Sok helyen sok szó hangzik el mostanában az Ipar 4.0-ról, a működési technológiák változásáról, az automatizálásról, a robotokról. Ennél sajnos sokkal kevesebb szó esik a működési technológiák rendelkezésre állásának, és az ezeket támogató, működtető információs technológiáknak biztonsági kérdéseiről. Cikkünk két, ezekkel a kérdésekkel foglalkozó felmérés felhasználásával készült. A korábbit a Kaspersky biztonsági szoftver gyártó, az idei, 2020-as felmérést pedig a Claroty készítette.

A cikkben az eredeti (amerikai) rövidítéseket is használjuk, tehát az OT^[1] és az IT^[2], valamint esetenként az ICS[3] betűszavakat.

A kutatások azt mutatják, hogy a működési technológia biztonságának fokozása növeli a működési technológia rendelkezésre állását és az informatikai biztonságot is

A digitális átalakulás ma már egyre inkább szerepet kap, ami az üzleti élet számára nagyon jó, e mellett azonban egyre nagyobb sürgetést is jelent az informatikai és a működtetési technológia közötti kiberbiztonsági rés áthidalására is. Az informatikai és a működtetési technológia közötti konvergencia növeli a működés hatékonyságának, teljesítményének és a szolgáltatások minőségének üzleti értékét, egyúttal azonban akár ártalmas is lehet, mivel a célzott, és a nem célzott fenyegetések is szabadon hathatnak mindkét területre.

Bevezetőnkben eddig arról beszéltünk, hogy az új ipari rendszereknél a biztonság szempontjából egyaránt és egyformán fontos szerepe van a működési technológia és az informatikai biztonságának. A témának nagyon-nagyon sok szála van, mostani cikkünkben csak szemezgetni fogunk, méghozzá két felmérés alapján. Az elsőt (a korábbit, 2019-ben) a Kaspersky megbízásából az ARC Tanácsadó Csoport készítette, a másodikat pedig a CLAROTY (egy ipari működési technológiák (OT) biztonságával foglalkozó cég).

A Kaspersky felmérés kulcsfontosságú megállapításai

1. A megkérdezett vállalatok több mint 80% állította, hogy a szervezetükben az operatív technológia (OT) kiberbiztonsága kiemelt prioritást élvez. Ezzel szemben azonban csak 31%-uk készített az esetlegesen előforduló incidensekre reagáló tervet, míg 37%-uk szerint egy ilyen tervet a következő 12 hónapban fognak készíteni. ezeknél a válaszadóknál azért aggasztó helyzet, mert az egyértelmű reagálási terv hiányában valószínűleg rosszul kezelnék egy kibertámadás következményeit. Annak biztosítása érdekében, hogy az ipari vállalatok meghozzák a megfelelő intézkedéseket, az IEC 62443 -ben leírásra kerültek olyan, egy kibertámadás kezelésére szolgáló eljárások, amelyeket egy incidens esetén az incidens elszenvedőjének a lehető leghamarabb végre kell hajtania.
2. A megkérdezett vállalatok több mint fele (52%) tisztában van azzal, hogy több forrást kell biztosítani az OT / ICS kiberbiztonságához. A vállalat lehetőségeitől függően a költségvetési kiadások több változatát dolgozzák ki az OT automatizálására. Ez rendkívül sokféle biztonsági védelmi intézkedést és lehetőséget kínál arra, hogy akár különböző erőforrásokba, például biztonsági rendszerekbe és személyzetbe fektessenek be (ICS szakértők felvétele, megbízása). Noha a költségvetés gyakran lehetővé teszi a végpontok védelmére vagy az OT-ellenőrzésekre irányuló beruházásokat, a szakértők hiánya továbbra is súlyos problémát jelent az ipar számára, és bár ez a probléma folyamatosan jelen van, ennek megoldására nem szánnak, nem terveznek forrásokat.
3. A vállalatoknak a kiberbiztonsággal kapcsolatos víziója gyakran az egész iparágra vonatkozó véleményüket is tükrözi. Tehát, amikor jól definiált OT / ICS kiberbiztonsági folyamatokról beszélnek, úgy gondolják, hogy más szervezeteknek is jól definiált folyamataik vannak ‒ ezzel szemben a világosan meghatározott biztonsági folyamatokkal nem rendelkező vállalatok úgy vélik, hogy az egész iparágnak meg kell ragadnia a kiberbiztonsági megközelítést
4. A megkérdezett vállalatok 41%-a jelentette ki, hogy az elmúlt 12 hónapban nem tapasztalt semmiféle számítógépes biztonsági eseményt, Ez lényegesen alacsonyabb érték, mint a 2018. évi 51%, de ‒ annak ellenére, hogy ez a tény negatív fejleménynek tűnik ‒ lehetséges, hogy ezek a vállalatok 2018-ban egyszerűen nem voltak képesek azonosítani az összes biztonsági eseményt. Nem igazán képzelhető el az, hogy a behatolás-felderítő megoldások jelenleg sokkal több számítógépes biztonsági eseményt derítenek fel, mint amennyit akár a közelmúltban is találhattak. Ennél valószínűbb, hogy kevesen használnak olyan eszközöket, amelyek képesek a rendellenességek feltárására, és a veszélyes vagy gyanús hálózati forgalom észlelésére.
5. A megkérdezett vállalatok körülbelül 70%-a tartja valószínűnek, hogy támadják az OT/ICS-infrastruktúrájukat. Ennek ellenére sokan még nem foglalkoztak az OT/ICS kiberbiztonság megvalósításának saját víziójának kialakításával.
6. Sok esetben a vállalat saját munkavállalói is biztonsági fenyegetést jelentenek. Az alkalmazottak véletlen cselekedetei az OT/ICS automatizálási folyamatának felfüggesztéséhez vezethetnek. Ez részben a tudatosság hiányával függhet össze, különös tekintettel az új digitális OT automatizálási rendszerekre. A megkérdezett vállalatok közel fele (48%-a) jelezte, hogy a kiberbiztonság képzésbe többet kíván beruházni. Fontos biztonsági intézkedés, hogy a képzések folyamatosak, ismétlődőek legyenek.

A megkérdezett vállalatok közel 80%-a tekinti kihívásnak az OT és az IT folyamatosan növekvő összekapcsolódását. Ez a kihívás a működési technológia, és ezen belül is különösen az ipari hálózatok digitalizálásának köszönhető, és amelynek következtében látótérbe kerülhetnek azok az ipari rendszerek és eszközök, amelyek eddig esetleg nem voltak megfelelően védettek a kibertámadások ellen. Az IT és az OT szervezetek a rendszereik karbantartására és fejlesztésére gyakran eltérő biztonsági prioritásokkal és célokkal rendelkeznek. Ezenkívül az egyes szervezeti egységek közötti szervezeti kulturális különbségek, és az osztályok közötti megfelelő kommunikáció hiánya is súlyosbíthatják a problémákat.

Kiberbiztonsági tudatosság

A Kaspersky tanulmányhoz készített személyes interjúk során az OT / ICS kiberbiztonságának új kihívása jelent meg: az emberi tényező. Már sok biztonsági menedzser tapasztalhatta, hogy egy sikeres a biztonságtudatosságot alapozó képzés után hat-kilenc hónappal az alkalmazottak visszatérnek a régi, veszélyes viselkedési szokásaikhoz. Ennek a jelenségnek a leküzdése érdekében a vállalatoknak rendszeresen meg kell ismételniük a biztonsági tudatosságot erősítő képzéseket.

A felmérés azt is kimutatta, hogy nem könnyű olyan ICS kiberbiztonsági szakértőket találni, akik egyúttal megfelelő működési technológiai ismeretekkel is rendelkeznek. Az Ipar 4.0 kategóriájú ipari létesítményeket az a veszély fenyegeti, hogy túl kevés az ICS biztonsági szakértő.

Ezen kívül ma még túl kevés, ezt a problémát megoldani képes külső szolgáltató van a piacon.

Ezeket az eredményeket a 2018. évi felméréssel összehasonlítva egyértelműnek látszik, hogy az ipari vállalatok továbbra sem képesek megfelelő szakértőket találni az ICS kiberbiztonságának átvételére és kezelésére. Ez egyaránt vonatkozik a munkavállalókra és a külső biztonsági szakértőkre.

A helyzet ellensúlyozására új képzési lehetőségeket kell létrehozni a már képzésen átesett személyzet tudásának felfrissítésére, ‒ ellenkező esetben a helyzet tovább romlik.

Az ICS kiberbiztonságát befolyásoló külső tényezők

Általában az ipari vállalatok, és különösen a kritikus infrastruktúrával rendelkezők számára a kiberbiztonsági irányelvek betartása elengedhetetlen. Ennek elmulasztása a vállalatokat az ipari-gazdasági környezetük a súlyos gondatlanság miatt felelőtlenséggel vádolhatja. Ha a szükséges szabályok be nem tartása nem is veszélyezteti a szervezet kiberbiztonságát, mégis rossz sajtóvisszhanghoz vezethet és károsíthatja a vállalat imázsát is a környezetükben.

A 2018. évi felmérésben a vállalatoknak csak egynegyede (23%) igazolta vissza a kötelező irányelvek betartását!
Ebben az időben (figyelem: még csak két éve volt) kevés szervezet kötelezte el magát a kötelező irányelvek betartása mellett, a kritikus infrastruktúrában részt vevők mellett. A pénzhiány és a rendelkezésre álló szakértők hiánya akadályozta a bevált gyakorlatok és/vagy a vállalati saját szabványok végrehajtását.

2018-ban a Kaspersky által vizsgált országokban erősödött a figyelem az IEC 62443 irányelvei iránt (ez a szabvány az automatizálási szolgáltató, a rendszerintegrátor, és a végfelhasználók közös informatikai biztonságát szabályozza). A szabvány eszközöket javasol a vállalatok számára a saját kiberbiztonsági folyamataik meghatározására, növelésére.

A magyarországi ipari kiberbiztonsági helyzetről idáig még nem készült átfogó felmérés, azonban néhány szervezet szerint a magyar helyzet a fejlett országokhoz képest jelentősen rosszabb.

Az Index egy, a témával foglalkozó cikke szerint
„Legalább kétezer magyar ipari vezérlőrendszer érhető el szabadon az interneten, ezek közül sok szinte teljesen védtelen, titkosítás és hitelesítés nélkül hozzáférhető, lehallgatható és akár módosítható is. Közel négyszázat már meg is hekkelt valaki, de ennél jóval több eszköz sérülékeny”.

A cikket folytatjuk…

[1] OT ‒ Operational Technology ‒ működési technológia
[2] IT ‒ Information Technology ‒ információtechnológia, informatika
[3] ICS ‒ Industrial Cybersecurity - Ipari kiberbiztonság