Infrastruktura krytyczna: wiele problemów do rozwiązania
W przypadku infrastruktury krytycznej skala i zaawansowanie zagrożeń rosną szybciej niż zdolności obronne. Z czego to wynika i jak sobie z tym radzić?
Największym błędem jest traktowanie OT jak kolejnego segmentu IT.
Łatwiej nie będzie
Zabezpieczanie styku IT i OT będzie coraz trudniejsze, chociażby ze względu na rosnącą skalę i złożoność komunikacji między tymi środowiskami. Wymiana danych napędzana przez transformację do Przemysłu 4.0, zdalny monitoring i integracja z systemami biznesowymi sprawiają, że ten obszar staje się coraz bardziej eksploatowany.
– Skuteczne zabezpieczenie wymaga pełnego zrozumienia kontekstu tej komunikacji, ponieważ tylko wtedy można precyzyjnie definiować polityki bezpieczeństwa i zarządzać dostępem. W praktyce jest to trudne, bo wymaga jednocześnie kompetencji z obszaru OT i cyberbezpieczeństwa, a specjalistów łączących te dwa światy wciąż brakuje – mówi Maciej Gospodarek.
Dodatkowym wyzwaniem jest rosnąca liczba szyfrowanych połączeń między urządzeniami OT i IoT a usługami chmurowymi. Ogranicza to możliwości inspekcji ruchu – tradycyjne systemy bezpieczeństwa często nie są w stanie analizować zawartości zaszyfrowanych sesji. W efekcie zwiększa się powierzchnia ataku, szczególnie w niższych warstwach sieci przemysłowych, gdzie urządzenia mają ograniczone możliwości obrony.
– Najtrudniejsze są cztery rzeczy: brak pełnej inwentaryzacji aktywów OT, słaba segmentacja między IT i OT, niekontrolowany zdalny dostęp dostawców oraz podatne, stare systemy, których nie da się łatwo zaktualizować. Do tego dochodzi ograniczona telemetria – wiele organizacji nie widzi, co realnie dzieje się w sieci przemysłowej. W praktyce największym błędem jest traktowanie OT jak kolejnego segmentu IT. To musi być zarządzane inaczej: przez analizę ryzyka procesowego, modelowanie scenariuszy awarii, monitoring pasywny, kontrolę dostępu, segmentację, procedury awaryjne i testowane plany odtworzeniowe – uważa Karol Kij.
Regulacje nie są celem samym w sobie
Receptą na poprawę sytuacji w polskich przedsiębiorstwach i instytucjach zarządzających infrastrukturą krytyczną powinno być wdrożenie regulacji, takich jak NIS 2, a więc dyrektywa zastosowana w polskim porządku prawnym pod postacią ustawy o Krajowym Systemie Cyberbezpieczeństwa. Zapytaliśmy ekspertów o stan tych wdrożeń i największe przeszkody na drodze do uzyskania zgodności z nowymi przepisami. Co może być rozwiązaniem potencjalnych problemów wdrożeniowych?
Nasi rozmówcy zgodnie potwierdzają duże znaczenie KSC. Ustawa jest zbiorem dobrych praktyk i w przypadku świadomych organizacji wdrożenie regulacji już dawno miało miejsce. Większe instytucje związane z infrastrukturą krytyczną wcześnie rozpoczęły projekty ochrony przed atakami. Widać też oparte o centralne finansowanie publiczne działania, co pozwala także mniejszym organizacjom realizować projekty w obszarze KSC.
– Pozostaje jeden, niestety, najważniejszy problem, jakim jest kadra… a w zasadzie jej brak. Podczas wdrożeń SIEM jesteśmy świadkami, gdy projekt jest zatrzymywany, bo w urzędzie uszkodziła się drukarka. Główny informatyk zostaje pilnie wezwany do naprawy zaciętego papieru, bo pomimo grantów, finansowania i pięknych haseł w dziale IT nadal pracują dwie osoby. Systemy cybersecurity potrzebują wykwalifikowanej kadry, to największa bariera w realizacji projektów – twierdzi Artur Bicki.
Punktem wyjścia dla organizacji, która chce realnie, a nie tylko „na papierze” dążyć do osiągnięcia stanu zgodności, powinno być zrozumienie podstaw – zakresu obowiązków, skali zmian i powodów ich wdrożenia. W rzeczywistości może być jak z RODO.
– To podobna skala zmiany, formalnie znanej od dawna, ale realnie wdrażanej dopiero pod presją terminu i kar (widać, że to mobilizuje organizacje do działania). Ten obowiązek, niestety, w mojej opinii już teraz powoduje, że ustawa o KSC wdrażana jest reaktywnie, powierzchownie i pod presją terminu. W przypadku operatorów usług kluczowych i infrastruktury krytycznej presja czasu jest szczególnie niebezpieczna, ponieważ skutki błędnych wdrożeń mogą mieć wymiar operacyjny, a nie wyłącznie formalny, a konsekwencje ponosi zarówno organizacja, jak i obywatele czy klienci – uważa Dawid Koziorowski, Offensive Security Team Leader w Dagma Bezpieczeństwo IT.
Niestety, gdy do zrobienia jest tak wiele, z nastawieniem do podnoszenia poziomu cyberbezpieczeństwa, także w organizacjach objętych ustawą, nadal bywa różnie.
– Niektóre podmioty zarządzające infrastrukturą krytyczną nadal postrzegają bezpieczeństwo jako koszt, a nie jako integralny element organizacji. W praktyce widać to choćby po braku wieloskładnikowego uwierzytelniania, niewystarczającej segmentacji sieci czy słabej kontroli dostępu – rozwiązań, które nie od dziś stanowią podstawowe standardy bezpieczeństwa, niezależnie od formalnego statusu wdrożenia KSC. Znaczenie tych zaniedbań pokazały również niedawne ataki na sektor energetyczny. Dlatego dobrym pomysłem dla osób zarządzających będzie zapoznanie się z ustawą w kontekście własnej organizacji, umieszczenie działań na roadmapie i stały monitoring postępów. Warto przy tym pamiętać: zgodność regulacyjna nie może być celem samym w sobie. Powinno nim być obniżenie realnego ryzyka operacyjnego, a zgodność powinna być naturalnym efektem dobrze zarządzanego bezpieczeństwa – twierdzi Dawid Koziorowski.
Podobne artykuły
Bezpieczne dokumenty, bezpieczna firma
Stare oprogramowanie może kosztować firmę więcej niż kupno nowych licencji. Po wejściu w życie nowelizacji KSC należy dokładniej przyglądać się narzędziom, które dotąd działały bez problemów.
Blackwall: młot na boty
Boty generują już większość ruchu w sieci, co oznacza, że w nowej rzeczywistości cyberzagrożeń muszą odnaleźć się nawet najmniejsze firmy i instytucje.