Ako riadiť meniace sa prostredie kybernetickej bezpečnosti pre kritickú infraštruktúru a priemyselné operácie
Konzultanti a špecialisti, ktorí navrhujú a implementujú dohľadové a bezpečnostné riešenia pre priemysel a kritickú infraštruktúru, čelia jedinečnému tlaku. Fyzická ochrana takýchto ‚základných entít‘ (ako ich čoraz častejšie označuje regulácia) je samozrejme prvoradá, no dnes čelia aj potrebe podporovať ochranu pred útokmi v digitálnej sfére. Okrem toho, ak sa má zachovať súlad, musia sa všetci členovia hodnotového reťazca riadiť meniacim sa regulačným prostredím. Kybernetická bezpečnosť je napokon zodpovednosťou, ktorú zdieľajú všetci tí, ktorí sa podieľajú na návrhu, špecifikácii, dodávke a používaní riešenia sledovania. Tu skúmame niektoré problémy.
Svet, kde je takmer celý priemysel kritický
Narušenie základných služieb národa – vrátane dodávok energie a vody, poskytovania zdravotnej starostlivosti, zasahovania do výroby a ďalších – bolo cieľom agresorov v konfliktoch počas celej histórie.
Pred digitálnym vekom boli útoky samozrejme výlučne fyzické. Ale univerzálna aplikácia prepojených technológií vo všetkých oblastiach života v posledných desaťročiach vytvorila príležitosť pre zlých aktérov použiť fyzické aj digitálne prostriedky na narušenie služieb nevyhnutných pre spoločnosť.
Nie je žiadnym tajomstvom, že počet a sofistikovanosť kybernetických útokov narastá a že ich podniká širší okruh útočníkov. Či už sú fanatickí hackeri zlomyseľní, dobre organizovaní kyberzločinci hľadajúci finančný zisk alebo štátom podporovaní aktéri, ktorí sa snažia podkopať spoločnosť protivníka, kybernetické útoky prichádzajú v mnohých formách a z viacerých zdrojov.
Vzhľadom na vysoko prepojenú povahu globálnych dodávateľských reťazcov sa zväčšila aj šírka tých priemyselných sektorov, ktoré sú teraz definované ako základné entity. Len pred dvoma alebo tromi rokmi by mnohí ľudia nepovažovali výrobu a dodávku polovodičov za kritickú. Problémy s dodávkami počas pandémie však ukázali, aké dôležité sú čipy pre mnohé – ak nie pre väčšinu – moderných priemyselných procesov.
Ukázalo sa, že “butterfly efekt”, keď malé narušenie jedného systému môže mať v budúcnosti veľký vplyv na iný systém, platí pre globálne integrovaný technologický dodávateľský reťazec.
Výzva kybernetickej bezpečnosti pre regulátorov
Tvárou v tvár takémuto rýchlo sa meniacemu a neustále sa meniacemu prostrediu kybernetickej bezpečnosti sa vlády a regulačné orgány neprekvapujúco snažia držať krok. Ich reakciou je čoraz viac zmeniť spôsob, akým regulujú kybernetickú bezpečnosť.
V širšom zmysle, namiesto definovania toho, čo poskytovatelia základných služieb musia implementovať v súvislosti s kybernetickou bezpečnosťou, je trendom v regulácii klásť povinnosť na poskytovateľov, aby dokázali, že majú zavedené potrebné opatrenia na udržanie kybernetickej bezpečnosti.
Táto zmena má vážne dôsledky nielen pre samotných poskytovateľov, ale aj pre každú stranu poskytujúcu odborné znalosti a riešenia v rámci hlavného dodávateľského reťazca subjektov. Celý hodnotový reťazec – smerom hore aj dole – bude pod drobnohľadom.
NIS2 ako príklad vyvíjajúceho sa regulačného prostredia
Predpisy kybernetickej bezpečnosti sa na celom svete líšia. Od rámca kybernetickej bezpečnosti NIST v USA až po navrhovaný zákon o kybernetickej odolnosti v EÚ definujú regionálne a národné regulačné orgány, čo považujú za najefektívnejší prístup k zabezpečeniu základných služieb pred kybernetickými útokmi.
Smernica NIS2, ktorá nadobudla účinnosť v januári tohto roku, pričom členské štáty EÚ ju musia uzákoniť do októbra 2024, je užitočným príkladom na zdôraznenie dôsledkov novej regulácie pre dôležité subjekty.
NIS2 je odpoveďou na vyvíjajúce sa prostredie hrozieb, jeho cieľom je zvýšiť celkovú úroveň kybernetickej bezpečnosti v EÚ a odstraňuje medzery, ktoré sa objavili v pôvodnej smernici o NIS. Cieľom smernice je vytvoriť „kultúru bezpečnosti naprieč sektormi, ktoré sú životne dôležité pre naše hospodárstvo a spoločnosť a ktoré sa vo veľkej miere spoliehajú na informačné a komunikačné technológie (IKT), ako je energetika, doprava, voda, bankovníctvo, infraštruktúry finančného trhu, zdravotná starostlivosť a digitálna infraštruktúra.
Je to jasný príklad toho, ako regulačné orgány uznávajú, ako sa každý sektor stal závislým od technológie a ako počítačoví zločinci neustále hľadajú a využívajú akékoľvek zraniteľné miesta.
Podľa smernice členské štáty EÚ určia tie podniky a organizácie, ktoré sú prevádzkovateľmi základných služieb, a tieto organizácie budú musieť prijať vhodné bezpečnostné opatrenia a informovať príslušné vnútroštátne orgány o akýchkoľvek závažných incidentoch kybernetickej bezpečnosti.
Okrem toho budú musieť kľúčoví poskytovatelia digitálnych služieb, ako sú služby cloud computingu, spĺňať aj požiadavky na bezpečnosť a oznamovanie podľa smernice. Rozšírenie nad rámec základných poskytovateľov služieb a do celého technologického dodávateľského reťazca je jasné.
Riešenia dohľadu ako súčasť základného hodnotového reťazca entity
Ako už bolo spomenuté, ochrana základných služieb bola vždy prioritou. Fyzické opatrenia – perimeter, kontrola vstupu a fyzická ochrana (stráž) – boli vylepšené pomocou technológie s pokročilými riešeniami video sledovania v každom dôležitom servisnom zariadení. Čoraz prepojenejší charakter týchto riešení ich, samozrejme, postavil aj do prvej línie kybernetických útokov a pod drobnohľad vyvíjajúcej sa regulácie.
Architekti, inžinieri a konzultanti, ktorí navrhujú a špecifikujú riešenia sledovania, čelia značnej zodpovednosti. Zabezpečenie toho, aby dohľadové riešenia boli navrhnuté nielen pre súčasné požiadavky fyzickej a kybernetickej bezpečnosti, ale aby sa prispôsobili vyvíjajúcim sa výzvam, je nevyhnutné na zachovanie súladu s predpismi.
To si vyžaduje „systémové myslenie“. Konzultanti musia vnímať bezpečnostné riešenie ako celok a nie ako výber samostatných zariadení a musia zvážiť vzťahy medzi hardvérom a softvérom samotného riešenia spolu s jeho integráciou do širšej infraštruktúry poskytovateľa základných služieb. Návrh riešenia, implementácia, integrácia a údržba – to všetko zohráva podstatnú úlohu v kybernetickej bezpečnosti – a uvedomenie si, že každé riešenie sa bude časom vyvíjať. Riešenie, ktoré zostane statické, bude nakoniec vystavené zraniteľnostiam.
Dôsledky pre dizajnérov monitorovacích riešení
Tí, ktorí navrhujú a špecifikujú riešenia, majú povinnosť zvážiť potenciálne širšie riziká, ktoré predstavuje technická ponuka, ktorú odporúčajú. Zatiaľ čo riešenia by sa mali primárne zamerať na riešenie definovaných prevádzkových požiadaviek, teraz sú nevyhnutné aj ustanovenia o IT a kybernetickej bezpečnosti. Dnešné špecifikácie musia byť zosúladené s predpismi, ako je smernica NIS2, aby sa podporila zhoda organizácie.
Konzultanti si preto musia byť istí, že produkty akéhokoľvek dodávateľa spĺňajú bezpečnostné zásady jednotlivých zákazníkov vrátane všetkých relevantných nariadení vzťahujúcich sa na organizáciu zákazníka. Je nevyhnutné vykonať primeranú náležitú starostlivosť v prístupe ku kybernetickej bezpečnosti každého predajcu, ktorého odporúčajú.
Konzultanti sa tiež musia snažiť špecifikovať pravidlá a procesy pre dodávateľov technológií, ktorých odporúčajú, ako aj technické funkcie, ktoré poskytujú. Funkcie ako bezpečné spustenie, podpísaný firmvér, bezpečnostné komponenty umožňujúce automatickú a bezpečnú identifikáciu zariadení a modul Trusted Platform Module (TPM) riešia riziká, ktoré dnes predstavujú, a mali by byť špecifikované.
Špecifikácie by mali zahŕňať aj dôležité certifikácie tretích strán, ako napríklad ISO27001, a zásady zraniteľnosti, upozornenia týkajúce sa bezpečnosti a jasne definovaný model rozvoja bezpečnosti.
Nakoniec by mal byť zahrnutý prístup riadenia životného cyklu. Použitie nástrojov na správu zariadení a riešení a zdokumentovaná stratégia firmvéru zmierňuje budúce riziko útoku a chráni zákazníkov napred. Tieto funkcie umožňujú zákazníkom prevádzkovať ich systém a zariadenia čo najbezpečnejším spôsobom počas celého životného cyklu.
Spoločne tieto politiky a procesy demonštrujú vyspelosť organizácie v oblasti kybernetickej bezpečnosti a jej schopnosť prispôsobiť sa vyvíjajúcemu sa prostrediu hrozieb.
Zmena rolí v meniacom sa prostredí
Pre každý národ je dôležitosť minimalizácie potenciálneho prerušenia základných služieb zrejmá a nemožno ju preceňovať. Prinajmenšom bude narušenie takmer okamžite viesť k ekonomickému dopadu. To sa môže rýchlo zmeniť na významné spoločenské problémy a potenciálne riziko pre zdravie a ľudský život.
Bez ohľadu na to, odkiaľ hrozba pochádza, ochrana základných služieb a subjektov, ktoré ich poskytujú, je preto životne dôležitá. Regulačné orgány na celom svete to uznali, a aj to, že hrozby pochádzajú z fyzickej aj digitálnej sféry.
Zároveň však uznali, že hrozby kybernetického útoku sa vyvíjajú tak rýchlo, že akýkoľvek pokus o definovanie opatrení kybernetickej bezpečnosti bude zastaraný ešte pred ich zverejnením. Regulačný prístup sa preto zmenil a od poskytovateľov základných služieb sa vyžaduje, aby preukázali, že majú technológiu, procesy a zdroje na to, aby mohli čeliť hrozbám.
Výsledkom je, že každý, kto je zapojený do základného hodnotového reťazca entity, musí reagovať na túto výzvu, vrátane tých, ktorí navrhujú a špecifikujú riešenia dohľadu. Zmierňovanie rizík kybernetických hrozieb je spoločnou zodpovednosťou. Aj keď sú na tom naše podniky závislé, dôsledky pre spoločnosť môžu byť oveľa väčšie.
