[Intervju] Obvladovanje varnostnih tveganj in strateški pristop
Za obvladovanje varnostnih tveganj moramo vzpostaviti strateški pristop
Industrijska okolja so z vidika zagotavljanja kibernetske varnosti bolj zahtevna, saj v njih veljajo drugi protokoli, standardi in tehnološke rešitve, ki niso načrtovani z mislijo na varnost in zato ne vsebujejo varnostnih mehanizmov. Tako poudarjata Boris Krajnc, etični heker in strokovnjak za kibernetsko varnost v poslovnih in industrijskih okoljih, ter Peter Ceferin, tehnični direktor in strokovnjak za kibernetsko varnost v poslovnih okoljih in okoljih kritične infrastrukture v družbi Smart Com.
Kakšna je po vaši oceni raven razumevanja pomena kibernetske varnosti v Sloveniji? Je to podobno kot v razvitih gospodarskih okoljih?
Krajnc: Na podlagi izkušenj, ki jih je naša ekipa etičnih hekerjev in strokovnjakov za kibernetsko varnost pridobila z izvedbo varnostnih projektov in varnostnih pregledov poslovnih (IT) in procesnih (OT) okolij, lahko dokaj dobro ocenimo raven zavedanja o pomembnosti kibernetske varnosti v slovenskih podjetjih.
Večina srednjih in velikih slovenskih podjetij se zaveda pomena kibernetske varnosti svojega poslovnega okolja, kar se kaže z naložbami v tehnološke rešitve ter storitve in v izobraževanje oziroma ozaveščanje zaposlenih, za katere lahko trdimo, da so najšibkejši člen v tej varnostni verigi.
Do pred kratkim vlaganja v kibernetsko varnost v industrijskih oziroma procesnih okoljih niso bila prav pogosta, saj so bili procesni sistemi izolirani od poslovnih sistemov. Vendar pa se ta okolja z uvajanjem digitalizacije, avtomatizacije ter široke uporabe tehnologij interneta stvari (IoT) transformirajo v okolja, ki so tesno povezana z IT-okoljem. S tem so industrijska okolja postala veliko bolj dovzetna za množico novih varnostnih tveganj, kar napadalci s pridom izkoriščajo. Lani je denimo v javnosti zelo odmeval kibernetski napad na glavno ameriško podjetje za distribucijo naftnih derivatov Colonial Pipeline, ki je imel obsežne posledice ne samo na poslovanje podjetja, ampak je ohromil tudi življenje ljudi.
Naložbe v tehnološke rešitve ter storitve in ozaveščanje zaposlenih dokazujejo, da se v večjih podjetjih zavedajo pomena kibernetske varnosti svojega poslovnega okolja; Boris Krajnc
Katera znanja so še posebej nujna, da bodo skrbniki lahko čim bolj temeljito poskrbeli za kibernetsko varnost in svoja okolja ubranili pred neželenimi vdori in škodo, ki jo povzročajo hekerski napadi?
Krajnc: Industrijska okolja so z vidika zagotavljanja kibernetske varnosti bolj zahtevna, saj v njih veljajo drugi protokoli, standardi in tehnološke rešitve, ki niso načrtovani z mislijo na varnost in zato ne vsebujejo varnostnih mehanizmov. Ta okolja so ponavadi zelo obsežna in kompleksna, vključujejo različne elemente in so sestavljena iz več povezanih arhitektur. Razpoložljivost in neprekinjeno delovanje sta v teh okoljih glavnega pomena. Skrbniki industrijskih okolij morajo za obrambo pred neželenimi hekerskimi napadi najprej poznati sisteme v svojem okolju in kako se povezujejo z IT-sistemi. Pri tem je glavnega pomena poznavanje Purdue Enterprise Reference Architecture (PERA) oziroma šestnivojskega referenčnega modela IT- in OT-okolja za poznavanje naprav in tehnologij. Potem morajo poznati tehnike in metodologije, ki jih napadalci uporabljajo za vdor v industrijska oziroma procesna okolja ter kako lahko učinkovito nadzorujejo in zaščitijo okolje pred hekerskimi napadi in vdori.
Katere vrzeli najpogosteje opažate v poznavanju varnostnih ranljivosti na terenu?
Krajnc: Glede na to, da so naprave, ki so v industrijskih okoljih, v preteklosti v glavnem vzpostavljali vzdrževalci energetskih naprav in elektronskih komponent, niti ne moremo pričakovati, da bi ti imeli poglobljeno znanje o varnostnih mehanizmih, ki veljajo za standarde v IT-okoljih. Z združevanjem IT- in OT-okolja pa zaradi nepoznavanja varnostnih mehanizmov ali pravilne uvedbe kaj hitro dobimo področje, ki hekerjem omogoča potencialni vstop v organizacijo bodisi iz IT-okolja v OT-okolje bodisi nasprotno. Torej bi lahko rekli, da je pomanjkanje znanja in izkušenj tista največja vrzel.
Nadgradite znanje s področja kibernetske varnosti ICS/OT/IoT okolij
Kako čim bolj zmanjšati varnostno ranljivost v industriji, procesnih okoljih in okoljih kritične infrastrukture ter to raven ohranjati dolgoročno?
Krajnc: Vzpostaviti moramo strateški pristop k obvladovanju varnostnih tveganj. Ta proces je treba skrbno načrtovati in se začne na strateški ravni, ko poslovodstvo da ustrezne smernice, navodila ter organizira interne procese, vključno s kompetentnimi kadri in tehnološkimi rešitvami. Zaradi pomanjkanja strokovnih in izkušenih kadrov na področju kibernetske varnosti in omrežnih tehnologij so poslovodstva že začela uporabljati 24/7/365 upravljane varnostne in omrežne storitve pri specializiranih partnerjih. Ne glede na to pa seveda priporočamo, da podjetja vlagajo v znanje zaposlenih, saj je to bila vedno dolgoročna naložba.
Kakšna je po vaših ugotovitvah raven poznavanja varnostnih ranljivosti pri odgovornih osebah v okoljih kritične infrastrukture?
Ceferin: Vzroki za čedalje intenzivnejše zlivanje poslovnih in procesnih okolij so različni in jih ne moremo enačiti za vse gospodarske panoge – tako imenovane vertikale. V kritičnih infrastrukturnih sistemih so motivi za zlivanje poslovnih in procesnih segmentov vezani na potrebo po izmenjavi informacij oziroma podatkov med napravami v procesnem delu ter aplikacijami, ki so po svoji naravi bliže poslovnemu IT-segmentu.
Povečanje odpornosti proti kibernetskim napadom vsake organizacije podjetij v kritični infrastrukturi je proces, ki ga je treba skrbno načrtovati. Glavno spoznanje, potrjeno v praksi, je, da se zavedanje o tem začne na strateški ravni vsake organizacije, kjer uprava oziroma poslovodstvo organizacije da ustrezne smernice in navodila ter organizira interne procese in področja za krepitev kibernetske varnosti. Izzivi kibernetske varnosti v organizacijah kritične infrastrukture pa niso izključno tehnološke narave, ampak je treba graditi in ustrezno povezovati tri segmente: vire (zaposlene), procese in tehnologijo.
Na področju kritične infrastrukture se bodo morala začeti vzpostavljati specializirana partnerstva, saj se v ekipah soočajo s pomanjkanjem specializiranega kadra; Peter Ceferin
Na katerih področjih se je v zadnjem času zgodil napredek, kje ga še pogrešate?
Ceferin: Bistveno je, da v teh okoljih zaznamo, spremljamo in prepoznamo vedenje vseh procesnih, IoT- in IT-naprav v omrežjih, ki komunicirajo s procesnim omrežjem. Na tem področju se je zavedanje povečalo, vendar pa se ekipe soočajo s pomanjkanjem specializiranega kadra, zato se bodo morala na področju kritične infrastrukture začeti vzpostavljati specializirana partnerstva. S tem sodelovanjem bo kritična infrastruktura imela 24/7/365 varnostni vpogled, nadzor in odziv na zaznane anomalije ter ukrepanje ob morebitnih incidentih za zagotavljanje neprekinjenega delovanja.
Z Petrom Ceferinom, tehničnim direktorjem Smart Com d.o.o. in Borisom Krajncem se je pogovarjala Sabina Petrov. Intervju je bil objavljen 1.3.2022 na spletni strani Tovarna leta.