Μηχανικός-Βαθμός ΟΤ Προστασίας

Τα παρακάτω είναι αποσπάσματα από ένα βιβλίο που θα κυκλοφορήσει την 1η Νοεμβρίου 2023.

Πολλά έχουν γραφτεί για τις διαφορές μεταξύ των συμβατικών δικτύων πληροφορικής και λειτουργική τεχνολογία Δίκτυα (OT) ή βιομηχανικού συστήματος ελέγχου (ICS): η ενημέρωση κώδικα είναι δυσκολότερη στα δίκτυα OT, η προστασία από ιούς είναι πιο δύσκολη, τα δίκτυα OT χρησιμοποιούν πολύ παλιά πρωτόκολλα και υπολογιστές και υπάρχει τεράστια αντίσταση στην αλλαγή από τους ανθρώπους που διαχειρίζονται αυτά τα δίκτυα. Αυτές οι διαφορές, ωστόσο, είναι όλες επιφανειακές. Η εγγενής διαφορά μεταξύ αυτών των δύο ειδών δικτύων είναι οι συνέπειες: τις περισσότερες φορές, οι συνέπειες των κυβερνοεπιθέσεων στη χειρότερη περίπτωση είναι έντονα, ποιοτικά διαφορετικές στα δίκτυα πληροφορικής έναντι των δικτύων OT.

Ποια είναι αυτή η διαφορά; ransomware χτυπά το δίκτυο πληροφορικής μας και τι κάνουμε; Ανιχνεύουμε, ανταποκρινόμαστε και ανακτούμε. Εντοπίζουμε τους υπολογιστές που επηρεάζονται και τους απομονώνουμε. Παίρνουμε εγκληματολογικές εικόνες και σβήνουμε τον εξοπλισμό. Κάνουμε επαναφορά από αντίγραφα ασφαλείας. Επαναλαμβάνουμε. Στη χειρότερη περίπτωση, διαρρέουν προσωπικά στοιχεία ταυτοποίησης (PII) ή άλλες ευαίσθητες πληροφορίες και υποστούμε αγωγές. Όλα αυτά είναι επιχειρηματικές συνέπειες. Με άλλα λόγια, στα δίκτυα πληροφορικής, ο στόχος για τη διαχείριση του κινδύνου στον κυβερνοχώρο είναι η πρόληψη των επιχειρηματικών συνεπειών προστατεύοντας τις πληροφορίες — προστατεύοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των επιχειρηματικών πληροφοριών.

Στα δίκτυα OT, ωστόσο, οι χειρότερες συνέπειες του συμβιβασμού είναι σχεδόν πάντα φυσικές. Τα πράγματα ανατινάζονται και σκοτώνουν ανθρώπους, οι βιομηχανικές δυσλειτουργίες προκαλούν περιβαλλοντικές καταστροφές, τα φώτα σβήνουν ή το πόσιμο νερό μας έχει μολυνθεί. Ο στόχος διαχείρισης κινδύνων στον κυβερνοχώρο για τα δίκτυα OT είναι γενικά η διασφάλιση της σωστής, συνεχούς και αποτελεσματικής λειτουργίας της φυσικής διαδικασίας. Ο στόχος δεν είναι η «προστασία των πληροφοριών», αλλά μάλλον η προστασία των φυσικών λειτουργιών από πληροφορίες, πιο συγκεκριμένα από επιθέσεις κυβερνο-δολιοφθοράς που ενδέχεται να ενσωματωθούν σε πληροφορίες. Αυτή είναι η θεμελιώδης διαφορά μεταξύ των δικτύων IT και OT: ούτε ανθρώπινες ζωές, ούτε κατεστραμμένοι στρόβιλοι ούτε περιβαλλοντικές καταστροφές μπορούν να «αποκατασταθούν από αντίγραφα ασφαλείας».

Αυτό σημαίνει ότι ακόμα κι αν μπορούσαμε με κάποιο τρόπο να κουνήσουμε ένα μαγικό ραβδί και να καταστήσουμε όλα τα βιομηχανικά δίκτυα πλήρως διορθωμένα, πλήρως προστατευμένα από ιούς, πλήρως κρυπτογραφημένα και διαφορετικά πλήρως ενημερωμένα με τους σύγχρονους μηχανισμούς ασφάλειας στον κυβερνοχώρο πληροφορικής, αυτή η θεμελιώδης διαφορά θα παρέμενε. Η διαφορά στη συνέπεια σήμερα και πάντα απαιτεί μια διαφορετική προσέγγιση στη διαχείριση κινδύνου σε δίκτυα κρίσιμα για την ασφάλεια και την αξιοπιστία σε σχέση με τα επιχειρηματικά δίκτυα.

Μηχανική Ασφαλείας

Τα καλά νέα είναι ότι το επάγγελμα του μηχανικού έχει στη διάθεσή του ισχυρά εργαλεία για την αντιμετώπιση των κινδύνων στον κυβερνοχώρο OT. Για παράδειγμα, οι μηχανικές βαλβίδες υπερπίεσης εμποδίζουν την έκρηξη των δοχείων πίεσης. Αυτές οι βαλβίδες δεν περιέχουν CPU και επομένως δεν μπορούν να παραβιαστούν. Οι συμπλέκτες περιορισμού της ροπής εμποδίζουν την αποσύνθεση των στροβίλων, δεν περιέχουν CPU και, επομένως, μπορούν να παραβιαστούν. Οι μονοκατευθυντικές πύλες δεν είναι φυσικά ικανές να επιτρέψουν στις πληροφορίες επίθεσης να περάσουν προς μία κατεύθυνση και επομένως δεν μπορούν να παραβιαστούν. Σήμερα, αυτά τα ισχυρά εργαλεία συχνά παραμελούνται, επειδή αυτά τα εργαλεία δεν έχουν ανάλογο στον χώρο της ασφάλειας πληροφορικής.

Σκάβοντας λίγο βαθύτερα, το επάγγελμα του μηχανικού έχει διαχειριστεί κινδύνους για τη δημόσια ασφάλεια για πάνω από έναν αιώνα. Επειδή η κακή μηχανική εγκυμονεί κινδύνους για τη δημόσια ασφάλεια, το επάγγελμα του μηχανικού είναι ένα νομοθετημένο, αυτορυθμιζόμενο επάγγελμα σε πολλές δικαιοδοσίες, παρόμοιο με τα ιατρικά και νομικά επαγγέλματα. Το επάγγελμα του μηχανικού έχει τεράστια συμβολή στη διαχείριση των κινδύνων στον κυβερνοχώρο, αλλά αυτό δεν είναι κατανοητό τόσο εντός όσο και εκτός του επαγγέλματος.

Γιατί; Αρχικά, υπάρχουν 50 φορές περισσότεροι επαγγελματίες ασφάλειας πληροφορικής στον κόσμο από ό,τι οι επαγγελματίες ασφάλειας OT, και έτσι οι ειδικοί πληροφορικής είναι συχνά τα πρώτα άτομα που συμβουλεύονται όταν χρειαζόμαστε λύσεις βιομηχανικής ασφάλειας στον κυβερνοχώρο. Οι περισσότεροι ειδικοί σε θέματα ασφάλειας πληροφορικής, ωστόσο, δεν είναι μηχανικοί, και επομένως δεν γνωρίζουν τις ευθύνες, ούτε τις συνεισφορές που μπορούν να γίνουν από το επάγγελμα του μηχανικού.

Το επάγγελμα του μηχανικού στο σύνολό του δεν είναι πολύ καλύτερο. Εάν οι επιθέσεις στον κυβερνοχώρο με φυσικές συνέπειες συνεχίσουν να υπερδιπλασιάζονται ετησίως, τότε το πρόβλημα στον κυβερνοχώρο OT θα λάβει διαστάσεις κρίσης πριν από το τέλος της δεκαετίας. Όμως, στις περισσότερες δικαιοδοσίες, το επάγγελμα του μηχανικού δεν έχει ακόμη αντιμετωπίσει τον κυβερνοχώρο για το κοινό και τις φυσικές λειτουργίες. Σε αυτό το γράψιμο, δεν υπάρχει δικαιοδοσία στον κόσμο όπου η αποτυχία εφαρμογής ισχυρής διαχείρισης κυβερνοκινδύνων σε βιομηχανικά σχέδια μπορεί να κοστίσει σε έναν μηχανικό την άδεια ασκήσεως επαγγέλματος.

Υπάρχει πρόοδος όμως. Την τελευταία μισή δεκαετία, έχουν αποκρυσταλλωθεί διάφορες προσεγγίσεις για την ισχυρή μηχανική της κυβερνοασφάλειας:

• Μηχανική διαδικασίας: Η Ασφάλεια Ανασκόπηση PHA για την ασφάλεια στον κυβερνοχώρο με βάση τις συνέπειες εγχειρίδιο τεκμηριώνει μια προσέγγιση για τη χρήση ανασκοπήσεων μηχανικής ανάλυσης κινδύνων ρουτίνας διεργασιών (PHA) για να τεθούν σε εφαρμογή φυσικοί μετριασμούς που δεν μπορούν να παραβιαστούν για απειλές στον κυβερνοχώρο κατά των εργαζομένων, του περιβάλλοντος και της δημόσιας ασφάλειας.
• Μηχανική Αυτοματισμού: Το βιβλίο των Andrew Bochman και Sarah Freeman The Countering Cyber ​​Sabotage: Introducing Consequence-Driven, Cyber-Informed Engineering είναι κυρίως ένα κείμενο για την αξιολόγηση κινδύνου, αλλά περιλαμβάνει μια σειρά από κεφάλαια για μη παραβιάσιμα μέτρα μετριασμού για απειλές στον κυβερνοχώρο, συμπεριλαμβανομένων μη παραβιάσιμα ψηφιακών μετριασμών για απειλές στον κυβερνοχώρο για την προστασία του εξοπλισμού.
• Μηχανική Δικτύων: Το βιβλίο μου Τεχνολογία Ασφαλών Επιχειρήσεων περιγράφει τη μηχανική προοπτική της προστασίας των σωστών φυσικών λειτουργιών από επιθέσεις που ενδέχεται να ενσωματωθούν στις εισερχόμενες ροές πληροφοριών, αντί να προσπαθεί να «προστατέψει τις πληροφορίες». Ένα μεγάλο μέρος του κειμένου επικεντρώνεται σε διαφορετικούς τρόπους σχεδιασμού βιομηχανικών δικτύων για να επιτρέψει στις πληροφορίες παρακολούθησης να εγκαταλείψουν ένα δίκτυο χωρίς να εισάγει κανέναν τρόπο για την είσοδο πληροφοριών επίθεσης στα δίκτυα.

Σε αυτό το θέμα, το Υπουργείο Ενέργειας των ΗΠΑ (DOE) κυκλοφόρησε επίσης το «Εθνική Στρατηγική Μηχανικής με Πληροφορία στον Κυβερνοχώρο» (PDF) τον Ιούνιο του 2022. Η στρατηγική επιδιώκει να αναπτύξει ένα μηχανολογικό σώμα γνώσεων για, μεταξύ άλλων, «να χρησιμοποιήσει σχεδιαστικές αποφάσεις και μηχανικούς ελέγχους για τον μετριασμό ή ακόμα και την εξάλειψη των οδών για επίθεση μέσω κυβερνοχώρου ή τη μείωση των συνεπειών όταν συμβαίνει μια επίθεση .»

<b><i>Looking Forward</i></b>

Το κύριο ερώτημα που απευθύνεται στο νέο βιβλίο είναι, όταν πρόκειται για την ασφάλεια στον κυβερνοχώρο, "πόσο είναι αρκετό;Οι συνέπειες καθορίζουν τον βαθμό προστασίας που χρειάζεται ένα σύστημα ή ένα δίκτυο και η καλύτερη καθοδήγηση που υπάρχει λέει ότι πρέπει να διασφαλίσουμε τα κρίσιμα και ζωτικής σημασίας συστήματα υποδομής πραγματικά διεξοδικά. Αυτή είναι μια πολύ δαπανηρή διαδικασία. Ακόμη χειρότερα, ακόμη και τα καλύτερα προγράμματα κυβερνοασφάλειας δεν παρέχουν την ντετερμινιστική προστασία που περιμένουμε από τα μηχανικά σχέδια όταν η δημόσια ασφάλεια βρίσκεται σε κίνδυνο.

Η μηχανική ασφάλειας έχει τη δυνατότητα, εάν εφαρμόζεται συστηματικά και συστηματικά, να εξαλείψει πολλές συνέπειες ασφάλειας και αξιοπιστίας/εθνικής ασφάλειας από την εξέταση. Αυτό έχει τη δυνατότητα να απλοποιήσει δραματικά το «πόσο είναι αρκετό;Ερώτηση, μειώνοντας την απαιτούμενη ισχύ και το κόστος των προγραμμάτων κυβερνοασφάλειας που αντιμετωπίζουν τους εναπομείναντες κινδύνους στα δίκτυα OT. Δεδομένης της κρίσης που βλέπουμε να έρχεται από την άποψη των τερματισμών λειτουργίας OT, των ζημιών στον εξοπλισμό και χειρότερα που προκαλούνται από επιθέσεις στον κυβερνοχώρο, η ώρα είναι ώριμη για αυτήν τη νέα προσέγγιση.

Περισσότερα πληροφορίες για το βιβλίο μπορείτε να βρείτε στον σύνδεσμο.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot/engineering-grade-ot-protection