Τα παρακάτω είναι αποσπάσματα από ένα βιβλίο που θα κυκλοφορήσει την 1η Νοεμβρίου 2023.
Πολλά έχουν γραφτεί για τις διαφορές μεταξύ των συμβατικών δικτύων πληροφορικής και λειτουργική τεχνολογία Δίκτυα (OT) ή βιομηχανικού συστήματος ελέγχου (ICS): η ενημέρωση κώδικα είναι δυσκολότερη στα δίκτυα OT, η προστασία από ιούς είναι πιο δύσκολη, τα δίκτυα OT χρησιμοποιούν πολύ παλιά πρωτόκολλα και υπολογιστές και υπάρχει τεράστια αντίσταση στην αλλαγή από τους ανθρώπους που διαχειρίζονται αυτά τα δίκτυα. Αυτές οι διαφορές, ωστόσο, είναι όλες επιφανειακές. Η εγγενής διαφορά μεταξύ αυτών των δύο ειδών δικτύων είναι οι συνέπειες: τις περισσότερες φορές, οι συνέπειες των κυβερνοεπιθέσεων στη χειρότερη περίπτωση είναι έντονα, ποιοτικά διαφορετικές στα δίκτυα πληροφορικής έναντι των δικτύων OT.
Ποια είναι αυτή η διαφορά; ransomware χτυπά το δίκτυο πληροφορικής μας και τι κάνουμε; Ανιχνεύουμε, ανταποκρινόμαστε και ανακτούμε. Εντοπίζουμε τους υπολογιστές που επηρεάζονται και τους απομονώνουμε. Παίρνουμε εγκληματολογικές εικόνες και σβήνουμε τον εξοπλισμό. Κάνουμε επαναφορά από αντίγραφα ασφαλείας. Επαναλαμβάνουμε. Στη χειρότερη περίπτωση, διαρρέουν προσωπικά στοιχεία ταυτοποίησης (PII) ή άλλες ευαίσθητες πληροφορίες και υποστούμε αγωγές. Όλα αυτά είναι επιχειρηματικές συνέπειες. Με άλλα λόγια, στα δίκτυα πληροφορικής, ο στόχος για τη διαχείριση του κινδύνου στον κυβερνοχώρο είναι η πρόληψη των επιχειρηματικών συνεπειών προστατεύοντας τις πληροφορίες — προστατεύοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των επιχειρηματικών πληροφοριών.
Στα δίκτυα OT, ωστόσο, οι χειρότερες συνέπειες του συμβιβασμού είναι σχεδόν πάντα φυσικές. Τα πράγματα ανατινάζονται και σκοτώνουν ανθρώπους, οι βιομηχανικές δυσλειτουργίες προκαλούν περιβαλλοντικές καταστροφές, τα φώτα σβήνουν ή το πόσιμο νερό μας έχει μολυνθεί. Ο στόχος διαχείρισης κινδύνων στον κυβερνοχώρο για τα δίκτυα OT είναι γενικά η διασφάλιση της σωστής, συνεχούς και αποτελεσματικής λειτουργίας της φυσικής διαδικασίας. Ο στόχος δεν είναι η «προστασία των πληροφοριών», αλλά μάλλον η προστασία των φυσικών λειτουργιών από πληροφορίες, πιο συγκεκριμένα από επιθέσεις κυβερνο-δολιοφθοράς που ενδέχεται να ενσωματωθούν σε πληροφορίες. Αυτή είναι η θεμελιώδης διαφορά μεταξύ των δικτύων IT και OT: ούτε ανθρώπινες ζωές, ούτε κατεστραμμένοι στρόβιλοι ούτε περιβαλλοντικές καταστροφές μπορούν να «αποκατασταθούν από αντίγραφα ασφαλείας».
Αυτό σημαίνει ότι ακόμα κι αν μπορούσαμε με κάποιο τρόπο να κουνήσουμε ένα μαγικό ραβδί και να καταστήσουμε όλα τα βιομηχανικά δίκτυα πλήρως διορθωμένα, πλήρως προστατευμένα από ιούς, πλήρως κρυπτογραφημένα και διαφορετικά πλήρως ενημερωμένα με τους σύγχρονους μηχανισμούς ασφάλειας στον κυβερνοχώρο πληροφορικής, αυτή η θεμελιώδης διαφορά θα παρέμενε. Η διαφορά στη συνέπεια σήμερα και πάντα απαιτεί μια διαφορετική προσέγγιση στη διαχείριση κινδύνου σε δίκτυα κρίσιμα για την ασφάλεια και την αξιοπιστία σε σχέση με τα επιχειρηματικά δίκτυα.
Μηχανική Ασφαλείας
Τα καλά νέα είναι ότι το επάγγελμα του μηχανικού έχει στη διάθεσή του ισχυρά εργαλεία για την αντιμετώπιση των κινδύνων στον κυβερνοχώρο OT. Για παράδειγμα, οι μηχανικές βαλβίδες υπερπίεσης εμποδίζουν την έκρηξη των δοχείων πίεσης. Αυτές οι βαλβίδες δεν περιέχουν CPU και επομένως δεν μπορούν να παραβιαστούν. Οι συμπλέκτες περιορισμού της ροπής εμποδίζουν την αποσύνθεση των στροβίλων, δεν περιέχουν CPU και, επομένως, μπορούν να παραβιαστούν. Οι μονοκατευθυντικές πύλες δεν είναι φυσικά ικανές να επιτρέψουν στις πληροφορίες επίθεσης να περάσουν προς μία κατεύθυνση και επομένως δεν μπορούν να παραβιαστούν. Σήμερα, αυτά τα ισχυρά εργαλεία συχνά παραμελούνται, επειδή αυτά τα εργαλεία δεν έχουν ανάλογο στον χώρο της ασφάλειας πληροφορικής.
Σκάβοντας λίγο βαθύτερα, το επάγγελμα του μηχανικού έχει διαχειριστεί κινδύνους για τη δημόσια ασφάλεια για πάνω από έναν αιώνα. Επειδή η κακή μηχανική εγκυμονεί κινδύνους για τη δημόσια ασφάλεια, το επάγγελμα του μηχανικού είναι ένα νομοθετημένο, αυτορυθμιζόμενο επάγγελμα σε πολλές δικαιοδοσίες, παρόμοιο με τα ιατρικά και νομικά επαγγέλματα. Το επάγγελμα του μηχανικού έχει τεράστια συμβολή στη διαχείριση των κινδύνων στον κυβερνοχώρο, αλλά αυτό δεν είναι κατανοητό τόσο εντός όσο και εκτός του επαγγέλματος.
Γιατί; Αρχικά, υπάρχουν 50 φορές περισσότεροι επαγγελματίες ασφάλειας πληροφορικής στον κόσμο από ό,τι οι επαγγελματίες ασφάλειας OT, και έτσι οι ειδικοί πληροφορικής είναι συχνά τα πρώτα άτομα που συμβουλεύονται όταν χρειαζόμαστε λύσεις βιομηχανικής ασφάλειας στον κυβερνοχώρο. Οι περισσότεροι ειδικοί σε θέματα ασφάλειας πληροφορικής, ωστόσο, δεν είναι μηχανικοί, και επομένως δεν γνωρίζουν τις ευθύνες, ούτε τις συνεισφορές που μπορούν να γίνουν από το επάγγελμα του μηχανικού.
Το επάγγελμα του μηχανικού στο σύνολό του δεν είναι πολύ καλύτερο. Εάν οι επιθέσεις στον κυβερνοχώρο με φυσικές συνέπειες συνεχίσουν να υπερδιπλασιάζονται ετησίως, τότε το πρόβλημα στον κυβερνοχώρο OT θα λάβει διαστάσεις κρίσης πριν από το τέλος της δεκαετίας. Όμως, στις περισσότερες δικαιοδοσίες, το επάγγελμα του μηχανικού δεν έχει ακόμη αντιμετωπίσει τον κυβερνοχώρο για το κοινό και τις φυσικές λειτουργίες. Σε αυτό το γράψιμο, δεν υπάρχει δικαιοδοσία στον κόσμο όπου η αποτυχία εφαρμογής ισχυρής διαχείρισης κυβερνοκινδύνων σε βιομηχανικά σχέδια μπορεί να κοστίσει σε έναν μηχανικό την άδεια ασκήσεως επαγγέλματος.
Υπάρχει πρόοδος όμως. Την τελευταία μισή δεκαετία, έχουν αποκρυσταλλωθεί διάφορες προσεγγίσεις για την ισχυρή μηχανική της κυβερνοασφάλειας:
- Μηχανική διαδικασίας: Η Ασφάλεια Ανασκόπηση PHA για την ασφάλεια στον κυβερνοχώρο με βάση τις συνέπειες εγχειρίδιο τεκμηριώνει μια προσέγγιση για τη χρήση ανασκοπήσεων μηχανικής ανάλυσης κινδύνων ρουτίνας διεργασιών (PHA) για να τεθούν σε εφαρμογή φυσικοί μετριασμούς που δεν μπορούν να παραβιαστούν για απειλές στον κυβερνοχώρο κατά των εργαζομένων, του περιβάλλοντος και της δημόσιας ασφάλειας.
- Μηχανική Αυτοματισμού: Το βιβλίο των Andrew Bochman και Sarah Freeman The Countering Cyber Sabotage: Introducing Consequence-Driven, Cyber-Informed Engineering είναι κυρίως ένα κείμενο για την αξιολόγηση κινδύνου, αλλά περιλαμβάνει μια σειρά από κεφάλαια για μη παραβιάσιμα μέτρα μετριασμού για απειλές στον κυβερνοχώρο, συμπεριλαμβανομένων μη παραβιάσιμα ψηφιακών μετριασμών για απειλές στον κυβερνοχώρο για την προστασία του εξοπλισμού.
- Μηχανική Δικτύων: Το βιβλίο μου Τεχνολογία Ασφαλών Επιχειρήσεων περιγράφει τη μηχανική προοπτική της προστασίας των σωστών φυσικών λειτουργιών από επιθέσεις που ενδέχεται να ενσωματωθούν στις εισερχόμενες ροές πληροφοριών, αντί να προσπαθεί να «προστατέψει τις πληροφορίες». Ένα μεγάλο μέρος του κειμένου επικεντρώνεται σε διαφορετικούς τρόπους σχεδιασμού βιομηχανικών δικτύων για να επιτρέψει στις πληροφορίες παρακολούθησης να εγκαταλείψουν ένα δίκτυο χωρίς να εισάγει κανέναν τρόπο για την είσοδο πληροφοριών επίθεσης στα δίκτυα.
Σε αυτό το θέμα, το Υπουργείο Ενέργειας των ΗΠΑ (DOE) κυκλοφόρησε επίσης το «Εθνική Στρατηγική Μηχανικής με Πληροφορία στον Κυβερνοχώρο» (PDF) τον Ιούνιο του 2022. Η στρατηγική επιδιώκει να αναπτύξει ένα μηχανολογικό σώμα γνώσεων για, μεταξύ άλλων, «να χρησιμοποιήσει σχεδιαστικές αποφάσεις και μηχανικούς ελέγχους για τον μετριασμό ή ακόμα και την εξάλειψη των οδών για επίθεση μέσω κυβερνοχώρου ή τη μείωση των συνεπειών όταν συμβαίνει μια επίθεση .»
<b><i>Looking Forward</i></b>
Το κύριο ερώτημα που απευθύνεται στο νέο βιβλίο είναι, όταν πρόκειται για την ασφάλεια στον κυβερνοχώρο, "πόσο είναι αρκετό;Οι συνέπειες καθορίζουν τον βαθμό προστασίας που χρειάζεται ένα σύστημα ή ένα δίκτυο και η καλύτερη καθοδήγηση που υπάρχει λέει ότι πρέπει να διασφαλίσουμε τα κρίσιμα και ζωτικής σημασίας συστήματα υποδομής πραγματικά διεξοδικά. Αυτή είναι μια πολύ δαπανηρή διαδικασία. Ακόμη χειρότερα, ακόμη και τα καλύτερα προγράμματα κυβερνοασφάλειας δεν παρέχουν την ντετερμινιστική προστασία που περιμένουμε από τα μηχανικά σχέδια όταν η δημόσια ασφάλεια βρίσκεται σε κίνδυνο.
Η μηχανική ασφάλειας έχει τη δυνατότητα, εάν εφαρμόζεται συστηματικά και συστηματικά, να εξαλείψει πολλές συνέπειες ασφάλειας και αξιοπιστίας/εθνικής ασφάλειας από την εξέταση. Αυτό έχει τη δυνατότητα να απλοποιήσει δραματικά το «πόσο είναι αρκετό;Ερώτηση, μειώνοντας την απαιτούμενη ισχύ και το κόστος των προγραμμάτων κυβερνοασφάλειας που αντιμετωπίζουν τους εναπομείναντες κινδύνους στα δίκτυα OT. Δεδομένης της κρίσης που βλέπουμε να έρχεται από την άποψη των τερματισμών λειτουργίας OT, των ζημιών στον εξοπλισμό και χειρότερα που προκαλούνται από επιθέσεις στον κυβερνοχώρο, η ώρα είναι ώριμη για αυτήν τη νέα προσέγγιση.
Περισσότερα πληροφορίες για το βιβλίο μπορείτε να βρείτε στον σύνδεσμο.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/ics-ot/engineering-grade-ot-protection
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 1
- 2022
- 2023
- 50
- 7
- a
- Ικανός
- Σχετικά με εμάς
- διεύθυνση
- διευθύνσεις
- Όλα
- επιτρέπουν
- σχεδόν
- Επίσης
- πάντοτε
- μεταξύ των
- an
- ανάλυση
- και
- Ανδρέας
- Ετησίως
- Άλλος
- προστασίας από ιούς
- κάθε
- εφαρμοσμένος
- Εφαρμογή
- πλησιάζω
- προσεγγίσεις
- ΕΙΝΑΙ
- AS
- εκτίμηση
- επιβεβαιώνω
- At
- επίθεση
- Επιθέσεις
- διαθεσιμότητα
- λεωφόρους
- επίγνωση
- αντιγράφων ασφαλείας
- BE
- επειδή
- ήταν
- πριν
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- μεταξύ
- Κομμάτι
- πλήγμα
- σώμα
- βιβλίο
- και οι δύο
- επιχείρηση
- αλλά
- by
- CAN
- περίπτωση
- Αιτία
- προκαλούνται
- Αιώνας
- αλλαγή
- Κεφάλαια
- Ελάτε
- έρχεται
- ερχομός
- εντελώς
- συμβιβασμός
- υπολογιστές
- εμπιστευτικότητα
- Συνέπειες
- εξέταση
- περιέχουν
- ΣΥΝΕΧΕΙΑ
- συνεχής
- συμβολή
- συνεισφορές
- έλεγχος
- ελέγχους
- συμβατικός
- διορθώσει
- Κόστος
- θα μπορούσε να
- κρίση
- κρίσιμης
- Υποδομές κρίσιμης σημασίας
- στον κυβερνοχώρο
- Cyber Attacks
- cyberattacks
- Κυβερνασφάλεια
- Ημερομηνία
- δεκαετία
- αποφάσεις
- βαθύτερη
- Πτυχίο
- παραδώσει
- απαιτήσεις
- Τμήμα
- Υπηρεσίες
- σχέδια
- ανίχνευση
- Προσδιορίστε
- ανάπτυξη
- διαφορά
- διαφορές
- διαφορετικές
- ψηφιακό
- κατεύθυνση
- καταστροφές
- do
- έγγραφα
- ελαφίνα
- διπλασιασμό
- δραματικά
- αποτελεσματικός
- την εξάλειψη
- ενσωματωμένο
- ενεργοποιήσετε
- κρυπτογραφημένα
- τέλος
- ενέργεια
- μηχανικός
- Μηχανική
- Μηχανικοί
- τεράστιος
- αρκετά
- εισάγετε
- περιβάλλοντος
- εξοπλισμός
- Even
- παράδειγμα
- αναμένω
- ακριβά
- εμπειρογνώμονες
- παραλείποντας
- Όνομα
- Ροές
- επικεντρώθηκε
- Εξής
- Για
- Δικανικός
- Βρέθηκαν
- από
- πλήρως
- θεμελιώδης
- πύλες
- γενικά
- δεδομένου
- Go
- γκολ
- καλός
- εξαιρετική
- καθοδήγηση
- Ήμισυ
- σκληρότερα
- Έχω
- Επισκέψεις
- Ωστόσο
- HTTPS
- ανθρώπινος
- προσδιορίσει
- if
- εικόνες
- in
- περιλαμβάνει
- Συμπεριλαμβανομένου
- Εισερχόμενος
- βιομηχανικές
- πληροφορίες
- Υποδομή
- μέσα
- ακεραιότητα
- εσωτερικός
- εισάγοντας
- IT
- την ασφάλεια
- jpg
- Ιούνιος
- δικαιοδοσία
- δικαιοδοσίες
- Σκοτώστε
- γνώση
- large
- ξεκίνησε
- Αγωγές
- Άδεια
- Νομικά
- Άδεια
- LINK
- ζωές
- που
- μαγεία
- Κυρίως
- κάνω
- διαχείριση
- διαχειρίζεται
- διαχείριση
- διαχείριση
- πολοί
- Ενδέχεται..
- μέσα
- μηχανικός
- μηχανισμούς
- ιατρικών
- ενδέχεται να
- Μετριάζω
- ΜΟΝΤΕΡΝΑ
- παρακολούθηση
- περισσότερο
- πλέον
- πολύ
- my
- Ανάγκη
- ανάγκες
- κανενα απο τα δυο
- δίκτυο
- δίκτυα
- Νέα
- νέα
- Όχι.
- αριθμός
- of
- off
- συχνά
- Παλιά
- on
- ONE
- λειτουργίες
- or
- ΑΛΛΑ
- αλλιώς
- δικός μας
- έξω
- εκτός
- επί
- μέρος
- passieren
- Το παρελθόν
- Διόρθωση
- People
- Προσωπικά
- προοπτική
- PHA
- φυσικός
- Φυσικώς
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- φτωχός
- θέτει
- δυναμικού
- ισχυρός
- πρακτική
- χυτρα
- πρόληψη
- πρωτίστως
- Πρόβλημα
- διαδικασια μας
- επάγγελμα
- Προγράμματα
- Πρόοδος
- προστασία
- προστασία
- προστασία
- πρωτόκολλα
- δημόσιο
- βάζω
- ερώτηση
- μάλλον
- φθάσουν
- Ανάκτηση
- μείωση
- μείωση
- κυκλοφόρησε
- παραμένουν
- υπόλοιπα
- επαναλαμβάνω
- απαιτείται
- Αντίσταση
- Απάντηση
- ευθυνών
- αποκατασταθεί
- ανασκόπηση
- Κριτικές
- Κίνδυνος
- εκτίμηση του κινδύνου
- διαχείριση των κινδύνων
- κινδύνους
- εύρωστος
- ρουτίνα
- συνήθως
- s
- Ασφάλεια
- Είπε
- λέει
- προστατευμένο περιβάλλον
- ασφάλεια
- δείτε
- Επιδιώκει
- ευαίσθητος
- σειρά
- κλεισίματα
- παρόμοιες
- απλοποίηση
- So
- Λύσεις
- κάπως
- Χώρος
- ειδικά
- Εκκίνηση
- Στρατηγική
- δύναμη
- σύστημα
- συστήματα
- Πάρτε
- όροι
- κείμενο
- εγχειρίδιο
- από
- ότι
- Η
- οι πληροφορίες
- ο κόσμος
- τους
- Τους
- θέμα
- τότε
- Εκεί.
- επομένως
- Αυτοί
- πράγματα
- αυτό
- διεξοδικά
- αν και?
- απειλές
- Ετσι
- ώρα
- φορές
- προς την
- σήμερα
- εργαλεία
- προσπαθώντας
- δύο
- κατανοητή
- us
- χρήση
- χρησιμοποιώντας
- Εναντίον
- πολύ
- Νερό
- WAVE
- Τρόπος..
- τρόπους
- we
- Τι
- πότε
- Ο ΟΠΟΊΟΣ
- ολόκληρο
- θα
- με
- χωρίς
- εργάτης
- κόσμος
- χειρότερος
- χειρότερη
- θα
- γραφή
- γραπτή
- ακόμη
- zephyrnet