Jak zarządzać cyberbezpieczeństwem infrastruktury krytycznej i przemysłu
Konsultanci oraz specjaliści projektujący i wdrażający rozwiązania w zakresie dozoru i bezpieczeństwa dla przemysłu i infrastruktury krytycznej stoją w obliczu wyjątkowej presji. Fizyczna ochrona takich kluczowych podmiotów jest oczywiście najważniejsza, ale dziś wyzwaniem okazują się ataki cyfrowe.
Istotne jest to, że wszystkie organizacje tworzące łańcuch wartości muszą dostosować się do nowych regulacji. W końcu cyberbezpieczeństwo jest wspólną odpowiedzialnością wszystkich zaangażowanych w projektowanie, specyfikację, dostawę i użytkowanie rozwiązania do dozoru. Poniżej przedstawiamy niektóre z tych wyzwań.
Świat, w którym prawie cała branża ma znaczenie krytyczne
Nie jest tajemnicą, że cyberataki są coraz liczniejsze i coraz bardziej wyrafinowane. I nie ma znaczenia, czy stoją za nimi hakerzy amatorzy, czy dobrze zorganizowani cyberprzestępcy szukający korzyści finansowych, czy też podmioty wspierane przez państwa narodowe, które chcą osłabić społeczeństwo przeciwnika. Istotne jest to, że przybierając różne formy i pochodząc z wielu źródeł, mogą zagrozić bezpieczeństwu organizacji, w tym o znaczeniu dla państwa krytycznym.
Ze względu na wysoce powiązany charakter globalnych łańcuchów dostaw zwiększył się również zakres tych sektorów przemysłu, które są obecnie definiowane jako podmioty kluczowe. Jeszcze dwa czy trzy lata temu wiele osób nie uznałoby produkcji i dostaw półprzewodników za krytyczne. Problemy z dostawami podczas pandemii pokazały jednak, jak istotne są chipy dla wielu – jeśli nie większości – współczesnych procesów przemysłowych.
„Efekt motyla”, kiedy to niewielkie zakłócenie w jednym systemie może mieć duży wpływ na inny w przyszłości, okazał się prawdziwy w przypadku globalnie zintegrowanego łańcucha dostaw technologii.
Organy regulacyjne w obliczu wyzwań związanych z cyberbezpieczeństwem
Za szybko i stale zmieniającym się środowiskiem cyberbezpieczeństwa rządy i organy regulacyjne bez wątpienia starają się nadążyć. Coraz częściej ich reakcją jest zmiana sposobu, w jaki regulują cyberbezpieczeństwo.
Mówiąc ogólnie, zamiast definiować, co dostawcy podstawowych usług muszą wdrożyć w odniesieniu do cyberbezpieczeństwa, tendencja w regulacjach polega na tym, że to na dostawcach spoczywa ciężar udowodnienia, że mają środki niezbędne do zachowania własnego cyberbezpieczeństwa. Zmiana ta ma poważne konsekwencje nie tylko dla dostawców, ale także dla każdej strony dostarczającej wiedzę i rozwiązania w ramach łańcucha dostaw podstawowych podmiotów.
NIS2 jako przykład ewoluującego środowiska regulacyjnego
Dyrektywa NIS2 weszła w życie w styczniu 2024 r., a państwa członkowskie UE mają czas do października br. na wprowadzenie jej w życie. Jest odpowiedzią na ewoluujący krajobraz zagrożeń, ma na celu podniesienie ogólnego poziomu cyberbezpieczeństwa w UE i wypełnia luki obecne w pierwszej wersji dyrektywy. Jej celem jest wypracowanie „kultury bezpieczeństwa w sektorach o kluczowym znaczeniu dla naszej gospodarki i społeczeństwa, które w dużym stopniu opierają się na technologiach informacyjno-komunikacyjnych (ICT), takich jak energetyka, transport, gospodarka wodna, bankowość, infrastruktura rynków finansowych, opieka zdrowotna i infrastruktura cyfrowa”.
Zgodnie z dyrektywą państwa członkowskie UE będą identyfikować przedsiębiorstwa i organizacje, które są operatorami usług kluczowych, a organizacje te będą musiały podjąć odpowiednie środki bezpieczeństwa i powiadomić odpowiednie organy krajowe o wszelkich poważnych incydentach cyberbezpieczeństwa. Kluczowi dostawcy usług cyfrowych, tacy jak usługodawcy przetwarzania w chmurze, również muszą spełniać wymogi bezpieczeństwa i powiadamiania określone w dyrektywie. Rozszerzenie dyrektywny na cały łańcuch dostaw technologii jest oczywiste.
Rozwiązania w zakresie dozoru jako element łańcucha wartości
Ochrona usług kluczowych zawsze była priorytetem. Nic dziwnego, że zabezpieczenia techniczne sukcesywnie były wzbogacane o nowe cyfrowe rozwiązania, co sprawiło, że zainteresowali się nimi cyberprzestępcy. Ten fakt muszą uwzględnić architekci, inżynierowie oraz konsultanci projektujący i określający rozwiązania w zakresie systemów dozoru. Rozwiązania dozorowe muszą być projektowane nie tylko pod kątem współczesnych wymagań w zakresie bezpieczeństwa fizycznego i cybernetycznego, ale też z uwzględnieniem zmieniających się wyzwań, w tym zachowania zgodności z przepisami.
Systemy bezpieczeństwa należy zatem postrzegać jako całość, a nie jako zbiór oddzielnych komponentów. Należy brać pod uwagę relacje między urządzeniami a oprogramowaniem, wraz z integracją z infrastrukturą podstawowego dostawcy usług. Projektowanie, wdrażanie, integracja i konserwacja rozwiązań odgrywają istotną rolę w cyberbezpieczeństwie, podobnie jak zrozumienie, że każde rozwiązanie musi być modernizowane.
Co to oznacza dla projektantów rozwiązań systemów dozoru?
Osoby projektujące i określające rozwiązania mają obowiązek rozważyć potencjalne szersze zagrożenia stwarzane przez rekomendowaną przez nich ofertę techniczną. Z jednej strony rozwiązania powinny koncentrować się przede wszystkim na spełnieniu określonych wymagań operacyjnych, z drugiej – należy uwzględniać przepisy dotyczące IT i cyberbezpieczeństwa, takie jak dyrektywa NIS2, aby wspierać zgodność organizacji. W związku z tym konsultanci muszą być pewni, że produkty każdego dostawcy spełniają politykę bezpieczeństwa klienta indywidualnego. Niezbędne jest zatem dokonywanie analizy due diligence w zakresie podejścia do cyberbezpieczeństwa każdego rekomendowanego dostawcy.
Konsultanci muszą również starać się określić zasady i procesy dla rekomendowanych przez siebie dostawców technologii, a także mieć pewność, że oferowane urządzenia zgodne są z nowymi przepisami. Funkcje takie jak bezpieczny start, podpisane oprogramowanie układowe, komponenty zabezpieczające, które umożliwiają automatyczną i bezpieczną identyfikację urządzeń, oraz moduł TPM (Trusted Platform Module) odnoszą się do zagrożeń stwarzanych obecnie i powinny zostać określone.
Specyfikacje powinny również obejmować ważne certyfikaty trzecich stron, takie jak ISO27001, oraz zasady dotyczące luk w zabezpieczeniach, powiadomienia o poradach dotyczących bezpieczeństwa i jasno zdefiniowany model rozwoju bezpieczeństwa.
Należy też uwzględnić podejście do zarządzania cyklem życia. Korzystanie z narzędzi do zarządzania urządzeniami i rozwiązaniami oraz udokumentowana strategia oprogramowania układowego zmniejszają ryzyko ataku i chronią klientów. Funkcje te pozwalają klientom obsługiwać swój system i urządzenia w możliwie najbezpieczniejszy sposób przez cały cykl ich życia.
Te zasady i procesy świadczą o dojrzałości cybernetycznej organizacji i jej zdolności do dostosowywania się do zmieniającego się krajobrazu zagrożeń.
Nowe wymagania wiążą się ze zmianą ról
Dla każdego kraju znaczenie zminimalizowania potencjalnych zakłóceń w świadczeniu podstawowych usług jest oczywiste i nie do przecenienia. Każdy incydent może mieć niemal natychmiastowy wpływ na gospodarkę, powodując np. niepokoje społeczne czy zagrażając zdrowiu i życiu obywateli.
Niezależnie od tego, skąd pochodzi zagrożenie, ochrona podstawowych usług i podmiotów, które je świadczą, ma zatem kluczowe znaczenie. Organy regulacyjne na całym świecie zdają sobie z tego sprawę. Uznały jednak również, że zagrożenia związane z cyberatakami ewoluują tak szybko, że wszelkie próby odgórnego definiowania tego, jakie środki cyberbezpieczeństwa muszą stosować organizację, będą nieaktualne, zanim zostaną opublikowane. W związku z tym zmieniono podejście regulacyjne, wymagając od dostawców podstawowych usług udowodnienia, że dysponują technologią, procesami i zasobami umożliwiającymi radzenie sobie z zagrożeniami.
W rezultacie każdy zaangażowany w łańcuch wartości istotnego podmiotu musi odpowiedzieć na to wyzwanie, w tym osoby projektujące i określające rozwiązania w zakresie systemów dozoru. Ograniczanie ryzyka cyberzagrożeń to wspólna odpowiedzialność. Firma Axis Communications już teraz jest przygotowana na wyzwania związane z wprowadzaną dyrektywą NIS2 i nieustannie pracuje nad zapewnieniem cyberbezpieczeństwa w ramach oferowanych rozwiązań i w całym łańcuchu dostaw.
Axis Communications Poland
ul. Domaniewska 44 bud. 4
02-672 Warszawa
www.axis.com/pl-pl/