Przedsiębiorstwa z branży produkcyjnej trafiły pod nasilający się ogień cyberataków – coraz bardziej wyrafinowanych i wystawiających na próbę posiadane firmowe procedury cyfrowego bezpieczeństwa. Sytuację utrudnia fakt, że w wielu przypadkach zasady postępowania nie zostały zaprojektowane w sposób optymalny pod kątem wymagań, charakterystycznych dla systemów technik operacyjnych (OT).

Tymczasem kolejnym wyzwaniem okazują się także nowe regulacje, takie jak NIS2. Wprawdzie już aktualna edycja dyrektywy NIS ma bezpośredni wpływ na działalność firm z branży o znaczeniu krytycznym, ale teraz objęte nią będą również podmioty o statusie dostawców dla tych właśnie przedsiębiorstw. Spełnienie wielu wymogów nałożonych przez nowe prawo umożliwiają rozwiązania do zarządzania uprzywilejowanym dostępem (Privileged Access Management, PAM). Zapobiegają one nieautoryzowanemu dostępowi do danych lub systemów, jednocześnie umożliwiając uprawnionym jednostkom pracę bez utraty wydajności. PAM umożliwia także śledzenie zdalnych sesji oraz ułatwia prowadzenie audytów bezpieczeństwa.

Rozległa sieć to wzrost zagrożenia

Nieodpowiednio chronione maszyny z kategorii OT mogą zostać podstępnie wykorzystane jako brama do firmowej sieci, dając hakerom dostęp do poufnych danych oraz możliwość sparaliżowania procesu produkcyjnego. Potencjalne zagrożenie wynika z charakterystycznych dla Przemysłu 4.0 cech. Otóż sieci przemysłowe są rozdrobnione i tworzą dużą liczbę połączeń między różnymi maszynami, systemami sterowania i ludźmi, którzy zarządzają tymi maszynami. A ponieważ ochrona odpowiednich systemów IT i OT stanowi zazwyczaj dwa odrębne obszary, mogą w tym zakresie powstawać martwe punkty.

Coraz częściej zdalny dostęp do sieci mają również dostawcy czy personel odpowiedzialny za działania konserwacyjne, bądź zarządzający systemami sterowania produkcją. To oznacza konieczność dostosowania strategii bezpieczeństwa do nowych realiów oraz wprowadzenia najwyższej jakości zabezpieczeń. Na to właśnie naciska nowe rozporządzenie NIS2, które – wobec obowiązującego już od dawna NIS – rozszerza listę firm, których dotyczy.

NIS2 obejmuje teraz również średnie i duże przedsiębiorstwa w tak zwanych „sektorach krytycznych”, a także „kluczowe” i „ważne podmioty”. NIS2 dotyczy zarządzania cyfrowym ryzykiem, ujawniania luk w zabezpieczeniach i ochrony łańcuchów dostaw. Przełomową regulacją natomiast jest to, że zgodność z zapisami rozporządzenia oczekiwana jest również od dostawców objętych nim firm, chociaż wielu nie jest jeszcze tego świadomych.

PAM dla większego bezpieczeństwa i zgodności

Aby zapewnić zgodność z dyrektywą NIS2, przedsiębiorstwa muszą prowadzić regularne oceny ryzyka, posiadać solidną, skalowalną politykę bezpieczeństwa oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu wzmocnienia ochrony ich krytycznych środowisk IT i OT. Dotyczy to przede wszystkim kwestii związanych z przydzielaniem praw dostępu uprzywilejowanym użytkownikom.

Szczególnie w złożonych systemach OT, które charakteryzują się dużą liczbą procesów obejmujących inteligentne urządzenia, konieczne jest zdefiniowanie, które grupy otrzymują określone uprawnienia oraz możliwość scentralizowanego i bezpiecznego zarządzania nimi. Zasadniczo prawo dostępu i uprawnienia są przypisywane tylko użytkownikom, których rola została wstępnie zdefiniowana w polityce bezpieczeństwa firmy. Dzięki takiemu podejściu użytkownicy inicjujący zdalne połączenia są kontrolowani przez trzystopniowy proces bezpieczeństwa składający się z identyfikacji, uwierzytelniania i autoryzacji.

Aby udowodnić zgodność z dyrektywą NIS2 i innymi wymogami dotyczącymi bezpieczeństwa, narzędzia PAM zapewniają również rejestrowanie sesji zdalnego dostępu z różnym poziomem szczegółowości (w tym kategoryzowanie ich do różnych klas ryzyka, które wymagają specjalnych środków bezpieczeństwa). Zapewnia to identyfikację i śledzenie nieautoryzowanego dostępu oraz umożliwia zastosowanie dalszych środków bezpieczeństwa.

Więcej informacji o kluczowej roli rozwiązań PAM w zabezpieczaniu środowisk IT i OT w infrastrukturze krytycznej przedstawionych zostanie podczas organizowanego przez Wallix bezpłatnego webinarium (19 czerwca 2024 r., godz. 10–11). Zarejestruj się na webinar Wallix

Kontakt dla partnerów: Artur Świacki, inżynier ds. przedsprzedaży, Grupa Wallix, aswiacki@wallix.com