Írta: Kocsis Tamás
2020. április 17. 17:15:02 CEST
Ahogy korábban említettük, az OT szakemberek sok esetben hiszik, hogy az izoláció önmagában megoldás minden problémára: “Ha magunkra zárjuk a ház ajtaját, akkor baj nem érhet”. Be kell látni, hogy ez nem más, mint hamis biztonságérzet.
Az OT hálózatok ugyanis nem zártak. Ma már nem lehetnek olyan zártak, mint amilyenre a különféle ipari protokollok megalkotásakor gondoltak. A szigetüzemnek vége, ahogy korábban megfogalmaztuk, egy telephely ipari hálózatát nem az üzemépület, hanem a világ határolja le.
A hamis biztonságérzet mellé társul az iránytévesztés is, amelyet meg kell szüntetni. Sok esetben hallottuk, hogy az OT hálózat védett, mert az Internet felől nem jön be senki és semmi, hiszen ott a tűzfal, vagy hogy a sérülékenység-vizsgálatot elegendő csak az Internet felől végezni...
A legtöbb OT szakember rosszul látja az irányt, ugyanis az OT hálózat egy kiemelten védendő zóna, praktikusan az ipari hálózatnak kell a legjobban védettnek lennie. Ezért bármilyen forgalom, amely az OT hálózatba irányul, olyan hálózatból érkezik, amely alacsonyabb biztonsági besorolású (például az irodai hálózat), ezért az OT hálózatot minden más hálózattól védeni kell, legyen az céges vagy egyéb hálózat vagy forgalom. Az OT szempontjából, ami nem a saját hálózatában keletkező forgalom, az külsőnek kell hogy számítson, attól függetlenül, hogy a cégen belülről, vagy az Internetről érkezik.
Erre a legjobb példa a ransomware. Az ipari rendszereket érintő zsarolóvírus incidensek többsége nem azért következett be, mert az ipari hálózat kapcsolatban volt az Internettel. A támadások az irodai és egyéb hálózatok felhasználóit érintették, és onnan terjedtek tovább a hálózatokon belül és a hálózatok között, míg végül elérték az OT hálózat eszközeit.
A másik nagy szemléletváltás, hogy fel kell hagyni az IT és OT szakemberek közötti harcokkal, amelyek legalább annyira károsak, mint a ICS/OT védelmi technológiák és alkalmazásukat szabályozó eljárásrendek hiánya.
A probléma gyökere abban rejlik, hogy az OT szerint az IT oldalról érkező biztonsági és üzemeltetési szakemberek nem értik az OT működését, és eljárásaikkal az üzembiztonságot és a termelést veszélyeztetik. Ezzel szemben az IT szakemberek általános véleménye, hogy az OT nem érti meg a biztonság fontosságát és az incidensek hatását a vállalatra, a termelésre, és az IT biztonság semmibevételével potenciális fenyegetést jelentenek a rendszerek és adatok biztonságára.
Ki kell mondani, mindkét félnek van igazsága, azonban ezzel nem jutunk közelebb a megoldáshoz. Ahhoz az kellene, hogy mindkét oldal elfogadja, hogy a vállalat érdeke az első, az pedig azt kívánja, hogy a két terület magas szintű szakmai együttműködésével együttesen csökkentse és csillapítsa a kockázatokat. Nem egymás ellen kell harcolni, hanem együtt kell harcolnunk a fenyegetések ellen!
Az IT szakembereknek el kell fogadnia, hogy a klasszikus office környezetekre szabott szabályok és eljárások némelyike alkalmazhatatlan az OT területén, ezek helyett pedig kompromisszumosan olyan eljárást kell az OT területen bevezetni, amely az adott kockázatot csillapítja, de nem akadályozza az OT működését.
Az OT szakembereknek is be kell látnia, hogy a kibervédelem olyan terület, amelyben évtizedes lemaradásban van az ipari informatika, és ezt a lemaradást a lehető leggyorsabban be kell hoznia a területnek, különben a bekövetkező incidens akár katasztrofális károkat okozhat.
Jól megfigyelhető, hogy ezt az együttműködést és a viszályok elsimítását a leghatékonyabban egy bekövetkezett, és általában katasztrofális károkat okozó incidens tudja előmozdítani, sajnos csak olyan „tanulópénz” mellett, amelyet nem örömmel fizet meg egy-egy vállalat.
Azonosítani kell azokat a pontokat, ahol az OT terület kibervédelmi gyengeségei kockázatot jelentenek az OT rendszerekre és a kapcsolódó egyéb rendszerekre (például magára az irodai hálózatra, vagy specifikus rendszerekre, ERP, SAP, stb.).
A gyenge pontok azonosítására az ICS-specifikus sérülékenység-vizsgálat, illetve a különféle módszertanok alapján elvégzett kockázatfeltárás, kockázatelemzés és kockázatmenedzsment eljárások hivatottak.
A sérülékenységek és gyengeségek mellé társított kockázatok alapján felállítható egy olyan priorizált intézkedési lista, amely alapján elvégezhetők a szükséges javítások, bevezethetők védelmi eszközök, eljárások, vagy kereshetők egyéb alternatív megoldások, amelyek (legalább valamennyire, sőt: BÁRMENNYIRE) csökkentik az adott kockázatot, de mellette nem akadályozzák az OT működését (vagy csak annyira akadályozzák, amellyel az OT még együtt tud élni).
Ahogy a kibervédelem nem lehet csak az IT vagy az IT biztonsági terület felelőssége, mert kellenek hozzá a biztonságtudatos felhasználók, úgy a kibervédelem nem lehet meg az OT szakemberek nélkül sem. Közös a felelősség és közös a cél: safety, biztonság, sértetlenség és rendelkezésre állás.
Karanténnapló sorozatunk első fejezetét itt, második fejezetét itt találod, a következőben pedig Dr. Vas Eszter ügyvéd foglalja össze a járvány jogi (különösen humán erőforrásra vonatkozó) aspektusait.