Kritične infrastrukturne kompanije i globalna pretnja sajber bezbednosti – problem
Kako energetska i rudarska mogu odgovoriti na jedinstvene izazove zaštite u digitalnom svetu? Bilo da stvaraju ili distribuiraju energiju, ili izvlače ili prerađuju naftu, gas ili minerale, preduzeća teške industrije čine kritičnu infrastrukturu globalne privrede. Rezultat toga je da oni predstavljaju atraktivne mete za sajber kriminal. Već do 2018. godine skoro 60% anketiranih relevantnih organizacija je doživelo kršenje u svojim industrijskim kontrolama (ICS) ili nadzornim kontrolama i sistemima za prikupljanje podataka (SCADA).
Teška industrija suočava se sa jedinstvenim izazovima u vezi sa sajber bezbednošću, s obzirom na njihovu decentralizovanu upravljačku strukturu i okruženje velike operativne tehnologije (OT) – okruženje koje se ne može spremiti za tradicionalne kontrole sajber bezbednosti. Kao i druge industrije u riziku, kao što su finansijske usluge i zdravstvo, one ulažu u sajber bezbenost. Investicioni jaz ostavio je većinu teških industrija nedovoljno spremnim za rastuće pretnje.
Međutim, kako raste svest o opasnosti, mnogi najviši rukovodioci u tim kompanijama sada postavljaju fokus na sajber bezbednost. Oni postavljaju važna pitanja kao što su: Šta je potrebno da se transformišu naše sposobnosti za sajber bezbednost? Koje investicije će se baviti najvećim rizikom? Koliko bismo trebali trošiti? Vodeće kompanije sada preispituju svoje modele sajber bezbednosti i upravljanja. Neki koriste nove sigurnosne alate za OT koje nude inovativni start-upi. Većina njih usvaja pristup bezbednosti zasnovan na riziku – identifikujući njihove kritične imovine i tražeći odgovarajuće kontrole na osnovu nivoa rizika.
Evolucija pretnji
Nekoliko faktora podupire rastuću opasnost za sektor teške industrije. Jedan od njih je porast geopolitičkih tenzija, što je dovelo do napada na kritičnu nacionalnu infrastrukturu. Teška industrija može postati kolateralna šteta u širim napadima čak i kada nisu meta, s obzirom na IT bezbednosne praznine i OT mreže povezane s IT mrežama putem novih tehnologija. Očigledno, ove pretnje su postale glavna briga za top menadžere, odbore i službe vlade.
Napadi na nacionalnu infrastrukturu
Među najznačajnijim napadima na kritičnu nacionalnu infrastrukturu u proteklih nekoliko godina su:
- U 2014. godini, jedna zapadnoevropska čeličana pretrpela je ozbiljna oštećenja u svom operativnom okruženju od napada fišinga (phishing), a zatim napada na OT mrežu gde su napadači stekli kontrolu nad opremom postrojenja.
- Napadi na energetsku distribucionu mrežu Istočne Evrope od 2015. do 2016. godine doveli su do toga da 230.000 ljudi ostane bez struje. U ovom slučaju, napadači su kompromitovali mrežu treće strane koja je bila povezana sa OT mrežom energetske kompanije, dozvoljavajući napadačima da naprave promene u kontrolnom sistemu.
- U 2017. godini, napadači su dobili pristup ICS-u jednog Srednjeistočnog petrohemijskog postrojenja i pokušali da sabotiraju operacije i izazovu eksploziju.
Nedavna otkrića u mrežama elektrodistributivnih kompanija sa sedištem u Evropskoj uniji i SAD, ukazuju na to da su akteri pretnji uspostavili povoljne tačke u OT mrežama iz kojih će pokrenuti napade u budućnosti. Primer za to je Dragonfly sindikat, koji je okrivljen za upade u sisteme elektroprivrednih kompanija iz EU i SAD za prikupljanje obaveštajnih podataka i za kompromitovanje OT sistema.
Grupe poput Dragonfly-a sve više koriste ofanzivne alate u privatnom sektoru, omogućavajući im da isporuče visoko sofisticirane sajber napade. Imajući u vidu osetljivost ciljeva, to je ubrzo postalo pitanje nacionalne bezbednosti uključujući vladine organe i obaveštajne agencije.
Kolateralna šteta u nespecifičnim napadima
Sektori za električnu energiju, naftu, gas i rudarstvo su brzo digitalizovali svoje operativne lance vrednosti. Iako im je to donelo veliku vrednost zbog analize, optimizacije procesa i automatizacije, proširili su i pristup prethodno izolovanim ICS i SCADA uređajima od strane korisnika IT mreže i trećih lica sa fizičkim i/ili udaljenim pristupom OT mreži. U mnogim slučajevima, ova digitalizacija je omogućila širi pristup OT uređajima. Prema analizi proizvodnih OT mreža od strane CiberX-a, kompanije za industrijsku sajber sigurnost, 40% industrijskih lokacija ima barem jednu direktnu vezu sa javnim internetom, a 84% industrijskih lokacija ima barem jedan uređaj sa daljinskim pristupom. Proizvođači ICS-a mogu da analiziraju pretnje sa USB-ja da bi otkrile i neutralisale one koje mogu ozbiljno da poremete operacije.
Ransomware predstavlja dodatnu pretnju. Jedan dobro poznati primer bio je WannaCry, koji je poremetio 80 posto benzinskih pumpi velike kineske naftne kompanije iskorištavanjem ranjivosti u staroj i nepodržanoj verziji operativnog sistema Windows. NotPetya malver je bio mnogo razorniji. Ovaj malver je izbrisao IT uređaje širom sveta, pogađajući oko 25% svih naftno-gasnih kompanija.
Nedavno su otkriveni botnetovi sa sposobnošću da detektuju i inficiraju SCADA sisteme, a oni koji ciljaju uređaje Interneta stvari (IoT) postaju sveprisutni. Prošla godina je takođe obeležena ogromnim rastom „crypto-mining“ malvera koji cilja na ICS računare, što ozbiljno utiče na produktivnost povećanjem opterećenja na industrijske sisteme.
Ovi tipovi napada neproporcionalno utiču na industrije, uključujući tešku industriju sa manje sajber zrelosti i mnogo uređaja za zaštitu. Štaviše, teška industrija ima dvostruki izazov da se zaštiti od novih digitalnih pretnji, a da istovremeno zadrži većinu nasleđenih OT okruženja. Većina kompanija i dalje posluje sa svojim početnim inicijativama za uspostavljanje sajber bezbednosti kao što je „patch management”. Više od polovine OT okruženja testiranih u jednoj studiji imalo je verzije Windows za koje Microsoft više ne pruža sigurnosne zakrpe. Ukupno 69% ovakvih preduzeća je imalo lozinke koje su prelazile OT mreže u običnom tekstu.
Jedinstveni sigurnosni izazovi s kojima se suočava teška industrija
Kompanije za proizvodnju električne energije, rudarstvo i naftno-gasne kompanije otkrile su četiri jedinstvena sigurnosna izazova koji su manje zastupljeni u industrijama veće sajber zrelosti, kao što su finansijske usluge i tehnologija. Jedan izazov proizilazi iz digitalnih transformacija koje preduzimaju mnoge energetske i rudarske kompanije. Drugi se odnose na njihov distribuirani trag, veliko OT okruženje i izloženost riziku treće strane.
Troškovi sigurnosti u digitalnim transformacijama
Većina teške industrije prolazi kroz velike digitalne transformacije ili ih je nedavno dovršila. Prilikom izgradnje poslovnog slučaja za ove transformacije, lideri često previđaju troškove upravljanja povezanim sigurnosnim rizicima. Bezbednost često nije centralni deo transformacije, a bezbednosni arhitekti se uvode tek nakon što se razvije novi digitalni proizvod ili sistem. Ovaj pristup bezbednosti kao naknadni pristup povećava troškove digitalizacije, sa kašnjenjima zbog sigurnosnih pregleda u poslednjem trenutku, novih sigurnosnih alata ili povećanja opterećenja postojećih sigurnosnih alata. Na primer, umesto izgradnje bezbednosnih paketa sledeće generacije u oblaku (“cloud”), većina preduzeća još uvek koristi bezbednosne alate koji su smešteni na lokaciji za sopstvenu “cloud” infrastrukturu, ograničavajući finansijske prednosti oblaka.
Pored toga, bezbednosne mogućnosti koje su uključene kasnije u razvoju tehnoloških proizvoda i sistema su inherentno manje efikasne od onih ugrađenih u dizajn. To takođe može naštetiti upotrebljivosti proizvoda, uzrokujući sukobe između programera i dizajnera korisničkog iskustva s jedne strane i sigurnosnih arhitekata s druge strane. To ponekad dovodi do toga da korisnici zaobilaze sigurnosne kontrole, tamo gde je to moguće.
Zaštita „krunskih dragulja“
Ekspanzivni geografski otisak tipičan za ove inženjere može na razne načine naškoditi njihovim naporima vezanim za sajber sigurnost. Ograničava njihovu sposobnost da identifikuju i zaštite svoju ključnu imovinu – „dragulje u kruni“. Mogu imati poteškoća da upravljaju ranjivostima preko krajnjih uređaja. I dok imaju tendenciju da imaju dobar pregled IT infrastrukture kojom se centralno upravlja, oni imaju malo ili nimalo vidljivosti nad infrastrukturom kojom upravljaju poslovne jedinice ili treća lica. Primeri imovine sa krunama uključuju IT, OT i sredstva upravljanja:
- Informaciona tehnologija: mrežni dijagrami, sistemski dnevnici i direktorijum za pristup mreži.
- Operativna tehnologija: programabilni logički kontroleri, SCADA protokoli i informacije o konfiguraciji sistema.
- Sredstva upravljanja: interni strateški dokumenti, komunikacije izvršnog menadžmenta ili upravnog i odbora, lične informacije o klijentima i zaposlenima,
Strukture upravljanja obično ostavljaju lidere centralne bezbednosti bez odgovornosti za bezbednost u poslovnim jedinicama ili operacijama. Mnogi predstavnici teške industrije koji su anketirani nisu mogli da identifikuju stranku odgovornu za bezbednost OT-a. Glavni menadžer za informacionu bezbednost (CISO) može postaviti politiku i razviti bezbednosne standarde, ali često nema nikakvu odgovornost za implementaciju sigurnosti OT-a u operacijama ili za reviziju pridržavanja istih. U isto vreme, mnoge operativne jedinice nemaju jasnog bezbednosnog partnera odgovornog za uvođenje, rad i održavanje sigurnosnih kontrola OT-a na nivou postrojenja. Zbog toga često zanemaruju sigurnost OT-a.
Izvor: McKinsey