{h1}
cikkek

A kritikus infrastruktúra sebezhetőbb, mint valaha. Nem kell így lennie

Anonim

Bevezetés

Subway autók egy alagútban ragadtak. Villamos áramkimaradás. Egy sérült gát. Zavaros távközlés. A létfontosságú infrastrukturális biztonság megsértésének ezek és más lehetséges következményei a legjobb esetben csak kényelmetlenséget okozhatnak; a legrosszabb esetben halálra vagy megsemmisülésre vezethetnek. Az áramszünetek 2015-ben és 2016-ban Ukrajnában két ilyen esetet jelentenek.

A mai hiper összekapcsolt világban az ilyen infrastruktúra sebezhetőbb, mint valaha a számítógépes biztonsági fenyegetésekre, legyen az rossz szándékú nemzetállamok, bűnszervezetek vagy egyének.

Ez az új biztonsági rés a szervezetek "technológiai rendszerének kritikus infrastruktúrájában bekövetkezett alapvető változásokból ered. Az ilyen szervezetek - az egészségügyi szolgáltatók, a közművek, a kémiai gyártók, a gyártók, a védelmi ügynökségek, az első válaszadók, a bankok, a közlekedési rendszerek - már hosszú ideje tulajdonoltak és működtettek kétféle technológiai rendszert.

Informatikai rendszereik alapvető irodai funkciókat, például e-maileket, bérszámfejtési és humánerőforrás-rendszereket működtetnek; miközben működési technikájuk (OT) szabályozza a fizikai berendezéseket és a küldetésükhöz nélkülözhetetlen személyzetet, például a teljesítmény generálását és továbbítását.

A múltban az OT olyan önálló rendszerekből állt, amelyek kevéssé ismert, saját tulajdonú protokollokat használtak - a homályuk biztonságossá tette őket. De most, az OT rendszerek ugyanazon a közismert szoftver- és hardverplatformon futnak, mint az informatikai rendszerek. Ezeket a rendszereket a hackerek jól értik, és ezért lényegesen kevésbé biztonságosak.

Soha nem látott expozíció

Mi vezetett ehhez az OT konvergenciájához az informatika terén? Ez a növekvő igény a folyamatos információhoz való hozzáférés iránt, amely az intelligens digitális technológiák használatához igazodik, beleértve az érzékelőket, a fényképezőgépeket és a hordozható készülékeket. Például egy segédprogram összegyűjti az intelligens fogyasztásmérők áramkimaradásának online adatait, így gyorsan fel tudja ismerni a problémás helyeket és visszaállíthatja az áramot az ügyfeleknek.

A lakástulajdonos távolról állítja be a termosztátot a lakóhelyén, hogy csökkentse a hőmérsékletet, miközben ő nyaralni. Az orvos megvizsgálja a betegek inzulintartalmát irodai számítógépen. A cégek távolról figyelemmel kísérik a vonatok, buszok és teherautók állapotát és helyét; az olaj- és gázáramlás csővezetéken keresztül; vagy a víz- vagy villamosenergia-fogyasztás hatékony és eredményes kezeléséhez.

Míg a példákban szereplő technológiák javítják az életünket, és a gazdaságunk hatékonyságát növelik, még sebezhetőbbé is válhatnak. Amikor a három ukrán energiaellátó ügyfelek elvesztették a hatalomát egy cyber-incidens miatt, ezek a segédprogramok képesek voltak visszaállni kézi műveletekre a hatalom helyreállítása érdekében. Ez nem lehetséges számos más országban, ahol a kézi műveletek már nem léteznek.

Amikor egy Los Angeles-i kórházban Ransomware-támadást tapasztalt, ami a kórházi rendszereket zárolta és nem tette elérhetővé, a kórház átmenetileg elvesztette a betegek számára előírt gyógyszerekről szóló információkat. Szerencsére senki nem halt meg a rossz gyógyszerek befogadásában, vagy nem kapta meg a megfelelő gyógyszert.

Mivel az összekapcsolt eszközök száma tovább növekszik, a potenciális hozzáférési pontok száma a hackerek számára, hogy megzavarják a létfontosságú infrastruktúrát, szintén nő. Mindezeket az eszközöket úgy kell megtervezni, megvalósítani és telepíteni, hogy azok kevésbé sebezhetőek legyenek a támadásokkal szemben.

Röviden, a technológiai függőség kritikus, és exponenciálisan növekszik. Amikor a támadók sztrájkolják az ilyen technológiákat alkalmazó rendszereket, kellemetlenek vagy bosszúsak lehetnek a legkevesebb gond.

A kihívások megértése

A mai magas szintű összekapcsolódás és expozíció komoly kihívásokat jelentett a kritikus infrastruktúra-szervezetek számára, amint azt a National Institute of Standards and Technology (NIST) elé terjesztett jelentésében BCG Platinion elmagyarázta az Egyesült Államok Elnöki Bizottságának a Nemzeti Cybersecurity fokozásáról. Nézzünk közelebbről.

A jövőbeli digitális infrastruktúra biztosításának szükségessége, miközben még mindig fejlődik

Az intelligens városok, a technológia által támogatott gyógyszerek és a gépjármű nélküli autók csodálatosan ígérnek jobb, biztonságosabb és produktívabb életet mindenkinek. Az ígéret teljesítéséhez szükséges digitális infrastruktúra kiépítéséhez azonban a létfontosságú infrastruktúrával foglalkozó szervezeteknek előre kell látniuk az ilyen infrastruktúra jövőbeli igényeit.

Néhány olyan technológiát, amelyet az infrastruktúra támogatni fog, még nem találták fel. Olyan, mintha egy repülőgépet építenének anélkül, hogy tudnák, milyen messze kell repülnie, és hány ember fog viselni.

Az ügyek még nehezebbé tétele érdekében a létfontosságú infrastrukturális szervezetek "OT" rendszerei olyan régebbi technológiákból állnak, amelyeket úgy terveztek és valósítottak meg, hogy a számítógépes biztonság bármelyik radarján volt. Mivel ezek a rendszerek kritikusak, gyakran nem lehet offline állapotban újratervezni és javítani. Mi több, a telepített bázis helyettesítése költséges és időigényes. Nehéz elképzelni, hogy hat hónapig bezárják a villamos energiát egy szomszédságban, hogy frissítsenek.

Kiberbiztonsági tehetséghiány

Nem biztos, hogy az intelligens eszközöket a biztonság szem előtt tartásával tervezik, valósítják meg és tartják karban. Ezenkívül speciális szakértelmet igényel, amely globálisan elmarad. A cyberbiztonsági szakértelem globális hiánya jól dokumentált. Még nehezebb megkeresni azokat, akik tudják, hogy hogyan biztosítják a kritikus infrastruktúrához szükséges IT és OT rendszereket.

Bár a kétfajta rendszer alapját képező technológia most azonos, mindkét típusú rendszer megőrzése különböző prioritásokat és különböző megközelítéseket tartalmaz. A prioritások különbségét hangsúlyozzák: az OT rendszereknek elsősorban biztonságosnak és elérhetőnek kell lenniük, míg az informatikai rendszereknek először és mindenekelőtt meg kell őrizniük az általuk feldolgozott és tárolt adatok titkosságát.

Azok az emberek, akik karrierjüket IT vagy OT környezetben töltik el, ezek a nagyon különböző prioritások vezérlik, általában különböző oktatási hátterűek, és ennek eredményeképpen nagyon különböző gondolkodásúak. Olyan emberek megtalálása, akik mind az OT, mind az informatikai kiberbiztonságot gyakorolják, nem kis feladat, a keresztezés nehéz, költséges és nem mindig sikeres.

Erőforrásbeli különbségek a nagy és kis szervezetek között

A számítógépes biztonság komplex fegyelem, amely több tudásterületet is magában foglal. A megfelelő megkövetelése különféle szakértelmeket igényel, amelyeket a kisebb szervezetek nem engedhetnek meg maguknak.

Nagy létfontosságú infrastruktúrával rendelkező létfontosságú infrastruktúrával rendelkező szervezetek felvehetik saját szakértőiket, és kifinomult számítógépbiztonsági programokat hozhatnak létre. A kisméretűek (mint például a katasztrófaelhárító ügynökségek és a vízellátó intézmények) ugyanazokat a kockázatokat kell kezelniük, és jelentősen kevesebb forrást kell biztosítaniuk.

A harmadik felektől való megbízható támaszkodás a kritikus képességek biztonságos biztosítására

A közgazdaságtani törvények arra ösztönzik a vállalkozásokat, hogy összpontosítsanak az alapvető kompetenciákra, és kiszervezzék a többit. Tehát nem meglepő, hogy a közlekedési vállalatok, a közművek, az egészségügyi szolgáltatók, a pénzügyi szolgáltatók és a számtalan más iparágak számos partnerre támaszkodnak, hogy bármit szállítsanak a szoftverektől és hardverektől a jogi vagy tanácsadási szolgáltatásokig. Ez magában foglalja a létfontosságú infrastruktúra hardver és szoftver komponenseit és az intelligens eszközök sokaságát.

Az egyesülési cégek sokkal szorosabban integrálódnak, mint a múltban, beleértve egymás rendszerek összekapcsolását és a rendkívül érzékeny információk cseréjét. Az ügyek bonyolultabbá tételéhez a szállítóknak saját beszállítóik, alvállalkozóik és így tovább vannak.

Az ellátási lánc ezért ellátóhálózá vált - hosszú, kiterjedt, összetett, többdimenziós és multinacionális. Ez szinte végtelen számú további pontot jelent, amely veszélybe kerülhet. Miközben a hagyományos IT-gyártók 20-30 évig foglalkoznak a számítógépes fenyegetésekkel, az intelligens eszközök és a kritikus infrastruktúra-rendszerek gyártóit csak nemrég vezették be a problémába.

A korábban tárgyalt számítógépes biztonsági munkaerő hiánya jelentős hatással van a beszállítók azon képességére, hogy biztosítsák eszközeiket, beleértve saját ellátási láncukat. Azok a beszállítók, akik manuálisan működtetett hardvereszközöket gyártottak, és most szoftvervezérelt intelligens eszközöket fejlesztenek ki, gyorsan ismerniük kell a számítógépes biztonságot.

Intézkedés: ajánlásaink az Elnöki Bizottsághoz

Az internet idő sokkal gyorsabban fejlődik, mint az emberek idősége. Vagyis a fenyegető szereplők az internet időben mozognak, míg az emberek gondolkodnak, elemeznek és aggodalmaskodnak a döntésekben. A szervezeteknek most kell cselekedniük, hogy mérsékeljék a velük szemben álló internetes biztonsági kihívásokat. Számos ajánlást dolgoztunk ki a hatékony, kollektív fellépéshez való hozzájárulás érdekében.

Az IT / OT kiberbiztonsági szakemberek fejlesztése a helyzet. Miközben a szövetségi finanszírozású informatikai biztonsági munkaerő-fejlesztési programok jó irányba mutatnak, az általános számítógépes biztonsági képzésre koncentrálnak, nem pedig az IT / OT környezetben. Ezért nem foglalkoznak teljes mértékben a létfontosságú infrastrukturális szervezetek szükségleteivel olyan iparágak, mint a gyártás, szállítás és segédeszközök - vagy beszállítói ökoszisztémái.

A különbségek megszüntetése érdekében a szervezetek támogathatják az oktatási megközelítések szélesebb skáláját, ideértve a főiskolai fokozatokat, a gyakornoki programokat és az IT / OT biztonsági képzést a meglévő alkalmazottak számára.

A szervezeten kívüli mentorálás és a tudás átadása egy másik ajánlás. A kevésbé informatikai biztonsági tapasztalattal rendelkező szervezetek vagy kisebb cyberbiztonsági csoportok tanulhatnak tapasztalt társaik tapasztalataiból. A nagyobb szervezeteknek ösztönözniük kell szakembereiket is arra, hogy vegyenek részt az iparági szövetségekben, a köz- és a magánszféra közötti partnerségekben és a regionális szervezetekben, amelyek mindegyike lehetőséget nyújt a szervezésen átívelő mentori és tudásátadás formalizálására.

A kisebb szervezeteknek hasonló részvételt kell ösztönözniük. Rövid távon az ilyen munkacsoportok távol tartanak az emberek napi munkáitól. De a mai összekapcsolt világban a szervezetek hosszú távon hasznot fognak kapni, mert a tudásátadás javítja az összekötő infrastruktúra biztonságát.

A számítógépes biztonság beillesztése a szervezeti kultúrába és stratégiába

A fent ismertetett ajánlásokon túlmenően a létfontosságú infrastruktúrával foglalkozó szervezeteknek ki kell terjedniük a számítógépes biztonságra a saját kultúrájuk és stratégiai tervezésük során. A biztonsági és minőségi programokhoz hasonlóan ezek az erőfeszítések nagy léptékű, átalakító változást igényelnek.

A szervezetek nem támaszkodhatnak a számítógépes biztonságtechnikai megoldások elfogadására. Ehelyett a megfelelő ösztönzőket, teljesítménymenedzsmentet, képzést, folyamatokat, eljárásokat és más rendszereket kell létrehozniuk, hogy a cyberbiztonság megkövetelje az elme készletét, viselkedését és gyakorlatait. Ez magában foglalja a meglévő technológiák hatékony felhasználását és az új politikák érvényesítését. Egy részletesebb, napi szintű szinten a vezetőknek példát kell mutatniuk, bemutatva azokat a gondolkodást, intézkedéseket és értékeket, amelyeket másoknak a szervezetükön keresztül kívánnak emulálni.

Röviden, a számítógépes biztonság rugalmasságának növelésére a leghatékonyabb mód azáltal, hogy megváltoztatják az emberek technológiájának használatát - nem pedig olyan technológiák hozzáadásával, amelyek kompenzálják a nem megfelelően használt technológiákat.

A NIST Cybersecurity keretrendszerének többsége nem technikai jellegű, és támogatja ezt a tényt. Valójában a következő gyakorlatokat ajánljuk, amelyeket az MIT, a Világgazdasági Fórum és a világszerte működő vállalatok munkájával inspiráltak, amelyek kulcsfontosságúak a számítógépes biztonság megteremtéséhez a szervezet kultúrájába és stratégiai tervezésébe:

  • Hatékonyabbá teheti csúcstechnikai biztonsági vezetőit azzal, hogy felhatalmazást, költségvetést és rendszeres hozzáférést biztosít a szervezet igazgatóságának.
  • Megfelelő szakértői támogatás beszerzése - belül és kívül.
  • Határozza meg számítógépes kockázati toleranciáját az üzleti stratégiájával és kockázatvállalási hajlandóságával.
  • Támogassa azokat a kiberbiztonsági befektetéseket, amelyek maximalizálják az üzleti hatást.
  • Olyan jelentésekre van szüksége, amelyek olyan elérhető információkat tartalmaznak, amelyek támogatják a hatékony, prioritású döntéshozatalt.
  • Világos kommunikációt és elszámoltathatóságot kell létrehozni, hogy ösztönözze az együttműködést a vállalaton belül.
  • Támogassa a számítógépes biztonsággal kapcsolatos együttműködést és információcserét harmadik felekkel, beleértve az ügyfeleket, beszállítókat, üzleti partnereket és versenytársakat.

Végül a legbiztosabbak lesznek azok a szervezetek, amelyek integrálják a számítógépes biztonságot a kultúrájukba és a stratégiai tervezésükbe. Mindenki a szervezetben fogja megérteni, hogy mit jelent a számítógépes biztonság; miért számít a szervezetüknek, a társadalom egészének, a munkájuknak és családjaiknak; és hogyan, mindennapi munkájukban és interakcióikban különbséget tudnak tenni az egész nemzet létfontosságú infrastruktúrájának biztosításában. Kemény munka? Minden bizonnyal. De a létfontosságú infrastrukturális szervezet nem engedheti meg magának, hogy féljen tőle.


Írta:

  • Nadya Bartol, a Cybersecurity Practice vezetője, BCG Platinion
  • Michael Coden, a Cybersecurity Practice vezetője, BCG Platinion

Az ebben a cikkben kifejtett nézetek nem más, mint a szerző, és nem a Világgazdasági Fórum.

- Építési beruházás 14:33, 2017. június 20. (BST)

Ajánlott

1c: Előkészítés és rövidítés (szállítói kinevezések)

BIM eszközkészlet

Top 10 felhőkarcoló található az Egyesült Arab Emírségekben