Ala

Miksi elintärkeiden infrastruktuurien yritykset tekevät kyberturvallisuuden haavoittuvuusarvioita

Miksi elintärkeiden infrastruktuurien yritykset tekevät kyberturvallisuuden haavoittuvuusarvioita


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Vuosien ajan olemme kuulleet tuomiopäivän varoituksia välittömästä kyberuhasta, ja joka kerta siitä tulee "isompi ja pahempi". TV-sarjoista kuten Mr. Robotti (2015) elokuville, kuten Live Free tai Die Hard (2007), on meille kerrottu, että Internetin mahdollistaman yhteiskunnan hyperyhteyden ja lisääntyvän taipumuksensa riippua tästä tekniikasta vuoksi, että se on myös suurin heikkous.

Keskeinen hyväksikäytön kohta.

No, se on jossakin määrin aivan oikein, se on keskeinen kohta, jossa meitä voidaan hyödyntää. Normaalisti, kun joku mainitsee hakkeroinnin, saatat ajatella itsellesi: "Joo kuten silloin, kun hänen valokuvansa varastettiin" ja olisit oikeassa, mutta seuraava taso on, kun hakkerointi voi johtaa myös fyysiseen vahinkoon.

Meillä ihmisillä ei ole vain yhteyttä, mutta myös järjestelmät ja infrastruktuuri, joita päivittäin käytämme yhteiskunnassa toimimiseen, rakentamamme työkalut ovat kääntyneet meitä vastaan ​​ja mitä enemmän, nämä hyökkäykset tapahtuvat etänä, Internetin kautta.

Mutta tämä on vain hypoteettinen elokuvateos, eikö?

Väärä. Tämän tyyppisiä asioita on jo tapahtunut jo vuonna 2010 hyökkäysten kanssa, kuten kuuluisa Stuxnet, ensimmäinen laatuaan digitaalinen ase, ja monet muut sen jälkeen. Tämä tapahtuma muutti pohjimmiltaan sitä, mitä tarkoitti verkkohyökkäyksen toteuttaminen tällä iskulla maiden infrastruktuureihin, ja niiden SCADA-järjestelmien kohdentaminen oli ensimmäinen merkittävä askel kohti fyysistä vahinkoa aiheuttavaa digitaalista hyökkäystä.

Digitalisaation aikakausi on merkinnyt sitä, että yhä useampi näistä ohjausjärjestelmistä on kasvanut soveltamisalallaan ja käytettävät tekniikat ovat tarkoittaneet ilmaisua Operatiivinen tekniikka toisin kuin tietotekniikka, jotta voidaan määritellä käytetyt laitteistot, ohjelmistot ja järjestelmät tämäntyyppisessä ympäristössä.

Okei, joten olemme todenneet, että käynnissä on melko hienostuneita verkkohyökkäyksiä, jotka nyt näyttävät kohdistuvan kriittiseen infrastruktuuriin. Emmekö voi olettaa, että tarvitsemme yksinkertaisesti korkeimmat turvatoimenpiteet näiden isojen hakkerointien estämiseksi?

Vastaus on kyllä ​​ja ei. Voit rakentaa seinän matalaksi tai korkeaksi, ja hinta nousee sen mukaan, kuinka korkealle haluat rakentaa seinän, kun taas toiminnallisuus ja suorituskyky laskevat vastaavasti. Siksi ei ole aina mahdollista, että jokainen kriittisen infrastruktuurin omistaja laittaa merkittävän osan taloudestaan ​​"vain" kyberturvallisuuteen.

Kyberturvallisuuden takaavan seinän mittaaminen ei ole helppoa työtä, mutta yksi mittatikku meillä on verrata sitä standardiin. Kyllä, ne kauniit standardit, joihin kaikki insinöörit perehtyvät.

Joissakin standardeissa sanotaan, että järjestelmän saamiseksi sinun on hankittava tietoverkkojen haavoittuvuuksien arviointi (CVA) NERC-CIP-101-2: n mukaisesti. Minkä järjestelmän uskot olevan turvallisempi: sellaisen, jota ei ole koskaan hakkeroitu, tai sellaisen, joka on hakkeroitu muutaman kerran, mutta joka on parantanut heidän turvallisuuttaan joka kerta?

Joten nyt tiedämme, että CVA: ta suoritetaan, mutta miksi, miksi nyt?

Tässä ovat kolme pääkuljettajaa:

1. Lisääntyneet kyberhyökkäykset

Vuosien varrella olemme nähneet raportteja suurista uhista ja hakkeroista, kuten WannaCry tai 2017 NotPetya -hyökkäykset Ukrainaa vastaan, mutta maailma on jätetty vakuudeksi. On olemassa useita muita hakkerointeja, joista olet ehkä kuullut, suuria tietovuotoja, kiristysohjelmia jne., Mutta erityisesti nämä kyberhyökkäykset aiheuttivat myös fyysisiä tai ympäristövahinkoja.

Erityisesti NotPetya oli luultavasti yksi ensimmäisistä tapauksista, joita alan ihmiset pitävät verkkosodassa. Kansakunta kohdennettiin nimenomaan tunnettujen nollapäivien kanssa, ja jopa Microsoft oli ilmoittanut, että sillä oli korjaustiedosto. Mutta hyökkäys tuli liian aikaisin. Aivan liian aikaisin, jotta suurin osa tietokoneista voidaan päivittää ennen hyökkäystä. Kuvittele vain tapaus, jossa et pääse kotiin, koska sinulla ei ole käteistä. Maksujärjestelmät ovat rikki, etsit pankkiautomaattia, siinä on lunnasohjelmanäyttö, joka lukee

"Järjestelmäsi on salattu. Salauksen purkaminen maksaa meille 2 BTC."

Se on melko aavemainen kohtaus, ja vaikka tämä ei aivan törmännyt kotiisi tai asuin- tai työskentelypaikkaasi, tosiasia on, että hyökkäysten määrä kasvaa.

2. Lainsäädäntö

Suunnittelun parhaat käytännöt Vaikka standardeja ja suunnittelun parhaita käytäntöjä on aina ollut, hallitukset vaativat yrityksiä täyttämään kyberturvallisuusstandardit. Ei vain Yhdysvalloissa, mitä voit odottaa, mutta jopa Australiassa, esimerkiksi Australian kyberturvallisuuskeskuksen kaltaisilla elimillä. Vaikka jotkut elimet ovat vain suuntaviivoja tai parhaita käytäntöjä, eivätkä ne ole lainsäädännöllisiä, et voi kieltää niiden maiden suuntausta ja tietoisuutta, jotka käsittelevät kyberturvallisuuttaan teollisuuden ja kriittisen infrastruktuurin hyväksi.

Saatat jopa ajatella, että Australia ei ole erityisen korkea kohde - ja olisit oikeassa.

Tämä oli osittain se, mitä mainitsin Australian liikkeistä, on se, että jopa suhteellisen alhaisen "tavoitteen" ollessa tämä on erittäin tärkeä tietoinen alue, ainakin hallituksen mukaan. Tarkastele vain mahdollisten hyökkäysten määrää ympäri maailmaa, kun Australia tekee enimmäkseen omaa asiaaan.

Jos et ole nähnyt tämäntyyppisiä suoria verkkohyökkäyssivustoja, ennen kuin ne antavat sinulle jonkin verran tietoa Internetin liikenteen määrästä, joka on kyberuhka haittaohjelmien, tietojenkalastelun tai hyödyntämisen kategorioissa.

3. Digitalisaatio / Teollisuus 4.0

Tämä suuntaus on kasvanut erityisesti viimeisten 5–10 vuoden aikana, kun sanat Industrial IOT tulevat esiin. Emme ole vielä siellä, mutta olemme kärjessä, ja jos tiedät jotain teollisuuden historiasta, tiedät, että ensimmäinen teollinen vallankumous noin 1700-luvulla oli siirtyminen höyryyn ja vuosina 1700-1800 seuraava vallankumous tuli tekniikan, erityisesti sähkön, muodossa. Teollisuus 3.0 oli tietokoneiden käyttö ja parannetut automaatiokapasiteetit, ja nyt teollisuus 4.0: ssa olemme nyt täydessä vauhdissa "digitalisoinnilla", lisääntyneellä liitettävyydellä, lisääntyneellä datalla tietoon perustuvien päätösten tekemiseksi ja tietysti enemmän valppautta kyberturvallisuuden suhteen.

On myös tosiasia, että kyberturvallisuuteen liittyvien työpaikkojen kysyntä kasvaa ja on ollut IBM: n mukaan viimeiset 6 vuotta, eikä ole mitään syytä nähdä, että tämä suuntaus on siirtymässä, kun maailma yhdistyy yhä enemmän ja yhä useampi osa elämäämme riippuu kriittisestä infrastruktuurista.

Digitointi tai liitettävyys ei ole mahdollista ilman kyberturvallisuusstandardien nostamista ensin. Harkitse verkkopankkia, kaikki tekevät sen nyt, mutta ilman https-salauksen tarjoamaa turvallisuutta ja sekä pankkien että tekniikan lisääntyneitä kybermahdollisuuksia, uskot paremmin, ettei kukaan pankkii verkossa.

Tutustu tähän mielenkiintoiseen infografiaan, jossa huomaat, että verkkopankkikonsepti oli olemassa vuonna 1994 ja vuoteen 2005 mennessä rahoituslaitokset alkoivat vaatia pankkeja suorittamaanriskiperusteiset arvioinnitMuiden turvatoimien joukossa.

Ja siinä se on.

Teillä on näin tietenkin teollisuudelle, älkää ymmärtäkö minua väärin, alan verkkoturvallisuutta on ajateltu ja toteutettu jonkin verran, se ei vain ole niin hienostunutta. Suurin osa siitä perustui surulliseen "ilmakuilu" -ratkaisuun, ja vaikka tämä näyttää korjaavan kaikki ongelmat, se ei korjaa, ja sekä ajat, tarpeet, ongelmat että tekniikka ovat muuttuneet. Teollisuus on yleensä 5-10 vuotta jäljessä nykyisestä tekniikasta, koska teollisuuden "todistetuille ratkaisuille" on annettu suuri arvo.

Haavoittuvuusarvioinnit ovat olleet olemassa ainakin 15 vuoden ajan, ja nyt se on välttämätöntä teollisuudelle, mutta tämä ei ole yksinkertainen kopioi ja liitä -toiminto, jossa käytetään samoja tekniikoita. Se on täysin erilainen pääasiassa IT- ja OT-järjestelmien erojen vuoksi, vaatimukset ovat täysin erilaiset ja pohjimmiltaan OT-ympäristössä, näyttelyn on jatkuttava, et voi vaikuttaa prosesseihin, kun teet mitään CVA-toimintaa.

OT-tietoturva-asiantuntijana minulla on ollut mahdollisuus käydä useilla kriittisen infrastruktuurin sivustoilla ja kertoa, että lähestymistapa on täysin erilainen kuin tavallinen IT-lähestymistapa. Teollisuuden tietoisuus CVA: n tärkeydestä on tarkoittanut, että se on alkamassa kypsymiseen, jossa nämä toimet voivat tapahtua turvallisesti myös OT-ympäristössä.

Kriittisen infrastruktuurin ei tarvitse pelätä.

Johtopäätös

Yritystarpeet, tekniikka ja yhteiskunta ovat muuttuneet vuosien varrella, ja pyrkimys parempaan tehokkuuteen sekä taloudellisesti että ympäristöllisesti saavutetaan edelleen tietojen avulla. Tämä tarkoittaa enemmän kytkeytynyttä teollisuutta ja tukeutumista täysin perinteisiin ilmarakoratkaisuihin, sillä kyberturvallisuusratkaisu ei enää vähennä sitä.

Hyökkäykset ovat lisääntyneet, ja kansakunnat keskittyvät nyt parantamaan kyberturvallisuuspyrkimyksiään kohti teollisuutta ja kriittistä infrastruktuuria. Alan kyberturvallisuuden haavoittuvuusarviointien kasvu ei johdu välittömästä verkko-sodasta, vaikka se onkin hyödyllistä, mutta minkä tahansa ratkaisun rakentaminen vaatii itse ongelman määrittelemistä ja tunnistamista. Juuri tämä CVA voi auttaa teollisuuden yrityksiä saavuttamaan suojelemalla prosessia, joka pitää yrityksen ja ihmiset turvassa.

Teollisuus alkaa olla kiinni.


Katso video: Hämeen ammattikorkeakoulu - Liikenneala (Tammikuu 2023).