Problemy z cyberbezpieczeństwem ? ryzyka i zobowiązania

Chad Pinson z firmy Aon rozmawia z Control Engineering na temat tego, jak przemysł produkcyjny musi zareagować na rosnące zagrożenia dla cyberbezpieczeństwa.

Pod wieloma względami cyberbezpieczeństwo jest jak pogoda ? każdy o nim mówi, ale nikt z nim nic nie robi. To musi się zmienić, jak zasugerował Chad Pinson, specjalista d/s rozwiązań cyberbezpieczeństwa z giganta ubezpieczeniowego Aon. W niedawnym raporcie przedstawiciele Aon zasugerowali, że ponieważ ilość cyberataków wzrasta, to spowoduje to zwiększoną uwagę i zwiększoną odpowiedzialność firm. Chad Pinson w rozmowie z Control Engineering dyskutuje na temat niektórych z tych problemów.

Control Engineering (CE): Czym według Pana jest wrażliwość na cyberataki w sektorze produkcyjnym? Czy istnieje w nim jakiś szczególny obszar, który może być bardziej wrażliwy?

Chad Pinson: Wiele firm produkcyjnych nadal traktuje zagrożenia dla cyberbezpieczeństwa jako zmartwienie głównie firm zorientowanych na konsumenta w sektorach, które tradycyjnie przetwarzają duże ilości ważnych danych. Jednak zagrożenia dla cyberbezpieczeństwa w organizacjach produkcyjnych rozciągają się znacznie dalej poza włamania w celu przejęcia danych ? do zakłóceń realizowanych operacji i działalności firm, negatywnego wpływu na ich reputację, bezpieczeństwo publiczne i pracowników, wykradzenie tajemnic handlowych, ujawnienie kłopotliwych, poufnych czy istotnych niepublicznych informacji oraz kradzieży tożsamości w celu uzyskania korzyści finansowych.

Organizacje produkcyjne często wykorzystują przemysłowe systemy sterowania (ICS, ang. industrial control systems) i są od nich zależne. Systemy te są często zlokalizowane w odległych lokalizacjach, w których nie pracują ludzie lub w zakładach produkcyjnych, oddzielonych od zarządów korporacji lub wsparcia działów informatycznych. W wyniku tego wiele systemów ICS (oraz obsługujące je urządzania SCADA lub PLC) jest w coraz większym stopniu podłączanych do informatycznych sieci korporacyjnych lub Internetu. Z naszego doświadczenia w testowaniu tych sieci wynika, że wiele firm błędnie wierzy, że te systemy wyposażone w firewalle nie stwarzają zagrożenia dla ich szerszego biznesu, ponieważ zastosowano celową segmentację na system ICS i resztę sieci korporacyjnej.

Jednak podczas testowania możliwości penetracji sieci często jesteśmy w stanie z względną łatwością przechodzić z części korporacyjnej do zabezpieczonego firewallem systemu ICS i odwrotnie co oznacza, że posiadający odpowiednie umiejętności haker może zrobić to samo. Te połączone w sieci systemy wystawiają firmy produkcyjne na niebezpieczeństwo potencjalnych cyberataków, mających na celu spowodowanie masowych zniszczeń, incydentów w przemyśle lub chaosu. Na przykład poprzez wykorzystanie słabych punktów sieci haker może wpłynąć na dokładność czujników i przyrządów pomiarowych, funkcjonowanie zaworów i silników elektrycznych lub kontrolować i nadzorować kluczowe zasoby fizyczne i mienie firm.

Poza tymi znacznymi zagrożeniami dla cyberbezpieczeństwa związanymi z systemami ICS, firmy produkcyjne są także zagrożone stawaniem się ofiarami hakerów poszukujących dostępu do ich sieci w celu uzyskania cennych informacji dotyczących tych firm, takich jak tajemnice handlowe, własność intelektualna oraz plany badań i rozwoju. Ponadto prawdopodobnie celem cyberataków może być kradzież tożsamości w celu uzyskania korzyści finansowych i dokonania oszustw telekomunikacyjnych, na przykład za pomocą ataków metodą phishingu (podszywania sie pod inną osobę w celu wyłudzenia określonych informacji) lub inżynierii społecznej. Biorąc pod uwagę uzależnienie od realizowanych operacji i dostępu do informacji firmy produkcyjne są także zagrożone atakami za pomocą oprogramowania wyłudzającego okup (ransomware), skierowanymi na bardzo wartościowe informacje. Przestępcy szyfrują dane i żądają wysokich sum za ich odblokowanie, proporcjonalnie do wartości tych danych dla firm.

CE: Jakie są kluczowe elementy proaktywnego planu zapewnienia cyberbezpieczeństwa? Jak możemy zbilansować koszty i zyski z wdrożenia takiego planu?

Chad Pinson: Biorąc pod uwagę wielkość i zakres zagrożeń dla cyberbezpieczeństwa, którym stawiają czoła firmy produkcyjne, wdrożenie takiego proaktywnego planu jest sprawą kluczową. W kategoriach kosztów i zysków obecnie istnieje znaczna ilość danych oraz informacji, które mogą pomóc określić ilościowo wpływ zakłóceń i strat na firmy produkcyjne.

Wykonanie takich obliczeń oraz oszacowań technicznych poprzez bliską współpracę z zespołami specjalistów d/s cyberbezpieczeństwa może pomóc producentom zidentyfikować wielkość ryzyka istniejącego dla ich firm, wielkość ryzyka, które firma może lub powinna przejąć, wielkość, którą powinna ograniczyć i wielkość, którą powinna przenieść na produkty ubezpieczeniowe.

Wiele firm rozpoczyna wdrażanie swojego programu cyberbezpieczeństwa od ?ćwiczeń sztabowych? (ang.  tabletop exercices, symulacja, w której przygotowywane są scenariusze na wypadek wystąpienia sytuacji kryzysowej, które następnie są testowane) z reagowania na cyberincydenty lub z symulacji cyberataków, pomijając istotne etapy oszacowań i działań korygujących. To może przyśpieszyć proces początkowo i zmniejszyć koszty początkowe przeprowadzenia oszacowania i dokonania wszelkich korekt, ale ostatecznie oznacza, że plan reakcji na cyberincydenty będzie musiał być realizowany znacznie częściej, zaś ogólny plan zapewnienia cyberbezpieczeństwa zostanie osłabiony przez brak podstawowych danych, cyberhigieny i procesów zabezpieczeń.

Pierwsze etapy oszacowania, testowania i korekt, dotyczące personelu, procesów i technologii firmy produkcyjnej, pomagają przedsiębiorstwom w ustaleniu tego, jakie są ich kluczowe zasoby i gdzie się one znajdują, w tym ważne dane lub systemy podłączone do sieci oraz jakie powinny być priorytety zabezpieczeń na podstawie kluczowych funkcji. Firmy nie posiadają nieograniczonych budżetów na programy zapewnienia cyberbezpieczeństwa, tak więc jest to kluczowy krok w kategoriach dobrej analizy kosztów i zysków.

Po zidentyfikowaniu kluczowych zasobów oszacowanie umożliwia producentom wyznaczenie obecnego poziomu zabezpieczeń tych zasobów. Odkrycia i zalecenia wynikające z tych prac dają producentom możliwy do realizacji plan rozwiązywania problemów, zmniejszenia poziomu ryzyka oraz obniżenia ich ogólnego profilu ryzyka. Po wykonaniu oszacowania i działań korygujących producenci znajdują się w znacznie lepszym położeniu przed przetestowaniem planu.

W sam proces planowania reakcji na cyberincydenty powinni być zaangażowani eksperci, którzy posiadają doświadczenie w zajmowaniu się poważnymi zdarzeniami tego typu. Posiadają oni zarówno odpowiednią wiedzę z pierwszej ręki na temat problemów, które mogą wyniknąć z cyberincydentu, jak i doświadczenie dające im praktyczne informacje, jakie kroki powinny być podjęte w odpowiedzi na powstałe tego typu problemy, a jakie będą nieskuteczne lub nawet potencjalnie niebezpieczne. To zapobiega sytuacji, gdy cały plan stanie się skuteczny tylko teoretycznie oraz pomaga w dopasowaniu go do profilu ryzyka, kultury i procesów danej organizacji.

Plan reakcji na ryzyko powinien definiować konkretne role i odpowiedzialności poszczególnych osób, od zespołów technicznych do specjalistów od prawa, personelu (HR), komunikacji oraz zarządu firmy i wszystkich ekspertów zewnętrznych. Plan powinien być wypróbowany w praktyce przez wszystkie zaangażowane w niego osoby. Jednocześnie plan ten nie powinien być całkowicie nakazowy. Pewne jego obszary powinny być elastyczne, dopuszczające podejmowanie specyficznych decyzji i działań przez ekspertów według ich uznania w chwili wystąpienia cyberincydentu.

Na przykład przepisy i regulacje prawne dotyczące cyberincydentów cały czas się zmieniają i są aktualizowane, tak więc w wielu przypadkach dla planu reakcji na cyberincydenty jest bardziej efektywnie upoważnić biuro radcy prawnego lub wynająć doradcę zewnętrznego, aby uzyskać porady i pomoc dotyczącą odpowiedniego reagowania w chwili wystąpienia incydentu.

Podobnie dział d/s komunikacji musi wiedzieć, kim są odbiorcy, z którymi należy się skontaktować i w jaki sposób ? od dostawców do klientów firmy i władz. Jednak dokładne szczegóły, takie jak zarówno dokładna treść przekazywanych informacji, jak i czas kontaktu powinny generalnie być elastyczne i nieokreślone specyficznie w planie odpowiedzi na cyberincydenty.

Najlepszy plan reagowania na cyberincydenty zawiera także jasny proces punktowania, klasyfikowania i priorytetyzacji incydentów oraz wyjaśnia, w jaki sposób działania te powinny być nasilane i w którym miejscu. Na przykład zgubiony pendrive niezawierający poufnych informacji nie zasługuje na taką samą reakcję, jak mające wpływ na zakład produkcyjny włamanie do jego sieci, dokonane z inicjatywy jakiegoś innego państwa.

Jako część proaktywnego planu zapewnienia cyberbezpieczeństwa posiadanie zewnętrznego doradcy i zewnętrznego zespołu reagowania na cyberincydenty (nawet przy wykorzystaniu podstawowego, darmowego pakietu usług tej firmy specjalistycznej) jest kolejnym krokiem, który może zminimalizować szkody powstałe w chwili cyberataku, poprzez zminimalizowanie lub wyeliminowanie czasu wymaganego na wynegocjowanie i zrealizowanie umowy wynajęcia firmy specjalistycznej w czasie trwania incydentu. Eksperci z zespołu reagowania na cyberincydenty, którzy wkraczają do akcji posiadając już wiedzę o środowisku, operacjach i procesach danej firmy przemysłowej, są lepiej przygotowani do działania, niż ci stykający się z tą firmą po raz pierwszy podczas wezwania o pomoc w chwili wystąpienia cyberataku.

CE: Wymienia Pan zabezpieczenia biometryczne i uwierzytelnianie wielopoziomowe, jako dwa sposoby reagowania na zagrożenia dla cyberbezpieczeństwa. Czy istnieją inne działania, które mogą być podjęte przez małych i średnich producentów w celu reagowania na problemy z bezpieczeństwem ich sieci?

Chad Pinson: Małe i średnie firmy produkcyjne mogą reagować na problemy z bezpieczeństwem ich sieci poprzez podejmowanie takich kroków, jak będące punktem startowym dopasowane do użytkownika oszacowanie poziomu cyberbezpieczeństwa oraz wdrażanie niektórych z działań, które opisałem wcześniej, takich jak priorytetyzacja ich kluczowych zasobów pod względem cyberzabezpieczeń. Niektóre inne podstawowe działania, które firmy te mogą rozważyć, to monitoring kontroli dostępu, wdrożenie prawidłowego systemu zarządzania hasłami oraz tworzenie lepszej konfiguracji wokół firewalli.

Wiele narzędzi i aplikacji operacyjnych, które są już używane w środowisku firmy, posiada już funkcje cyberbezpieczeństwa. Jednak funkcje te muszą być najpierw zrozumiane i skonfigurowane, a dopiero potem używane. Na przykład przynajmniej jeden z popularnych programów pocztowych wykorzystywanych w przedsiębiorstwach posiada opcjonalną funkcję monitoringu kontroli dostępu, która może pomóc w zminimalizowaniu ataków typu phishing i możliwości uzyskania nieautoryzowanego dostępu do kont e-mail.

Zaleca się także upewnić się, że czynione są właściwe inwestycje w ludzi w organizacji. Na przykład, dział informatyki nie musi jednocześnie funkcjonować jako dział d/s cyber zabezpieczeń.

Mniejsze firmy mogą także przeprowadzić zmiany organizacyjne, takie jak utworzenie ogólnozakładowego komitetu d/s cyberbezpieczeństwa, w którym znajdą się zarówno właściciele i użytkownicy danych, właściciele i użytkownicy systemów jak i kierownictwo firmy, specjaliści operacyjni oraz inni pracownicy, którzy potrafią wdrożyć zarządzanie cyberbezpieczeństwem i ryzykami w procesach biznesowych.

CE: Porozmawiajmy o problemie ryzyka wewnętrznego. Wydaje się, że wiele sieci jest wrażliwych bardziej na nieumyślne, przypadkowe włamania niż na celowe cyberataki.

Chad Pinson: Najsłabszym ogniwem w systemie cyberobrony są często ludzie, którzy mogą być niedbali, nieuważni lub nawet złośliwi w stosunku do swojej organizacji. Zagrożenia ze strony pracowników mogą być tak proste jak nieświadome kliknięcie w link w e-mailu będącym atakiem typu phishing lub zgubienie laptopa zawierającego cenne informacje.

Ale ryzyko wewnętrzne może objąć także umyślne kradzieże informacji handlowych lub posiadających dużą wartość, dokonane w celu osobistych korzyści lub zemsty. Firmy konsekwentnie nie doceniają swojej kluczowej wrażliwości w tym obszarze i wiele z nich nadal umożliwia swoim pracownikom zbyt duży dostęp do cennych danych, procesów oraz informacji, jednocześnie mniej monitorując lub kontrolując dostęp czy działalność użytkowników.

Aby zarządzać elementem ludzkim cyberbezpieczeństwa firmy muszą wdrożyć programy szkoleń i świadomości oraz stworzyć kulturę, w której pracownicy stają się wartościowym sprzymierzeńcem w identyfikowaniu podejrzanych działań i nie wahają sie informować o cyberincydentach czy błędach z obawy o negatywne konsekwencje ze strony pracodawcy. Producenci mogą także zainstalować narzędzia zapobiegające utracie danych i skonfigurować istniejące aplikacje w celu lepszego zabezpieczenia przed zagrożeniami z wewnątrz.

Na przykład firmy mogą tak skonfigurować dostęp do Internetu, aby ograniczyć wykorzystanie pewnych stron, które są często źródłem złośliwego oprogramowania (malware), wprowadzanego do środowiska firmy, stron oferujących dostęp do poczty elektroniczne z poziomu przeglądarki (webmail) albo usług przechowywania danych w Chmurze, które są często wykorzystywane do wyprowadzania danych z korporacji, poprzez nieostrożność lub złośliwie.

Opracowane przez firmy zewnętrzne efektywne programy zarządzania ryzykiem są także kluczowe w zmniejszaniu zagrożeń wewnętrznych, ponieważ ryzyko nie jest stwarzane tylko przez pracowników firmy przemysłowej, ale także przez jej dostawców, firmy współpracujące i każdego, kto posiada dostęp do sieci zakładu.


Chad Pinson jest dyrektorem wykonawczym i zarządzającym w firmie Aon.