TECHNOLÓGIA ÉS IIOT
Szövetség alakult a biztonságos üzemeltetési technológia (OT) érdekében
(Amerikai Egyesült Államok)
A világon ‒ felismerve ennek szükségszerűségét, egyre több országban alakulnak meg olyan szervezetek, amelyek az ipari üzemeltetési technológiák biztonságának növelését tűzték ki céljukul. Az informatikai és az operatív technológiák egymáshoz közeledésével a sebezhetőségek is egyre világosabban láthatóak.
Az Amerikai Egyesült Államokban az üzemeltetési technológiák biztonságának fokozása érdekében az iparágban érintett vállalatok összefogása eredményeként szövetséget alakítottak.
Az adatszivárgás megszüntetése időigényes, drága és gyakran meglehetősen kellemetlen erőfeszítéseket is igényel. Amint a vállalatok tapasztalhatják, az adatszivárgás már nem csak az információs technológiára (IT) korlátozódik. Az informatika és operatív technológia (OT) konvergenciája az OT-t egyre kiszolgáltatottabbá teszi a kibertámadásokkal szemben. Az operatív technológiákat használó szervezeteknek 77%-a jelentett adatszivárgási incidens a közelmúltban.
Az OT-t fenyegető veszélyek célpontjai közé tartoznak a fizikai eszközök, például a gyártóberendezések kulcsfontosságú darabjai, valamint a motorok, szelepek és szivattyúk automatizálására, felügyeletére és vezérlésére szolgáló hardverek és szoftverek. A jogsértések megzavarhatják a műveleteket, negatívan befolyásolhatják a termelékenységet, ökológiai károkat okozhatnak és veszélyeztethetik az emberi biztonságot.
E fenyegetések fokozódó jellegére válaszul a mai csúcstechnológiai vezető vállalatok közül 12 nemrégiben elindította az Operatív Technológiai Kiberbiztonsági Szövetséget (Operational Technology Cyber Security Alliance (OTCSA)). Az alapító tagok közé olyan neves cégek/szervezetek tartoznak, mint az ABB, a Check Point Software, a BlackBerry Cylance, a Forescout, a Fortinet, a Microsoft, a Mocana, az NCC Group, a Qualys, a SCADAFence, a Splunk és a Wärtsilä.
Az OTCSA az első olyan ipari csoport, amely elkötelezte magát amellett, hogy az OT üzemeltetőknek erőforrásokat, útmutatásokat és megoldásokat biztosítson a kiber-kockázatok mérséklése és a támadás elleni védelem biztosítása érdekében.
Az OTCSA küldetése öt pontban foglalható össze:
- Javítani, és megerősíteni kell az OT környezetek és az OT/IT összekapcsolását biztosító interfészek kibernetikai-fizikai kockázati helyzetét;
- az OT üzemeltetők számára útmutatókat kell kidolgozni, és közzététnni arra vonatkozóan, hogy hogyan védhetik meg OT infrastruktúrájukat azon kockázatkezelési folyamat és referencia architektúrák/tervek alapján, amelyek bizonyíthatóan megfelelnek az előírásoknak és a nemzetközi szabványoknak (például az IEC 62443-nak);
- útmutatók az OT szállítók számára a biztonságos OT rendszerarchitektúrákról, a releváns interfészekről és mindezek biztonsági funkcióiról;
- a szövetség támogatja a biztonságosabb, valamint a biztonságosabb kritikus infrastruktúra beszerzését, fejlesztését, telepítését, üzemeltetését, karbantartását és megvalósítását;
- le kell rövidíteni a biztonságosabb OT és a biztonságosabb kritikus infrastruktúrák bevezetésének idejét.
Phil Quade, a Fortinet CISO-ja szerint az OTCSA segítséget nyújt a kritikus infrastruktúrával és az ipari automatizálással foglalkozó vállalatoknak a hagyományos informatikához gyorsan kapcsolódó OT biztonságos és megbízható használatában, mivel ezek a kapcsolatok nagy hatékonyságot és jelentős kockázatot jelentenek.
„Az OTCSA az értelmes és cselekvésorientált együttműködés előmozdítására összpontosít az érdekeltek azon csoportjával, akiknek közös a jövőképük. Ezek a csoportok informatikai és operatív technológiákat fejlesztő és előállító vállalatokból, szállítókból, üzemeltetőkből állnak, amelyeknek célja, hogy kialakítsák és elősegítsék a biztonságos tervezési, megvalósítási és működtetési irányelveket. ”- mondja Quade. „A küldetés fő célja az, hogy segítsen az OT-iparnak a kiberbiztonsági változások, frissítések és integrációk fejlesztésében és a fejlődő ipari szabványokban és előírásokban történő eligazodásban. Ez a törekvés rendkívül időszerű és fontos az OT-környezetek biztonságának összetettsége és a változtatások sürgőssége miatt, ugyanis az OT és az informatika közötti digitális konvergencia gyorsulása révén sok kiber- ellenfél egyre inkább ezeket az összetett környezeteket célozza meg. "
Az OTCSA munkája alapvető fontosságú a gazdasági versenyképesség, a nemzeti vagy személyes biztonság és a közbiztonság fenntartása szempontjából. A csoport együttműködésének és képzési céljainak köszönhetően mind küldetésében, mind modelljében egyedülálló ‒ segíteni egymást a növekvő OT biztonsági kockázatok megértésében, és a legerősebb, leghatékonyabb fellépés kidolgozásában.
Hatás a gyártásra
Az IndustryWeek-nek Quade azt mondta, hogy a gyorsuló IT / OT konvergenciának a gyártásra gyakorolt hatása miatt is szükség volt az OTCSA megalakítására. "Ebben a században a gyártási folyamatok változása előtt állunk, amely olyan jelentős, mint a múlt század elején bekövetkezett változások az autóiparban" - mondja. „Száz évvel ezelőtt a dolgozók és az ipari gépek gyártósorokba integrálódtak azért, hogy jelentős hatékonyságnövekedést érjenek el. Ma a gyár üzemeit és robotjait felügyelő gyártóüzem az operatív technológiáját lényegében integrálja az informatikával, hogy ugyanezt (a hatékonyság növelését – a ford.-szerk.) tegye. "
„A digitális átalakulás hatással van az OT környezetek biztonságára - még a gyártásra, a gyártósorokra is. Ezek a rendszerek az OT eszközeire épülnek, amelyek értéke dollármilliókban fejezhető ki. Egy, a gyártósorokon bekövetkezett rendszerösszeomlás hosszú időre leállíthatja a gyártást, és tönkretehet drága és nélkülözhetetlen anyagokat is” ‒ magyarázza Quade.
"Mivel az ipari környezet elsődleges célja az alkalmazottak és az üzemeltetés biztonsága, valamint a gyártás folyamatossága ‒ a csatlakoztatott eszközök, alkalmazások és operációs rendszerek frissítése nem egyszerű feladat" ‒ mondja Quade. ‒ „Ez a kollektív gondolkodás, tudás és útmutatás segíthet az operatív technológiákat irányító vezetőinek a leghatásosabb lépések meghatározásában az előttük álló biztonsági kihívások áthidalására. Ezeknek az alapelemeknek a meglétével a szervezetek egy rugalmas, és méretezhető biztonsági stratégia kidolgozásával és alkalmazásával folyamatosan fejleszthetik OT környezetüket anélkül, hogy feláldoznák a gyártási rendszerük termelékenységét vagy biztonságát.”