Specjaliści projektujący i wdrażający rozwiązania w zakresie systemów bezpieczeństwa na potrzeby przemysłu i infrastruktury krytycznej stoją w obliczu wyjątkowej presji. Fizyczna ochrona takich podmiotów jest oczywiście najważniejsza, ale dziś muszą mierzyć się z atakami w sferze cyfrowej.

Nie jest tajemnicą, że cyberataki są coraz liczniejsze i coraz bardziej wyrafinowane, podejmowane przez coraz szersze grono atakujących. Ze względu na globalny charakter łańcuchów dostaw niewielkie zakłócenie w jednym miejscu może mieć duży wpływ na inny, co znamy jako „efekt motyla”.

Organy regulacyjne w obliczu wyzwań związanych z cyberbezpieczeństwem

Rządy i organy regulacyjne bez wątpienia starają się nadążyć za zmianami i rosnącym zagrożeniem dla cyberbezpieczeństwa. Coraz częściej ich reakcją jest zmiana sposobu regulacji kwestii bezpieczeństwa cyfrowego. Zamiast wprost określać, co dostawcy podstawowych usług muszą wdrożyć w odniesieniu do cyberbezpieczeństwa, tendencja w regulacjach polega na tym, że to na dostawcach spoczywa obowiązek udowodnienia, że posiadają niezbędne środki, aby zachować cyberbezpieczeństwo. Zmiana ta ma poważne konsekwencje dla firmy dostarczającej wiedzy i rozwiązań wszystkim odbiorcom działającym w ramach łańcucha dostaw. Każdy element łańcucha wartości zostanie poddany kontroli.

NIS2 jako przykład ewoluującego środowiska regulacyjnego

Dyrektywa NIS2, która weszła w życie w styczniu tego roku, a państwa członkowskie UE mają czas do października 2024 r. na wprowadzenie jej w życie, stanowi użyteczny przykład podkreślający konsekwencje nowych regulacji dla kluczowych podmiotów.

NIS2, będąca odpowiedzią na ewoluujący krajobraz zagrożeń, ma na celu podniesienie ogólnego poziomu cyberbezpieczeństwa w UE. Wypełnia luki widoczne w pierwotnej dyrektywie NIS. Dyrektywa ma na celu stworzenie „kultury bezpieczeństwa w sektorach o kluczowym znaczeniu dla naszej gospodarki i społeczeństwa, które w dużym stopniu opierają się na technologiach informacyjno-komunikacyjnych (ICT), takich jak energetyka, transport, gospodarka wodna, bankowość, infrastruktura rynków finansowych, opieka zdrowotna i infrastruktura cyfrowa”.

Jest to wyraźny przykład uznania przez organy regulacyjne tego, jak bardzo każdy sektor jest uzależniony od technologii i jak wszelkie słabe punkty są stale wyszukiwane oraz wykorzystywane przez cyberprzestępców.

Zgodnie z dyrektywą państwa członkowskie UE zidentyfikują przedsiębiorstwa i organizacje, które są operatorami usług kluczowych, a organizacje te będą musiały podjąć odpowiednie środki bezpieczeństwa i powiadomić odpowiednie organy krajowe o wszelkich poważnych incydentach cyberbezpieczeństwa. Ponadto kluczowi dostawcy usług cyfrowych, takich jak usługi przetwarzania w chmurze, również będą musieli spełniać wymogi bezpieczeństwa i powiadamiania określone w dyrektywie. Rozszerzenie poza dostawców usług kluczowych i na cały łańcuch dostaw technologii jest oczywiste.

Rozwiązania w zakresie dozoru jako część łańcucha wartości istotnego podmiotu

Jak wspomniano, ochrona usług kluczowych zawsze była priorytetem. Fizyczne ogrodzenia i kontrola dostępu zostały ulepszone dzięki technologii z zaawansowanymi rozwiązaniami dozoru wizyjnego. Coraz bardziej połączony charakter tych rozwiązań sprawił, że znalazły się one na pierwszej linii cyberataków i pod kontrolą zmieniających się przepisów.

Architekci, inżynierowie oraz konsultanci projektujący i określający rozwiązania w zakresie dozoru wizyjnego ponoszą znaczną odpowiedzialność. Zapewnienie, że rozwiązania te są zaprojektowane nie tylko pod kątem dzisiejszych wymagań w zakresie bezpieczeństwa fizycznego i cybernetycznego, ale że będą one dostosowane do zmieniających się wyzwań, ma zasadnicze znaczenie dla zachowania zgodności z przepisami.

Wymaga to „myślenia systemowego”. Konsultanci muszą postrzegać rozwiązanie bezpieczeństwa jako całość, a nie wybór oddzielnych urządzeń, a także brać pod uwagę oprogramowanie  rozwiązania, wraz z jego integracją z szerszą infrastrukturą dostawcy podstawowych usług. Projektowanie, wdrażanie, integracja i konserwacja rozwiązań odgrywają istotną rolę w cyberbezpieczeństwie. Rozwiązanie, które pozostaje statyczne, będzie ostatecznie narażone na luki w zabezpieczeniach.

Co zmieniający się krajobraz oznacza dla projektantów rozwiązań do dozoru?

Osoby projektujące i określające rozwiązania mają obowiązek rozważyć potencjalne szersze zagrożenia stwarzane przez rekomendowaną przez nich ofertę techniczną. Podczas gdy rozwiązania powinny koncentrować się przede wszystkim na spełnieniu określonych wymagań operacyjnych, przepisy dotyczące IT i cyberbezpieczeństwa są obecnie niezbędne. Dzisiejsze specyfikacje muszą być dostosowane do przepisów, takich jak dyrektywa NIS2, aby wspierać zgodność organizacji.

W związku z tym konsultanci muszą być pewni, że produkty każdego dostawcy spełniają politykę bezpieczeństwa klienta indywidualnego, w tym wszystkie odpowiednie przepisy mające zastosowanie do organizacji klienta. Niezbędne jest przeprowadzenie odpowiedniej analizy due diligence podejścia do cyberbezpieczeństwa każdego rekomendowanego dostawcy.

Konsultanci muszą również starać się określić zasady i procesy dla dostawców technologii, których rekomendują, a także funkcje techniczne, które zapewniają. Funkcje takie jak bezpieczny rozruch, podpisane oprogramowanie układowe, komponenty zabezpieczające, które umożliwiają automatyczną i bezpieczną identyfikację urządzeń oraz moduł TPM (Trusted Platform Module) odnoszą się do zagrożeń stwarzanych obecnie i powinny zostać określone.

Specyfikacje powinny również obejmować ważne certyfikaty stron trzecich, takie jak ISO27001, a także zasady dotyczące luk w zabezpieczeniach, powiadomienia o poradach dotyczących bezpieczeństwa i jasno zdefiniowany model rozwoju bezpieczeństwa.

Wreszcie należy uwzględnić podejście do zarządzania cyklem życia. Korzystanie z narzędzi do zarządzania urządzeniami i rozwiązaniami oraz udokumentowana strategia oprogramowania układowego zmniejszają przyszłe ryzyko ataku i chronią klientów w przyszłości. Funkcje te pozwalają klientom obsługiwać swój system i urządzenia w możliwie najbezpieczniejszy sposób przez cały cykl ich życia.

Łącznie te zasady i procesy pokazują dojrzałość cyberbezpieczeństwa organizacji i jej zdolność do dostosowywania się do zmieniającego się krajobrazu zagrożeń.

Zmiana ról w zmieniającym się środowisku cyberbezpieczeństwa

Dla każdego kraju znaczenie zminimalizowania potencjalnego zakłócenia podstawowych usług jest oczywiste i nie można go przecenić. Zakłócenie będzie miało niemal natychmiastowy wpływ na gospodarkę. Może to szybko przerodzić się w istotne kwestie społeczne oraz potencjalne zagrożenie zdrowia i życia ludzkiego.

Niezależnie od tego, skąd pochodzi zagrożenie, ochrona podstawowych usług i podmiotów, które je świadczą, ma zatem kluczowe znaczenie. Organy regulacyjne na całym świecie zdają sobie z tego sprawę, a zagrożenia pochodzą ze sfery zarówno fizycznej, jak i cyfrowej.

Uznały jednak również, że zagrożenia związane z cyberatakami ewoluują tak szybko, że wszelkie próby zdefiniowania środków cyberbezpieczeństwa będą nieaktualne, zanim zostaną opublikowane. W związku z tym zmieniono podejście regulacyjne, wymagając od dostawców podstawowych usług udowodnienia, że dysponują technologią, procesami i zasobami umożliwiającymi radzenie sobie z zagrożeniami.

W rezultacie każdy zaangażowany w łańcuch wartości istotnego podmiotu musi odpowiedzieć na to wyzwanie, w tym osoby projektujące i określające rozwiązania w zakresie dozoru. Ograniczanie ryzyka cyberzagrożeń to wspólna odpowiedzialność. Podczas gdy firmy są od tego zależne, konsekwencje dla społeczeństwa mogą być znacznie większe. ⦁