Večinoma nam je v povezavi s kibernetsko varnostjo poznana kratica IT oz. informacijska tehnologija, ko govorimo o varnost IT oz. poslovnih okolij in je izraz, ki smo ga vajeni. V zadnjem času pa vse večkrat govorimo o varnosti v  OT (Operational Technology) okoljih. OT okolja ali kot jih tudi imenujemo ICS (Industrial Control Systems) okolja niso nekaj novega, so še starejša kot IT okolja, kar je novo, je varnostni vidik teh okolij.

Izobraževanje se osredotoča prav to tematiko – na zaščito industrijskih, operativnih okoljih, tudi kritičnih okolij. Zakaj? Ker se ta okolja v zadnjem času vse bolj povezujejo z IT okolji in to vedo tudi hekerji. Tehnologija je v OT okoljih precej zastarela (vsaj v večini primerov). Redko slišimo, da bi kdo v zadnjih 5 letih zamenjal vse PLC naprave oz. jih posodobil na najnovejšo verzijo. Le zakaj bi to storil, če vse deluje, tako kot mora. Ampak z varnostnega vidika med obema okoljema obstaja prehod oz. okolje, ki je pravi raj za hekerje. Tekom izobraževanja se poglobite v razloge in načine, kako najbolje poskrbeti za varnost OT okolij in varno povezati OT in IT okolje.

Hekerji s pridom izkoriščajo varnostne ranljivosti. Vse več je realnih primerov, v lanskem letu na primer zelo odmeven Colonial Pipeline, kjer so hekerji vdrli v okolje rafinerije in pridobili nadzor nad regulacijo ventilov. Gre za stvari, ki so del kritične infrastrukture. Če pomislite samo na naša jutra, takoj ko vstanemo prižgem luč, odpremo vodo – vse to je del kritične infrastrukture.

Lahko si zamislite, kaj se zgodi, če hekerji pridobijo nadzor nad distribucijo električne energije ali preskrbe s pitno vodo ali nad proizvodnim procesom v podjetju. Posledice so lahko kritične. Zaradi tega je potrebno o tem čim več govoriti in ozaveščati strokovnjake, čemur je namenjeni tudi to izobraževanje.

V okviru varnostnih pregledov tako IT kot OT okolij, ki jih izvajajo etični hekerji podjetja Smart Com, smo opazili, da pri nas primanjkuje zavedanja o pomembnosti tega področja. OT okolja so zelo specifična (npr. pregleda ne moremo opraviti kadar koli). Ugotavljamo tudi, da strokovnjakom, ki delajo v teh okoljih, primanjkuje znanja s področja kibernetske varnosti. Smart Com strokovnjaki so poleg izkušenj iz prakse pridobili tudi ustrezno (certificirano) znanje iz tujine. Tečaj je zasnovan z namenom dviga kibernetske varnosti v kritičnih okoljih, kar dosežemo s kombinacijo izkušenj in izbranih tematik, ki jih slušatelji lahko takoj aplicirajo pri svojem vsakodnevnem delu.

Tekom izobraževanje slušatelji pridobijo obširno teoretično znanje, še večji poudarek pa je na praktičnemu delu (vajah). Izobraževanje je sestavljeno tako, da slušatelji najprej spoznajo teorijo, ki jo nato potrdijo s praktičnimi primeri. Izvaja se veliko laboratorijskih vaj, npr. četrti dan tečaja jih je več kot polovico dneva, kjer se na podlagi simulacije prometne signalizacije slušatelji preizkusijo v vlogi hekerja in tako vidijo, kaj se s prevzemom nadzora lahko stori (npr. spreminjajo intervale luči).

Slušatelji lahko teorijo zelo hitro začnejo preizkušati v praksi v svojih okoljih. Naj še omenimo, da izobraževanje ni vezano zgolj na sisteme kibernetske varnosti, ki so del Smart Com portfelja. Bojazen je odveč, saj se na izobraževanju v glavnem uporabljajo odprtokodna programska orodja.

Tečaj je pripravljen tako, da tudi tisti slušatelji, k se prvič srečajo z Linux okolji ali Kali Linux orodjem, lahko uspešno izvedejo vse praktične vaje in se ob tem veliko novega naučijo. V ekipi je več predavateljev, ki tekom tečaja priskočijo na pomoč, če je to potrebno. Veliko kolegialnosti je tudi med samimi slušatelji. Vsekakor je dobrodošlo, da imajo slušatelji osnovno znanje oz. poznavanje virtualnih okoljih. S seboj morajo imeti svoj prenosni računalnik z administratorskimi pravicami. To je bila do sedaj še največja težava – v takih primerih prenosnik zagotovimo mi.

Ker imajo slušatelji različno (pred)znanje, je število udeležencev omejeno na 10. S tem zagotovimo, da vsi pridobijo znanje, po katerega so prišli, s tem da vsako izvedbo dodatno prilagodimo različnim panogam in specifikam področij, iz katerih prihajajo slušatelji.

Če ste IT-jevec, ki je zadolžen za industrijsko okolje, če ste v industrijskem okolju zadolženi za obvladovanje SCADA sistemov, če ste operater v industrijskem okolju oz. v okolju z operativnimi procesi, potem je tečaj pravi za vas. Ali če želite nadgraditi svoje znanje kibernetske varnosti tudi za področje operativnih tehnologij/procesnih sistemov?

Na izobraževanju slušatelji spoznajo pristope, mehanizme in pravilno načrtovanje varnosti v OT okoljih ter predvsem pravilno povezovanje IT in OT okolij za minimiziranje varnostnih groženj. Idealni scenarij varnosti nato lahko slušatelji primerjajo z realnim stanjem v svojem podjetju.

Spoznanj oz. ‘aha momentov’ je kar precej, ne samo po koncu, ampak že med samim izobraževanjem. Udeleženci zelo pohvalijo oz. so najbolj navdušeni nad praktičnim delom oz. vajami. Na ta način skozi prakso, skozi oči hekerjev kot tudi skozi oči tistih, ki morajo skrbeti za varnost, dobijo občutek, kako stvari potekajo v praksi. Spoznajo, da je varovanje OT okolij kar precej zahtevna zadeva. Navdušenje vseh je po navadi takšno, da izrazijo željo po nadaljevalnem tečaju.

Peti dan je opcijski, vendar je povsem praktičen oz. ‘hands-on’, zato je izredno zanimiv. Slušatelji zgradijo platformo na odprtokodnem sistemu, na katero preko modulov povežejo senzorje za spremljanje temperature, vlage… Korak za korakom se naučijo, kako se takšna platforma zgradi in uporablja ter kako se IoT naprave zavaruje, saj vemo, da so lahko zelo lahka vstopna točaj za napadalce.

Bonus je, da celoten sistem za nadzor in upravljanje senzorjev ter krmiljenje naprav ostane slušateljem in ga lahko nadalje uporabijo za lastne potrebe.