W artykule opisano trzy strategie pozwalające osiągnąć największą wartość z oceny ryzyka cybernetycznego. Wyróżniono również praktyki, których zespoły ds. technologii operacyjnych (OT) powinny unikać podczas przeprowadzania ocen.
Większość systemów automatyki wykorzystywanych w procesach produkcyjnych jest projektowana przez dłuższy czas, aby zapewnić powtarzalność, niezawodność, dostępność i bezpieczeństwo operacji. Jednakże zwiększona łączność z systemami biznesowymi przyczyniła się do częstszego łączenia systemów sterowania przez Internet. Organizacje muszą teraz rozważyć implikacje związane z bezpieczeństwem cybernetycznym, aby systemy automatyki przemysłowej i sterowania pozostały bezpieczne i stabilne. Dobrym punktem wyjścia jest ocena ryzyka cyberbezpieczeństwa w celu określenia luk w aktualnie wdrożonych strategiach i technologiach oraz określenia sposobów identyfikacji, priorytetyzacji i eliminacji podatności na atak. Istnieją trzy powszechne błędy, które zespoły ds. technologii operacyjnych (OT) mogą popełnić podczas przeprowadzania lub zamawiania usługi oceny bezpieczeństwa:
? zakładanie, że ich własny zespół już zna i rozumie istniejące ryzyko,
? poszukiwanie ?magicznych rozwiązań?, a następnie zaniechanie działania z powodu licznych problemów,
? brak określenia priorytetów i ograniczone fundusze.
Organizacje, które zabezpieczą się przed tymi potencjalnymi przeszkodami, mogą w pełni wykorzystać korzyści płynące z oceny ryzyka. Mogą dążyć do bardziej bezpiecznych operacji cybernetycznych i stworzyć uzasadnienie biznesowe, którego brakuje w przypadku większości projektów ukierunkowanych na bezpieczeństwo, co dla właścicieli aktywów stanowi istotny problem.
1. Identyfikacja nieznanych zagrożeń i rozwiązań w zakresie cyberbezpieczeństwa
Bezpieczeństwo cybernetyczne to rozwijający się wyścig zbrojeń, który może się wydawać przytłaczający dla zespołu OT, a nawet dla niektórych doświadczonych w cyberbezpieczeństwie zespołów informatycznych (IT). Świadomość, że oprogramowanie antywirusowe i firewall nie stanowią już wystarczającej ochrony, może być zastraszająca. Ocena ryzyka cybernetycznego eliminuje konieczność określania przez zespół OT każdej potencjalnej podatności na zagrożenia cybernetyczne w zakładzie. Ocena może pomóc zespołom zidentyfikować i udokumentować zagrożenia, ustalić priorytety i określić podatność na największe zagrożenia. Takie informacje są podstawą do tworzenia rozwiązań, które szybko zapewnią wystarczające bezpieczeństwo. Po zakończeniu oceny zasoby stworzone i udostępnione przez partnerów-ekspertów mogą poszerzyć wiedzę na temat taktyk i technik cyberbezpieczeństwa bezpośrednio związanych z wiodącymi podatnościami. Dostawcy automatyki (jak również inni dostawcy technologii) oferują zazwyczaj szeroką gamę podręczników na temat bezpieczeństwa, wytycznych do budowy bezpiecznej architektury, webinarów na temat cyberbezpieczeństwa oraz ustawicznego kształcenia, aby pomóc zespołom OT w nauce, rozwoju i doskonaleniu strategii wykorzystywanych do zabezpieczania najważniejszych systemów. Dodatkowo zespoły nie mogą zakładać, że ich operatorzy wiedzą wszystko o cyberbezpieczeństwie. Polityki i procedury powinny być udokumentowane, udostępniane i regularnie aktualizowane (rys. 1). Personel musi zostać przeszkolony, aby mógł działać zgodnie z nowymi wytycznymi ustalonymi po przeprowadzeniu oceny. Nowe zasady często zakłócają wypróbowane i sprawdzone metody, do których przyzwyczaili się operatorzy. Zamiast polegać na wiedzy użytkowników na temat bezpieczeństwa cybernetycznego, zespół ds. bezpieczeństwa cybernetycznego powinien nauczyć ich, jak wykonywać działania zgodnie z nowymi wytycznymi. Po wprowadzeniu nowych wytycznych zespół ds. bezpieczeństwa cybernetycznego powinien ocenić ich wdrożenie pod kątem powodzenia i przydatności. Najlepszym sposobem na stworzenie bezpiecznych systemów i procedur jest okresowy przegląd wdrożeń i upewnienie się, że stosowane są właściwe i odpowiednie praktyki.
2. Sama technologia nie rozwiąże problemu cyberbezpieczeństwa
Dla każdego znanego ryzyka związanego z cyberbezpieczeństwem istnieje co najmniej jedna firma, która reklamuje się, że posiada najnowsze i dopasowane rozwiązanie, możliwe dzięki nowej, zdumiewającej technologii. Kiedy jednak przebijemy się przez szum informacyjny, okazuje się, że skuteczność takich rozwiązań jest różna. Co więcej, niewiele z tych urządzeń lub rozwiązań programowych zostało zaprojektowanych z myślą o technologii systemów sterowania. Nawet najlepsze rozwiązanie typu ?wszystko w jednym? nie zastąpi oceny cybernetycznej. Niezależnie od wyników oceny, podejście holistyczne wsparte pozyskanymi informacjami będzie zawsze najlepszą drogą naprzód. Same rozwiązania technologiczne nigdy nie wyeliminują potrzeby zrozumienia, co jest ważne dla każdej organizacji, wraz z elastyczną strategią odzwierciedlającą potrzeby operacyjne i biznesowe. Nowy produkt może zapewnić szybką naprawę istniejącej lub pojawiającej się podatności, jednak jeśli zakłóca on jedną z podstawowych funkcji systemu sterowania, jest mało prawdopodobne, aby przyniósł wartość w całym cyklu życia systemu automatyki. W dodatku organizacja może napotkać poważniejsze trudności. Dostawcy automatyki mogą zaoferować wybrane rozwiązania cyberbezpieczeństwa certyfikowane do pracy z ich systemami i są to rozwiązania najbardziej odpowiednie do eliminacji podatności wykrytych podczas oceny ryzyka cybernetycznego. Dostawcy automatyki opracowują i testują warstwowe rozwiązania cyberbezpieczeństwa z wykorzystaniem technologii bezpieczeństwa innych firm i towarzyszących im architektur, aby upewnić się, które z nich najlepiej współpracują z ich produktami. Ponadto takie zatwierdzone produkty są stale testowane i poddawane ocenie, aby zapewnić ciągłe i skuteczne działanie. Wraz z ponowną oceną stanu bezpieczeństwa dostawcy automatyki również dostosowują swoje produkty do nowych potrzeb. Niektóre rozwiązania firm trzecich są zintegrowane z przemysłowymi systemami sterowania (ICS), dzięki czemu stają się częścią automatyki, co pozwala dostawcom automatyki zapewnić pełne wsparcie w kontekście OT. W niektórych przypadkach dostawca zewnętrzny staje się partnerem strategicznym dla dostawcy systemu sterowania, dzięki czemu architektura referencyjna nie wpływa na podstawowe wartości systemu automatyki (rys. 2). Zespoły wsparcia systemu automatyki są już dobrze zaznajomione z technologiami bezpieczeństwa otaczającymi system sterowania. Oznacza to, że zespoły OT mogą polegać na pojedynczej sieci wsparcia dostawcy automatyki, aby ograniczyć do minimum wszelkie potencjalne przestoje.
3. Przeciążone i niedofinansowane działy ds. bezpieczeństwa cybernetycznego
Najprostszym przykładem braku odpowiednich działań jest mały dział zajmujący się technologiami informatycznymi (IT) i OT z ograniczonym budżetem. Taki zespół łatwo może zostać przytłoczony, ponieważ istnieje tak wiele podatności, którymi należy się zająć, a nigdy nie ma wystarczająco dużo czasu, zasobów lub ogólnych funduszy. Nawet duże, dobrze finansowane organizacje muszą zaczynać od pojedynczych rozwiązań i budować kompleksową strategię ?defense-in-depth?. Nie każdy problem musi być rozwiązany od razu. Dobra ocena ryzyka cyberbezpieczeństwa stworzy mapę działań, która pozwoli na zbudowanie warstw obrony, które z czasem i przy rozsądnych kosztach wypełnią luki. Inną ważną strategią jest poleganie na zaufanym partnerze, który przeprowadzi lub pomoże w ocenie. Organizacje partnerskie posiadają strategie i narzędzia, które pomagają przedstawić kierownictwu argumenty przemawiające za poprawą bezpieczeństwa cybernetycznego, uzasadniając inwestycję poprzez analizę informacji dotyczących kosztów naruszeń bezpieczeństwa cybernetycznego.
Jak rozpocząć ocenę ryzyka cybernetycznego
Podjęcie konkretnych kroków w odpowiedzi na ocenę ryzyka cybernetycznego nie jest tak zniechęcające, jak może się wydawać. Chociaż prawdą jest, że w przyszłości mogą się pojawić nowe zagrożenia cyberbezpieczeństwa, nie są one tak dobrze znane lub tak prawdopodobne do wykorzystania, jak stare zagrożenia, które są objęte łatkami, poprawkami i aktualizacjami. Bardziej prawdopodobne jest, że organizacja stanie się celem ataku przy użyciu starego błędu, który nie został załatany, niż nowej, świeżo odkrytej luki, po prostu dlatego, że więcej atakujących będzie miało w swoim arsenale starszego typu narzędzia do atakowania. Są to podatności, które najprawdopodobniej zostaną wykryte podczas oceny i powstrzymane przez podstawowe warstwy obrony. Strategia ?defense-in-depth? zaczyna się od dobrego zdefiniowania kontekstu, dzięki czemu każda warstwa ochrony może być właściwie zaprojektowana, a następnie uszeregowana pod względem ważności w stosunku do dostępnych zasobów. Ocena ryzyka cybernetycznego pomaga zbudować dobrą definicję potrzeb, odpowiednią dla unikalnych wymagań organizacji. Proaktywne podejście do oceny ryzyka cybernetycznego może również pomóc zespołom OT zapewnić, że wszelkie środki bezpieczeństwa nie będą miały wpływu na działalność operacyjną. Jeśli OT zbyt długo zwleka z identyfikacją i wdrażaniem rozwiązań dostosowanych do operacji, IT może wkroczyć i dostarczyć własne rozwiązania bez zrozumienia unikatowych potrzeb zespołu operacyjnego. Kiedy ryzyko jest oceniane, a rozwiązania są odpowiednio wdrażane, cyberbezpieczeństwo staje się pomostem pomiędzy IT i OT, który przynosi obopólne korzyści obu grupom. Jest to szczególnie cenne w czasach, gdy organizacje są zmuszone do działania w mniejszym zakresie i zdalnie, aby zapewnić ciągłość działania i biznesu.
Zainwestuj w ocenę cyberbezpieczeństwa, aby zabezpieczyć systemy automatyki
Zwiększona łączność z systemami biznesowymi spowodowała wzrost potrzeb w zakresie ochrony cybernetycznej systemów sterowania. Rozpoczęcie od oceny bezpieczeństwa cybernetycznego w celu określenia, w którym miejscu na swojej drodze znajduje się organizacja, przygotowuje personel do opracowania polityk i procedur w celu lepszego zabezpieczenia systemów automatyki. Czas zainwestowany w zdefiniowanie konkretnego kontekstu pomoże w stworzeniu warstw obrony, które spełnią dzisiejsze potrzeby (rys. 3). Kompleksowa ocena ryzyka cybernetycznego pomoże również zbudować mapę działań, która ? jak pokazują ostatnie wydarzenia ? jest niezbędna do przygotowania się na nieoczekiwane potrzeby w przyszłości.
Alexandre Peixoto, menedżer ds. marketingu produktów DeltaV; Rick Gorskie, menedżer ds. globalnej sprzedaży i cyberbezpieczeństwa, Emerson.