Kako se kibernetička sigurnost razlikuje u takvim okruženjima, koje su implikacije nadolazećih propisa kao što je NIS2, i kako se nositi s prijetnjama, rizicima i novim propisima u OT-u, teme su o kojima smo razgovarali s voditeljem poslovnog razvoja Nordics & CEE u Radiflowu Jesperom Nilssonom.

Zašto fokusiranje na OT cyber sigurnost postaje sve važnije?

Kako industrijske aktivnosti postaju sve digitaliziranije (Industrija 4.0), sve više tradicionalnih IT funkcija povezuje se u OT okruženja: od ERP sustava, do usluga IT infrastrukture.

Takva konvergencija IT-a i OT-a proširuje područje napada mnogih organizacija i potiče redefiniranje OT-a u širi pojam, nazvan Cyber Physical Systems (CPS). Kao što naziv implicira, ti su sustavi mnogo više povezani s fizičkim svijetom, u suštini prateći i provode fizičke procese.

Radni konj

Razmotrite samo programabilne logičke kontrolere (PLC-ove) – oni su "radni konj" mnogih industrijskih procesa: uređaji koji se koriste za kontrolu tlaka, temperature, kretanja i drugih fizičkih parametara koji se nalaze u proizvodnji. S većom integracijom u tradicionalni IT, zlonamjernim sudionicima postaje sve lakše manipulirati PLC-ovima i drugom opremom u OT-u, što u konačnici oštećuje ili zaustavlja proizvodne procese, s kaskadnim posljedicama na opskrbne lance.

To su vrlo konkretne posljedice, s mjerljivim monetarnim učinkom. Primjerice, farmaceutska tvrtka mogla bi pronaći cijelu proizvodnu seriju sirovina uništenu zbog greške u obradi. Što ako je taj kvar namjeran, ako ga je donio zlonamjerni sudionik?

Kako bi se ublažili ti rizici, mogu li se primijeniti iste sigurnosne mjere i kontrole u OT okruženjima kao u tradicionalnom IT-u?

Tradicionalna IT sigurnost razvijala se desetljećima kao odgovor na sve sofisticiranije napade. Zlonamjerni softver, ransomware i druge prijetnje potaknuli su razvoj sve više sigurnosnih tehnologija, uključujući antimalware rješenja na krajnjim uređajima, vatrozide, mrežno filtriranje, enkripciju, autentifikaciju itd.

Te tehnologije, iako vrlo korisne za održavanje sigurnosti, često imaju nametljiv utjecaj na performanse računala, narušavaju protokole i pristup uređajima. Unatoč tome, toleriraju se jer tradicionalna IT sigurnost stavlja sigurnost iznad svega, i to s pravom.

S druge strane, industrijski objekti s OT tehnologijama dizajnirani su za dostupnost proizvodnje i otpornost. Sigurnost je tu na drugom mjestu. Uvođenje antimalwarea koji bi mogao usporiti stroj ili aktivno skeniranje prometa koje bi moglo prekinuti komunikaciju između uređaja, često krpanje operacijskih sustava – sve su to sigurnosne mjere koje će mnoga industrijska okruženja smatrati neprihvatljivim, ali očekuju se u tradicionalnom IT-u.

Također, OT protokoli često ne podržavaju enkripciju ili autentifikaciju, što je obavezno u tradicionalnom IT-u. Često su protokoli koji se koriste naslijeđeni, a arhitekture stare desetljećima, ali ako sustav radi pouzdano, zašto ometati operacije?

Koji bi onda bio pravi pristup za ublažavanje kibernetičkih rizika u OT okruženjima?

Očito, ne može se pretpostaviti da će tipični IT pristupi biti univerzalno primjenjivi. Često bi pažljiva procjena rizika mogla otkriti da zakrpa određenog uređaja ne dolazi u obzir, dok bi uvođenje odgovarajuće segmentacije mreže ili jake kontrole autentifikacije u drugi dio mreže jednako dobro riješilo sigurnosna pitanja, bez utjecaja na dostupnost.

To je odmak od tradicionalnog IT-a: pažljivo određivanje dostupnosti u odnosu na sigurnost, fokusiranje na one mjere koje imaju najveće izglede za smanjenje najvećeg dijela rizika. Trebamo alate koji nam govore kako najbolje smanjiti rizike, bez pribjegavanja ometajućim mjerama, koje se obično provode u tradicionalnom IT-u.

Taj pristup upravljanju rizikom tipičan je za OT, a procjene rizika postaju dijelom propisa i standarda kibernetičke sigurnosti, posebno u OT-u.

Propisi

Kako se propisi razvijaju, s obzirom na sve veće prijetnje kritičnoj infrastrukturi i OT-u?

Trenutačno je u tijeku ažuriranje takozvane NIS direktive (puni naziv Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti u Uniji), koja je izvorno usmjerena na sektore kritične infrastrukture u EU. Nova ažurirana NIS2 direktiva sada se prenosi u zemlje članice EU, i očekuje se da će biti primijenjena za godinu dana, odnosno u listopadu 2024. godine.

Koje su ključne novine u NIS2, u odnosu na sadašnji režim?

Svakako ekspanzija sektora i organizacija, koja, osim uobičajene kritične infrastrukture (voda, energija, financije, transport), sada uključuje sektore kao što su pružatelji upravljane sigurnosti IT usluga (MSP), segmenti javne uprave, elektroničkih komponenti i kemijske proizvodnje, te proizvodnja hrane, da spomenemo samo neke. Takvo širenje mora obuhvatiti značajan dio nacionalnog gospodarstva, posebno veće organizacije i poduzeća.

Direktiva također propisuje proaktivniji nadzorni pristup, uglavnom usmjeren na takozvane visokorizične sektore: to uključuje redovite sigurnosne revizije, opsežan pristup dokumentaciji i podacima, i tako dalje. Nepoštivanje također donosi kazne i osobnu odgovornost za članove odbora ili izvršno osoblje.

Naposljetku, NIS2 je konkretniji u pogledu mjera koje organizacije trebaju poduzeti kako bi se pozabavile rizicima kibernetičke sigurnosti: novi prijedlog direktive spominje prošireni skup od oko deset mjera, uključujući procjene i politike upravljanja rizikom, obuku za podizanje svijesti o sigurnosti, autentifikaciju s više faktora, šifriranje, itd.

Od svih tih mjera, koje će predstavljati najveći teret?

Većina organizacija koje podliježu NIS2 upravo su one koje se oslanjaju na neku vrstu OT tehnologija u svojim okruženjima, i obično se suočavaju s izazovima kao što su nedostatak osoblja i resursa, tako da provedba novih mjera usmjerenih na sigurnost neće biti laka.

Jedan od najzahtjevnijih zadataka bit će provođenje redovitih procjena rizika kao dijela prakse upravljanja rizikom: to je obično mukotrpan posao, koji zahtijeva ažurne informacije o mrežnim sredstvima i postavkama, često s puno administrativnih koraka za prikupljanje podataka, uključujući Excel proračunske tablice (koje obično moraju "čuvati" zaposlenici koji su preusmjereni s redovnog dnevnog rasporeda poslova) te angažiranje skupih konzultanata.

Imajući u vidu sve navedeno, kako Radiflow može pomoći tvrtkama u provedbi NIS2 direktive?

Radiflow je vodeći pružatelj OT rješenja za kibernetičku sigurnost, sa sveobuhvatnim portfeljem koji podržava OT kibernetičko putovanje korisnika.

Prvo, naša platforma omogućuje potpunu vidljivost u OT okruženjima u stvarnom vremenu, primjerice, mapiranje imovine i komunikacijskih tijekova u ISA/IEC 62443 zonama i kanalima. To korisnicima omogućuje da u stvarnom vremenu izgrade bazu podataka o svim uređajima u svojoj OT mreži, uspostave jasnu osnovu normalnog ponašanja u OT okruženju, i otkriju sve anomalije od tada pa nadalje.

Te se informacije zatim mogu unijeti u model rizika koji je proširen obavještajnim podacima o prijetnjama (poznate tehnike i taktike koje koriste skupine sudionika prijetnji) i povezan sa stvarnom imovinom koju koristi organizacija. Također, možemo hraniti podatke od naših partnera za mrežnu sigurnost, kao što su Cisco, Palo Alto Networks, Fortinet i mnogi drugi.

U svakom slučaju, rezultat je plan ublažavanja, optimiziran za ROI, koji se temelji na stvarnim podacima, ali i na korisničkim preferencijama i proračunu; također, ima mogućnost izvođenja simuliranih scenarija "što-ako", kako bi se odlučilo koji bi tijek radnje bio najprikladniji, s obzirom na promjene u krajoliku prijetnji.

Tako se procjene kibernetičkog rizika učinkovito mogu pojednostaviti, s mogućnošću lakšeg prikazivanja usklađivanja s regulativama pred bilo kojim nadzornim tijelom. Ali što je najvažnije, oslanjanje na stvarne podatke omogućuje organizacijama točnu procjenu rizika, ne kao regulatornu vježbu "potvrđivanja okvira", već kao priliku za stvarno poboljšanje sigurnosnog položaja i povećanje otpornosti.