očiglednim opasnostima od infekcije. Procene dobavljača i ugovori za OEM često ne uključuju pregled sajber bezbednost. Ovaj neuspeh sprečava kompanije da primenjuju bezbednosne standarde bez ponovnog pregovaranja ugovora. Tamo gde provode procene bezbednosti pre ugovaranja, rezultati se retko provode. OEM proizvođači koji imaju sigurnosne značajke u svojim proizvodima izveštavaju da ih operativni kupci retko žele. U nekim slučajevima, čak i ako su sigurnosne funkcije uključene po defaultu, ili bez dodatnih troškova, kupac ih ne koristi.

Nova rešenja

Uzimajući u obzir kompleksnost ovih izazova, kompanije u sektorima teške industrije sporo ulažu u programe za sajber bezbednost koji obuhvataju IT i OT, posebno u poređenju sa proizvodnim i farmaceutskim kompanijama. Jedini izuzetak je proizvodnja električne energije i distributivna mreža SAD, koja deluje kao odgovor na nove propise u ovom sektoru. Dobra vest je da rešenja za proizvode teške industrije postaju sve sofisticiranija. Nekoliko postojećih OEM provajdera i sve veći broj početnika su razvili nove pristupe i tehnologije usmerene na zaštitu OT okruženja. Lideri koji implementiraju ova rešenja moraju prvo pažljivo da razmotre jedinstvene izazove i procesne zahteve sa kojima se suočavaju. Oni onda mogu kombinovati rešenja sa odgovarajućim operativnim promenama. U nastavku ćemo opisati izazove s kojima će se morati pozabaviti na putu i investicije koje će biti potrebne, kako interno, tako i preko OEM i početnika, kako bi se postigla sajber zrelost.

Rana integracija sajber bezbednosti preko OT i IT

Kako kompanije prolaze kroz digitalnu transformaciju, lideri integrišu sajber bezbednost i u OT i u IT okruženja. Ako teška industrija žel da upravlja rizikom i izbegne kašnjenja vezana za bezbednost tokom svojih digitalnih transformacija, oni će morati ranije da ugrađuju bezbednost u proces, uz investicije u obuku i nadzor razvojnog programera. Istovremeno, ove kompanije bi trebalo da očekuju povećanu konvergenciju između svojih OT i IT sistema. Stoga, njihove investicije u programe transformacije sajber bezbednosti trebalo bi da obuhvate i jedno i drugo, dok bi one dublje integrisale svoje bezbednosne funkcije u OT i IT ekosisteme. Jedan od načina da se to postigne je da se stvori integrisani centar za bezbednosne operacije koji pokriva i OT i IT, koji sadržava detaljne protokole eskalacije i planove reagovanja na incidente za scenarije napada vezanih za OT. Primer iz kompanije Shell, koji radi sa svojim IT mrežnim provajderima i OT OEM-ovima, da razviju jedinstveno rešenje za upravljanje bezbednošću za sisteme za kontrolu u 50 postrojenja. Rešenja poput ovih omogućavaju centralizovano upravljanje imovinom, bezbednosni nadzor i usklađenost, dinamično i u realnom vremenu.

Poboljšanje upravljanja i odgovornosti za sigurnost u IT i OT

Decentralizovana priroda teške industrije čini posebno važnom potrebu da integrišu sigurnost u sve odluke vezane za tehnologiju u IT i OT, i duboko u različite funkcije i poslovne jedinice. Ova integracija će postati još važnija jer postaju digitalna preduzeća. To će zahtevati nove modele upravljanja. Na primer, zreli proizvođači iz oblasti teške industrije su osnovali komisije za reviziju arhitekture kako bi proverili nove tehnologije uvedene u IT ili OT okruženja, kao i promene postojećih tehnologija. Kao druga linija odbrane pojavljuju se timovi koji upravljaju informacionim rizikom (IRM), uključujući strategiju, usklađenost i izveštavanje. Pored toga, neke kompanije su angažovale svoju funkciju interne revizije kao zaista nezavisnu treću liniju odbrane. Ali malo njih je dostiglo takav nivo zrelosti. Pogled na četiri tipična pristupa IT i bezbednosti SZ-a otkriva da samo jedan pristup integriše bezbednost pod glavnim oficirom za bezbednost (CSO) usklađenim sa funkcijom rizika. U prve tri, odgovornosti su nedovoljno definisane. Ali u četvrtom pristupu, uloga OCD-a obuhvata IT i OT. OCD direktno izveštava COO, čime štiti bezbednost od smanjenja IT troškova, i sprečava da se IT programi zaustave na bezbednosti. U ovom optimalnom pristupu, OCD postavlja politiku, kreira standarde i radi sa procesnim inženjerima za kreiranje sigurnosnih arhitektura koje uključuju operativne specifičnosti. U idealnom scenariju, implementacija i rad bezbednosti SZ-a leži u funkcijama na nivou postrojenja, sa osobljem sačinjenim od OT stručnjaka koji imaju odgovarajuće kompetencije u oblasti bezbednosti. Međutim, ovo odvajanje između postavljanja politike i raspoređivanja, može dovesti do nesporazuma. Kompanije to mogu ublažiti stvaranjem lokalnih radnih grupa za bezbednosnu reviziju, uključujući i službenike zadužene za bezbednost poslovnih jedinica koji predstavljaju organizaciju za bezbednost na regionalnom ili lokalnom nivou. Metricama i strukturama za izveštavanje može upravljati komisija za sajber upravu za celu kompaniju koja izveštava u odboru.

Nova tehnička rešenja

Da bi se prevazišle teškoće u bezbednosti SZ, razmotrite nova tehnička rešenja. Nekoliko provajdera fokusiranih na zaštitu OT okruženja donosi nove mogućnosti za rješavanje problema. Iako je nekoliko dokaza koncepta rezultiralo uspešnim implementacijama velikih razmera, tehnologija se još uvek brzo razvija. Kako se kompanije takmiče da diferenciraju svoja rešenja, pobednici tek treba da se pojave. Ovde, međutim, postoje neka rešenja za razmatranje:

Zaštitni zidovi ograničavaju sposobnost napadača da se kreću preko mreže nakon što je jedan deo ugrožen. Poboljšanja u kontrolama na ulazu između OT i IT mreža omogućavaju kompanijama da pregledaju saobraćaj koji prolazi kroz taj prolaz. Oni takođe automatizuju sposobnost sistema da izvrši promene politike i blokira novo identifikovane pretnje. Najbolja praksa takođe poziva na stavljanje kritičnih sredstava i sistema u odvojene zone kako bi se ograničio uticaj kompromisa; na primer, bezbednosni sistem u odvojenoj zoni od SCADA. Nosioci postojećeg fajervola prilagođavaju svoja rešenja za OT.
Jedinstveno upravljanje identitetom i pristupom. Ovi alati omogućavaju kompaniji da centralizuje dodavanje, promenu i uklanjanje korisničkog pristupa OT sistemima i uređajima. Ovo je povezano sa sistemom upravljanja identitetom organizacije, obezbeđujući robusnu autentifikaciju. Ovaj pristup, koji je sveprisutan u IT, usvojen je kao standard u OT okruženjima u američkom sektoru električne energije. Smanjuje rizik od napada ograničavanjem računa „super-korisnika“. To omogućava kompaniji da prati ko ima pristup kritičnim resursima i pomaže identifikovati izvore napada. Takođe ima bezbednosne primene; jedna kineska elektrana, na primer, koristi je da bi administratorima bezbednosti omogućila daljinsko zatvaranje vrata za poboljšanje upravljanja bezbednošću.
Ovlašćenje inventara i uređaja. Ovi alati pomažu kompanijama da budu svesne svih uređaja povezanih na svoju OT mrežu. Oni mogu da identifikuju ranjivosti u određenim uređajima na osnovu tipa, proizvođača i verzije uređaja. Koriste se i za kontrolu autorizacije uređaja i komunikacija. Pored bezbednosnih aplikacija, ovi alati mogu da optimizuju efikasnost i identifikuju greške u povezanim uređajima.
Nadgledanje OT mreže i otkrivanje anomalija. Pojavilo se mnoštvo pasivnih OT alata za nadgledanje mreže koji prate saobraćaj na neinvazivan način. Ovi alati koriste algoritme kako bi identifikovali i upozorili na poznate pretnje i anomalije.
Mamci za prevaru napadača. Ovi relativno novi IT alati, skrojeni za OT okruženja, stvaraju mamce i fiktivne OT uređaje, uključujući SCADA, kako bi odbacili napadače. Iako su svi ovi alati korisni, gore navedena organizaciona pitanja do sada su onemogućavala njihovo usvajanje. Prvo, kupci bezbednosti imaju malo ili nimalo uticaja na OT okruženje. Sadašnji OT OEM proizvođači, koji su vlasnici odnosa sa operativnim donosiocima odluka, napravili su neke predstave direktno i kroz partnerstva u nekim vertikalama. Međutim, niska sajber svest među donosiocima odluka do sada je ograničila broj takvih poslova.

Upravljanje rizikom trećih strana

Troškovi i merenje vremena ponekad ometaju odgovornost kompanije da proceni usklađenost bezbedne dobavljača, i pre ugovora i na redovnoj osnovi. Grupe za saradnju specifične za određeni sektor, kao što su centri za razmenu informacija i analize (ISAC), postali su važni u smanjenju ovih troškova. Na primer, ISAC za zdravlje, koji uključuje proizvođače farmaceutskih i medicinskih uređaja sa velikim kontingentima, uveo je alat koji automatizuje prikupljanje dokaza i procenu rizika specifičnih za sektor, da bi se proverili dobavljači treće strane za bezbednost i rizik podataka. Ovaj ISAC je takođe stvorio standardizovano skladište dobavljača za dokaze koje su prikupili drugi.

Omogućavanje napretka

Imajući u vidu investicije potrebne za postizanje digitalne otpornosti i sve veće angažovanje rukovodilaca, identifikovali smo neke važne faktore koji će omogućiti napredak. To uključuje povećanu regulaciju sajber bezbednosti (od strane industrijskih grupa ili vlada), veće i pametnije investicije u programe digitalne otpornosti i veću saradnju na nivou industrije.

Razvijanje propisa o sajber bezbednosti

Među teškim industrijama, regulativa o sajber sigurnosti je sada prilično ograničena. U SAD se pojavljuje jedan potencijalni model. Agencija za električnu industriju, Sjevernoamerička korporacija za električnu pouzdanost (NERC), je u saveznom zakonu ovlaštena da postavi standarde poznate kao zaštita kritične infrastrukture (CIP). Ovi standardi regulišu tehničke i proceduralne kontrole. NERC je izdao 12 kazni u 2017. godini, u vrednosti od ukupno preko 1,7 miliona dolara, i pojačao svoj rad u 2018. godini, izdavajući milione dolara u kaznama te godine. Jedno ozbiljno kršenje rezultiralo je kaznom od 2,7 miliona dolara u odnosu na električni servis za izlaganje podataka od strane prodavca. Postojeći i novi propisi EU i UK o kritičnoj infrastrukturi prvi su korak ka stvaranju konzistentnosti na nivou cele industrije. Međutim, većina kompanija teške industrije se bori da razviju sopstvene standarde za IT i OT bezbednost, povezujući ih sa brojnim industrijskim standardima. Kako se napadi na kritičnu infrastrukturu nastavljaju, vjerovatno će uslediti veća regulacija u ovom sektoru, bilo iz industrije, vlade ili oboje. Ovo će doneti preko potreban mandat za CISO-e i OCD-e da preduzmu mere i stvore jasniji put ka uspostavljanju konzistentnih standarda u svim industrijama.

Veća i pametnija ulaganja u programe sajber bezbednosti

Prosečna elektroprivredna kompanija troši samo 4,9 odsto svog IT budžeta na bezbednost, sa rudarstvom prosek je 5,4 odsto. Ovo se upoređuje sa prosekom od 6,2% u svim industrijama i 7,8% u finansijskim uslugama. Merila potrošnje u oblasti sajber bezbenosti nisu jedini faktor koji treba uzeti u obzir prilikom odlučivanja o tome koja investicija je potrebna za određenu kompaniju. U ranim fazama transformacije sajber bezbednosti, troškovi programa mogu porasti pre nego što kompanija može postići stabilno stanje.

Merila potrošnje u oblasti sajber bezbednosti nisu jedini faktor koji treba uzeti u obzir prilikom odlučivanja o tome koja investicija je potrebna za određenu kompaniju. U ranim fazama transformacije sajber bezbenosti, troškovi programa mogu porasti pre nego što kompanija može postići stabilno stanje. Mešavina potrošnje je još jedan važan faktor koji treba uzeti u obzir. Kompanije na nižim nivoima zrelosti uglavnom troše najveći deo svog sajber budžeta na reaktivne aktivnosti zasnovane na poštovanju propisa. Ova mešavina se bitno menja kako kompanije sazrevaju, troše daleko više na proaktivne aktivnosti koje se odnose na budućnost. Kompanije koje provode sveobuhvatnu procenu njihove trenutne sajber zrelosti i izvora ranjivosti mogu voditi pametniju dugoročnu potrošnju.

Veća saradnja širom industrije

Inicijative za razmenu znanja počele su da se pojavljuju u sektorima teške industrije, ali se još mnogo toga može učiniti. Neki dobri primeri dolaze iz ISAC-a i drugih regionalnih i sektorskih grupa, koje su podržavale brzu izgradnju zrelosti kroz razmenu informacija, udruživanje resursa (kao što su zajedničke procene dobavljača) i izgradnju sposobnosti (kao što su simulacije kriza između sektora). Iako postoji nekoliko ISAC-ova za kompanije teške industrije, kompanije moraju mnogo više da urade kako bi uspostavile visoke nivoe saradnje i vrednosti viđene u drugim sektorima. Kao deo digitalizovane, povezane ekonomije, organizacije mogu biti uspešne samo ako primenjuju moć saradnje unutar i između sektora. Druge industrije, kao što su finansijske usluge, osiguranje i zdravstvena zaštita, izgradile su robusne mreže stručnjaka za sigurnost, koristeći okrugle stolove i druge oblike saradnje kako bi se rešile zajedničke pretnje i izgradila sigurnija industrija za sve. Konačno, vredi napomenuti da ni potrošnja ni usklađenost sa propisima nisu pouzdani pokazatelji digitalne otpornosti. Koristeći okvire i alate koje smo identifikovali u ovom članku, kompanije mogu izgraditi tu otpornost doslednom primenom pristupa zasnovanog na riziku – identifikacijom njihovih kritičnih sredstava i primenom odgovarajućih kontrola na osnovu nivoa rizika. To im onda može pomoći da kreiraju programe sajber transformacije koji otkupljuju rizik za podnošljive nivoe i određuju prioritete aktivnosti koje se bave najvećim rizikom po potrošenom dolaru. Kako viši lideri postavljaju teren za sajber transformaciju, oni moraju da osiguraju saradnju i učešće od strane stručnjaka za sigurnost i rizik i biznisa. Sa takvom saradnjom, kompanije će zaista biti u stanju da transformišu sajber bezbednost, pomažući im da ostanu van opasnosti u digitalnom svetu.

Izvor: McKinsey