Ako môže globálny štandard kybernetickej bezpečnosti a schéma posudzovania zhody zredukovať odstávky a ušetriť na stratách výnosov

Vo svete, kde je všetko prepojené, je dôveryhodné vybavenie základom bezpečných sieťových prostredí. Čoraz viac výrobcov a odvetví vytvára a nasadzuje inteligentné zariadenia priemyslového internetu vecí (IIoT). Preto je zabezpečenie a bezpečnosť systémov poskytujúcich základné operácie čoraz dôležitejšie a náročnejšie na spravovanie. Táto náročnosť je čiastočne spôsobená neexistenciou globálneho, všeobecne akceptovaného štandardu kybernetickej bezpečnosti a schémy posudzovania zhody určenej na overovanie pripojených produktov.

V súčasnosti sa v krajinách na celom svete vytvárajú rôzne požiadavky bez ohľadu na globálny súlad. Neexistencia zhody sťažuje výrobcom určovanie štandardov, ktoré by mali dodržiavať, a s ktorými by mali byť v súlade, najmä počas výroby a predaja produktov na celom svete. Preto verím, že priemyselní partneri a normalizačné orgány musia podniknúť proaktívne kroky na kodifikáciu očakávaní v oblasti bezpečnosti a najlepších postupov pre ekosystémy priemyslového internetu vecí (IIoT). To pomôže zaistiť konzistentnú integráciu bezpečnosti do produktov a v konečnom dôsledku ušetrí spoločnostiam miliardy dolárov za návrh systému a náklady na zotavenie po kybernetickom útoku.

Bezpečnostné problémy, ktorým spoločnosti čelia v praxi

S pribúdajúcou integráciou zariadení priemyslového internetu vecí (IIoT) do starších systémov a riešení sa kriticky dôležité infraštruktúry a ďalšie siete priemyselných riadiacich systémov stávajú zraniteľnejšími pre kybernetické útoky, ktorých zmierňovanie je čoraz náročnejšie. V súčasnosti sa celkové straty spôsobené trestnou činnosťou v oblasti kybernetickej bezpečnosti odhadujú na 600 miliárd dolárov¹, čo je 0,8 percenta globálneho HDP. Niekoľko incidentov v posledných rokoch spôsobilo sériu vážnych narušení bezpečnosti, ktoré pritiahli pozornosť celého sveta, vrátane malvérov Industroyer alebo Crash Override z roku 2015, ktoré znefunkčnili ukrajinskú rozvodnú sieť, či masívnych útokov botnetu Mirai v roku 2016, ktoré zneužili bezpečnostné kamery a routre pripojené k internetu vecí (IoT) na podniknutie niekoľkých distribuovaných útokov týkajúcich sa odmietnutia služby.

Takéto útoky sú zvyčajne zložitejšie a škodlivejšie ako mnohé kybernetické útoky pred zavedením priemyslového internetu vecí (IIoT), čo je spôsobené ich rozsahom a následkami pre fyzické systémy. Okrem toho sa proti nim ťažšie bojuje. Zatiaľ čo vlády a výrobcovia vydávajú v rámci kybernetickej obrany varovania a navrhujú aktualizácie, protokoly závisia od jednotlivých majiteľov aktív, ktorí sa musia rozhodnúť konať a dodržať podrobné pokyny. Aj keď vládne organizácie a výrobcovia vydávajú odporúčania vo väčšine prípadov včas, aktualizácie systému môžu byť pomalé, neefektívne a nepraktické. Spoločnosti sú príliš často obmedzené tým, že nemajú k dispozícii systémové architektúry, ktoré podporujú aktualizácie systému „za chodu“ bez toho, aby bolo potrebné systém odstaviť. Vypnutie týchto systémov kriticky dôležitej infraštruktúry na uskutočnenie aktualizácie by viedlo k strate produktivity a výnosov. Vo väčšine prípadov musia byť aktualizácie kybernetickej bezpečnosti naplánované alebo zosúladené s plánmi ročnej údržby. 

Výzvy a potenciálne riešenia zabezpečenia prepojených ekosystémov

Jedinečné vlastnosti technológií priemyslového internetu vecí (IIoT) so sebou prinášajú technické a ekonomické výzvy. Z technického hľadiska majú zariadenia priemyslového internetu vecí (IIoT) obmedzený výpočtový výkon a nízku úložnú kapacitu. Nie sú určené na podporu efektívnych bezpečnostných opatrení, ako je pokročilé šifrovanie alebo riadenie nedostatkov v zabezpečení a opráv. Riešenie tejto výzvy si vyžaduje vývoj ľahkých kryptografických algoritmov a obchodných modelov, ktoré umožnia včasnejšie inovácie produktov priemyslového internetu vecí (IIoT), a navrhovanie systémov s podporou bezdrôtovej inovácie firmvéru. Podľa môjho názoru je bezpečnosť siete alebo systému iba taká silná ako jej najslabší článok. Organizácie by mali vykonávať základnú „hygienu“ v oblasti kybernetickej bezpečnosti a nepretržite analyzovať nové hrozby, aby zabezpečili bezpečné nasadenie systémov. Spoločnosti by navyše mali inventarizovať všetko, čo je spojené s ich sieťami a používať model nulovej dôvery. Na identifikáciu hrozieb bude potrebné partnerstvo a spolupráca s dôveryhodnými dodávateľmi. 

Hospodárske výzvy spojené so zabezpečením ekosystémov priemyslového internetu vecí (IIoT) vyplývajú z komplexného výrobného a dodávateľského reťazca a ťažkostí s jednoznačným prideľovaním zodpovednosti výrobcom a systémovým integrátorom za prípadné nedostatky v zabezpečení. Väčšina zostáv produktov a systémov sa skladá z komponentov od rôznych dodávateľov. Aká je úloha dôvery v situácii, ak neexistuje globálna schéma posudzovania zhody na zabezpečenie odstránenia nedostatkov v zabezpečení z integrovaných komponentov? Výborným východiskovým bodom je mať k dispozícii spoločný súbor overených požiadaviek na produkt na globálnej úrovni, podobný tomu, ktorý už máme pri hodnoteniach bezpečnosti. Medzi možné riešenia otázky zodpovednosti patria posúdenia zhody komponentov zariadení priemyslového internetu vecí (IIoT) od tretích strán, ako aj pravidelná inventarizácia použitých technológií priemyslového internetu vecí (IIoT) v sieťach, aby sa zabezpečilo, že sú nainštalované iba dôveryhodné zariadenia. 

Neexistencia spoločného globálneho štandardu dodržiavania súladu v rámci kybernetickej bezpečnosti

Aj keď riešenia, ktoré uvádzam, sú uskutočniteľné, neexistencia harmonizovaných globálnych štandardov týkajúcich sa bezpečnosti produktov priemyslového internetu vecí (IIoT) dramaticky spomaľuje ich prijatie a nasadenie. Pre nekoordinované štandardy, usmernenia a predpisy od rôznych subjektov z celého sveta je zosúladenie univerzálnych požiadaviek na kybernetickú bezpečnosť na úrovni systémov priemyslového internetu vecí (IIoT) pre výrobcov ťažké, ak nie nemožné. Mnoho krajín, regiónov a samospráv vyvíja vlastné ideálne postupy a štandardy kybernetickej bezpečnosti pre zariadenia priemyslového internetu vecí (IIoT) a kritickú infraštruktúru, čo vedie k nedostatku parity. V mnohých prípadoch však vládnym orgánom chýbajú odborné znalosti potrebné na zohľadnenie zložitosti zariadení priemyslového internetu vecí (IIoT) a ich použitia.

Normy a požiadavky v oblasti kybernetickej bezpečnosti sú aj naďalej veľmi fragmentované podľa oblastí a krajín, pretože vlády začali regulovať technológie priemyslového internetu vecí (IIoT) veľmi rozdielnymi a niekedy protichodnými spôsobmi.  To vytvára výzvy pre výrobcov a systémových integrátorov, ktorí sa snažia vytvárať a nasadzovať služby na globálnom trhu.

Globálny štandard v odvetví a urýchlenie zavedenia schémy posudzovania zhody pre priemyslový internet vecí (IIoT)

Odvetvie a normalizačné orgány musia podporovať príslušné schémy posudzovania zhody, aby mohli pomôcť pri overovaní globálnych požiadaviek na produkty a systémy a riešení zložitých otázok plnenia viacerých požiadaviek rôznych krajín a oblastí.

Som presvedčený, že iniciatívu vo vývoji globálnych štandardov kybernetickej bezpečnosti priemyslového internetu vecí (IIoT) vrátane vhodných schém posudzovania zhody by mohli prebrať normalizačné orgány. Globálne štandardy pripravia pôdu aj pre partnerstvá medzi podnikmi a akademickou obcou. Tieto partnerstvá pomôžu posilniť príchod talentovaných ľudí, čo je potrebné na riešenie nedostatku kvalifikovanej pracovnej sily v oblasti kybernetickej bezpečnosti a najmä v rámci priemyslového internetu vecí (IIoT). 

Čo môžu rôzne odvetvia hospodárstva robiť?

Výzvou, ktorá pred nami stojí, je zabezpečiť intenzívnejší dialóg medzi normalizačnými orgánmi prostredníctvom vzdelávania výrobcov, dodávateľov a spotrebiteľov priemyslového internetu vecí (IIoT) o rizikách spojených s nezabezpečenými produktmi a riešeniami. Aj keď si myslím, že normalizačné orgány môžu pomôcť viesť dialóg o kybernetickej bezpečnosti, kybernetická bezpečnosť predstavuje spoločné úsilie a spolupráca si vyžaduje čas, najmä v odvetviach, ktoré pomalšie reagujú na technologický pokrok.

Keďže vďaka úsiliu rôznych odvetví hospodárstva sa úroveň kybernetickej bezpečnosti začína zlepšovať, vlastníci podnikov a správcovia zariadení majú v súčasnosti k dispozícii kroky, ktoré môžu podniknúť na zníženie rizík kybernetickej bezpečnosti v systémoch a sieťach: 

Integrácia kybernetickej bezpečnosti do návrhu a vývoja produktu 

Bezpečnosť je nepretržitá cesta. Komplexnosť produktov, scenáre hrozieb a technológie sa vyvíjajú, takže je nevyhnutné mať zavedené protokoly pre každú fázu životného cyklu vývoja produktu – od modelovania hrozieb po analýzu požiadaviek, overovanie a priebežnú údržbu. Tieto postupy pomáhajú organizáciám zaznamenať vznikajúce hrozby, identifikovať spôsoby, ako sa im brániť a pomôcť zákazníkom maximalizovať efektívnosť, spoľahlivosť a bezpečnosť. Životný cyklus bezpečného vývoja (SDLC) spoločnosti Eaton je proces, ktorý je vynikajúcim príkladom modelu, v ktorom je bezpečnosť integrovaná v každej fáze vývoja produktu.  

Dodržiavanie základnej „hygieny“ kybernetickej bezpečnosti v sieťach

Základná „hygiena“ kybernetickej bezpečnosti zaisťuje udržiavanie aktuálneho súpisu aktív a informácie o tom, čo je pripojené k sieti. Mala by zahŕňať fyzické a dátové aktíva, aplikáciu opráv pri odhalení nedostatkov v zabezpečení, zabezpečenie silných zásad riadenia prístupu a zabezpečenie nepretržitého monitorovania výskytu abnormálneho správania v protokoloch a systémoch. Organizácie by mali tiež plánovať sériu aktualizácií kybernetickej bezpečnosti na základe ich hodnotení úrovne rizika vykonaných pri použití každej bezpečnostnej opravy.

Spolupráca s dobre informovanými organizáciami tretích strán

Vývoj prísnych postupov v každej fáze vývoja produktu pomáha vytvoriť merateľné kritériá kybernetickej bezpečnosti pre produkty a systémy pripojené k sieti. Partnerstvá s dôveryhodnými tretími stranami môžu organizáciám pomôcť rozšíriť ich najlepšie postupy v oblasti kybernetickej bezpečnosti, pretože tieto inštitúcie často vytvárajú usmernenia, ktoré sú všeobecne akceptované medzinárodnou komunitou. Naša spolupráca s organizáciou UL je funkčným modelom, pretože spoločnosť Eaton teraz testuje inteligentné produkty alebo produkty s integrovanou logikou podľa kľúčových aspektov štandardov UL 2900-1 a IEC 62443, ktoré vyžadujú povinné testovacie protokoly týkajúce sa nedostatkov v zabezpečení, slabých stránok softvéru a malvéru.

Teraz je čas konať

Výrobcovia si už nemôžu dovoliť fungovať podľa rôznych bezpečnostných štandardov. Páchatelia počítačovej kriminality a technológie, ktoré používajú, sa neustále vyvíjajú, pričom rôznym štandardom chýba jednotnosť potrebná na boj s najnovšími hrozbami.

Nastal čas na globálne posudzovanie zhody v oblasti kybernetickej bezpečnosti naprieč rôznymi odvetviami hospodárstva. Odvetvia hospodárstva a normalizačné orgány na celom svete musia urýchliť dialóg potrebný na riešenie dnešných výziev v oblasti kybernetickej bezpečnosti a držať krok s tempom meniacich sa technológií, kým nebude neskoro.

Odkazy

1, 2 – Lau, Lynette (február 2018). Cybercrime ‘pandemic’ may have cost the world $600 billion last year. Získané zo stránky: https://www.csis.org/analysis/economic-impact-cybercrime.