Οι Επιχειρησιακές Τεχνολογίες (OT), όταν αναφέρονται στο πλαίσιο της τεχνολογίας και των επιχειρησιακών διεργασιών, περιλαμβάνουν το υλικό (hardware) και λογισμικό Software που ανιχνεύει ή προκαλεί μια αλλαγή μέσω της άμεσης παρακολούθησης ή/και ελέγχου φυσικών συσκευών, διαδικασιών και συμβάντων στο περιβάλλον του οργανισμού
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Εισαγωγή
Ένα χαρακτηριστικό παράδειγμα Επιχειρησιακής Τεχνολογίας (ΟΤ) είναι τα γνωστά σε όλους μας Συστήματα Βιομηχανικού Ελέγχου (Industrial Control Systems – ICS), όπως ένα σύστημα SCADA. Έχοντας ως κέντρο αναφοράς τις Υποδομές Ζωτικής Σημασίας (Κρίσιμες Υποδομές), οι Επιχειρησιακές Τεχνολογίες μπορούν να χρησιμοποιηθούν για τον έλεγχο των σταθμών παραγωγής ενέργειας ή των μέσων μαζικής μεταφοράς.
Ο κύριος στόχος κάθε περιβάλλοντος Επιχειρησιακής Τεχνολογίας (ΟΤ) αποτελεί η διαχείριση και ο έλεγχος των φυσικών συσκευών που συνήθως εμπλέκονται στην παραγωγή ή την παράδοση αγαθών και υπηρεσιών. Παραδείγματα συστημάτων Επιχειρησιακής Τεχνολογίας (ΟΤ) περιλαμβάνουν, εκτός των συστημάτων Βιομηχανικού Ελέγχου (ICS) που προαναφέρθηκαν, αισθητήρες, ρομποτική και άλλα που χρησιμοποιούνται σε βιομηχανίες υποδομών ζωτικής σημασίας. Η κύρια ευθύνη των συστημάτων Επιχειρησιακής Τεχνολογίας (ΟΤ) είναι να διαχειρίζονται τον έλεγχο και την αυτοματοποίηση των φυσικών διαδικασιών και των συσκευών που είναι κρίσιμες για τις επιχειρηματικές λειτουργίες.
Σε αντιπαραβολή, ο κύριος στόχος κάθε περιβάλλοντος Τεχνολογιών Πληροφορικής (IT) είναι η διαχείριση και η επεξεργασία δεδομένων και πληροφοριών και των διαφόρων συστημάτων μέσω των οποίων ρέει. Παραδείγματα συστημάτων πληροφορικής περιλαμβάνουν διακομιστές, υπολογιστές, εφαρμογές λογισμικού, βάσεις δεδομένων και άλλους πόρους που χρησιμοποιούνται για επικοινωνία, αποθήκευση δεδομένων και πληροφοριών ή/και ανάλυση. Η κύρια ευθύνη τους είναι η διαχείριση των δεδομένων και των πληροφοριών που χρησιμοποιούνται για την υποστήριξη των επιχειρηματικών λειτουργιών.
Ιστορικά, τα περιβάλλοντα Τεχνολογιών Πληροφορικής (IT) και Επιχειρησιακών Τεχνολογιών (OT) σχεδιάστηκαν για να λειτουργούν ανεξάρτητα, να διαχειρίζονται χωριστά από διαφορετικές ομάδες με διαφορετικούς στόχους και να μην έχουν καμία απολύτως συνδεσιμότητα μεταξύ τους. Αυτές οι συνθήκες, ωστόσο, έχουν αλλάξει δραματικά την τελευταία δεκαετία — σε μεγάλο βαθμό λόγω της επιτάχυνσης του ψηφιακού μετασχηματισμού.
Καθώς οι Επιχειρησιακές Τεχνολογίες (OT) διασυνδέονται σε διαρκώς μεγαλύτερο βαθμό, γίνονται επίσης περισσότερο εκτεθειμένες σε τρωτά σημεία. Το υψηλό κόστος του βιομηχανικού εξοπλισμού και η καταστροφή για τις κοινότητες και τις οικονομίες που θα μπορούσε να προκαλέσει μια επίθεση είναι βασικοί παράγοντες για τους οργανισμούς που θέλουν να προστατεύσουν τα βιομηχανικά τους δίκτυα. Αν συνυπολογίσουμε ότι ο εξοπλισμός είναι ως επί το πλείστο παλαιού τύπου, καθώς και κανονισμούς ασφαλείας που ενδέχεται να απαγορεύουν οποιεσδήποτε τροποποιήσεις στον εξοπλισμό και κανονισμούς συμμόρφωσης που απαιτούν τη διάθεση ευαίσθητων δεδομένων σε τρίτους, οι απαιτήσεις ασφάλειας αυξάνονται περαιτέρω. Επιπροσθέτως, η διεύρυνση της χρήσης Επιχειρησιακών Τεχνολογιών (OT) που βρίσκουν εφαρμογές και εκτός της βιομηχανίας και των κρίσιμων υποδομών – χαρακτηριστικό παράδειγμα οι «έξυπνες» οικιακές συσκευές, τα «έξυπνα» δίκτυα και οι φορετές (wearable) συσκευές – και γίνεται πανταχού παρούσα, καταστεί την ανάγκη για ασφάλεια Επιχειρησιακών Τεχνολογιών (OT) αυξανόμενη εκθετικά.
Κλασσικές προκλήσεις Ασφάλειας Πληροφοριών για τις Επιχειρησιακές Τεχνολογίες (OT)
Λαμβάνοντας υπόψη την φύση των Επιχειρησιακών Τεχνολογιών (OT), μπορούμε να αναλύσουμε το μοναδικό σύνολο προκλήσεων ασφαλείας καθώς και τις απειλές που αυτές αντιμετωπίζουν, εκτός των άλλων και λόγο του ρόλου τους στον έλεγχο και την παρακολούθηση κρίσιμων υποδομών και βιομηχανικών διαδικασιών. Αυτές οι προκλήσεις, συνοπτικά, περιλαμβάνουν:
- Συστήματα παλαιού τύπου: Πολλά συστήματα Επιχειρησιακών Τεχνολογιών (OT) βασίζονται σε εξοπλισμό και λογισμικό παλαιού τύπου που δεν έχουν σχεδιαστεί με γνώμονα την ασφάλεια. Αυτά τα παλαιότερα συστήματα ενδέχεται να μην διαθέτουν τα απαραίτητα χαρακτηριστικά ασφαλείας και ενημερώσεις, γεγονός που τα καθιστά ευάλωτα σε κυβερνοεπιθέσεις.
- Έλλειψη διαχείρισης ενημερώσεων κώδικα: Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) συχνά δεν μπορούν να αποσυνδεθούν για ανανέωση εκδόσεων και ενημερώσεις κώδικα τόσο εύκολα όσο τα συστήματα πληροφορικής. Αυτό μπορεί να οδηγήσει σε καθυστερήσεις στην εφαρμογή ενημερώσεων ασφαλείας, αφήνοντας τα συστήματα εκτεθειμένα σε γνωστά τρωτά σημεία.
- Περιορισμένος έλεγχος ταυτότητας: Σε ορισμένες περιπτώσεις, τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) έχουν αδύναμους ή καθόλου μηχανισμούς ελέγχου ταυτότητας, γεγονός που διευκολύνει τα μη εξουσιοδοτημένα άτομα να αποκτήσουν πρόσβαση σε υποδομές ζωτικής σημασίας.
- Φυσική πρόσβαση: Σε αντίθεση με τα συστήματα πληροφορικής, τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) είναι συχνά φυσικά προσβάσιμα σε υπαλλήλους και υπεργολάβους. Αυτό μπορεί να οδηγήσει σε εσωτερικές απειλές και μη εξουσιοδοτημένη φυσική πρόσβαση σε κρίσιμο εξοπλισμό.
- Ευπάθειες Zero-day: Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) ενδέχεται να χρησιμοποιούν ιδιόκτητο ή προσαρμοσμένο λογισμικό, καθιστώντας τα ευαίσθητα σε ευπάθειες μηδενικής ημέρας που δεν είναι δημόσια γνωστά ή διορθωμένα.
- Κακόβουλο λογισμικό και Ransomware: Το κακόβουλο λογισμικό, συμπεριλαμβανομένου του ransomware, μπορεί να διαταράξει τις λειτουργίες Επιχειρησιακών Τεχνολογιών (OT) κρυπτογραφώντας δεδομένα ή αναλαμβάνοντας τον έλεγχο κρίσιμων συστημάτων. Οι επιπτώσεις τέτοιων επιθέσεων μπορεί να είναι σοβαρές.
- Κίνδυνοι εφοδιαστικής αλυσίδας: Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) βασίζονται σε μια πολύπλοκη αλυσίδα εφοδιασμού εξοπλισμού και λογισμικού. Τα παραβιασμένα εξαρτήματα ή λογισμικό που εισάγονται σε οποιοδήποτε σημείο αυτής της αλυσίδας εφοδιασμού μπορεί να εγκυμονούν σημαντικούς κινδύνους.
- Έλλειψη ευαισθητοποίησης για την ασφάλεια: Πολλοί επαγγελματίες Επιχειρησιακών Τεχνολογιών (OT) έχουν επικεντρωθεί ιστορικά περισσότερο στην ασφάλεια και την αξιοπιστία του υλικού παρά στην ασφάλεια στον κυβερνοχώρο. Αυτή η έλλειψη ενημέρωσης μπορεί να οδηγήσει σε παραλείψεις ασφαλείας.
- Επιθέσεις έθνους-κράτους: Οι φορείς που χρηματοδοτούνται από το κράτος και οι επιθέσεις μέσω μηχανσισμών που χρησιμοποιούν προηγμένες επίμονες απειλές (APT) στοχεύουν κρίσιμες υποδομές με πιθανότητα σημαντικής διακοπής ή ζημιάς, καθιστώντας τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) πρωταρχικό στόχο.
- Ανθρώπινο σφάλμα: Οι μηχανικοί που χειρίζονται και συντηρούν συστήματα Επιχειρησιακών Τεχνολογιών (OT) μπορεί να εισάγουν ακούσια ευπάθειες ή να κάνουν σφάλματα διαμόρφωσης που εκθέτουν το σύστημα σε κυβερνοεπιθέσεις.
- Προκλήσεις συμμόρφωσης: Η τήρηση ρυθμιστικών απαιτήσεων και προτύπων, όπως το NIST Cybersecurity Framework ή το ISA/IEC 62443, μπορεί να είναι πρόκληση για οργανισμούς, ειδικά όταν ασχολούνται με διαφορετικά περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT).
Πλεονεκτήματα που απορρέουν από την σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT)
Για πολλά χρόνια, τα βιομηχανικά συστήματα βασίζονταν σε ιδιόκτητα πρωτόκολλα και λογισμικό, διαχειρίζονταν και παρακολουθούνταν με χειροκίνητες διεργασίες και δεν είχαν καμία σύνδεση με τον έξω κόσμο. Για το λόγο αυτό, δεν ήταν το επίκεντρο επιθέσεων κυβερνοεγκληματιών και στόχος για τους χάκερ καθώς δεν υπήρχε δικτυακή διεπαφή για επίθεση και τίποτα για να κερδίσουν ή να καταστρέψουν. Ο μόνος τρόπος διείσδυσης σε αυτά τα συστήματα ήταν η απόκτηση φυσικής πρόσβασης σε ένα τερματικό, και αυτό δεν ήταν εύκολο έργο. Οι Επιχειρησιακές Τεχνολογίες (OT) και οι Τεχνολογίες Πληροφορικής (IT), ήταν ελάχιστα διασυνδεδεμένες και δεν αντιμετώπιζαν τις ίδιες ευπάθειες ή τις ίδιες απειλές.
Στο σημερινό περιβάλλον, όμως, η κατάσταση έχει αλλάξει ουσιαστικά, καθώς βλέπουμε όλο και περισσότερες Επιχειρησιακές Τεχνολογίες (OT) να συνδέονται στο διαδίκτυο (γνωστό και διαδεδομένο είναι στις μέρες μας το Διαδίκτυο των Πραγμάτων – Internet of Things), να παράγουν πλήθος δεδομένων (Big Data) και αναλύσεις νέας γενιάς (New Generation Analytics), καθώς και να υιοθετούν νέες δυνατότητες μέσω τεχνολογικών ενοποιήσεων. Η ενοποίηση των συστημάτων Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT) έχει οδηγήσει σε μεγαλύτερο βαθμό συνδεσιμότητας μεταξύ αυτών των δύο προηγουμένως ανόμοιων περιβαλλόντων, οδηγώντας σε βελτιωμένη απόδοση, αυξημένη ορατότητα και έλεγχο των λειτουργιών και καλύτερες δυνατότητες λήψης αποφάσεων για έναν οργανισμό. Ένα χαρακτηριστικό παράδειγμα σύγκλισης IT/OT είναι οι βιομηχανικές συσκευές Διαδικτύου των Πραγμάτων (Internet of Things – IoT), οι οποίες περιλαμβάνουν τη σύνδεση φυσικών συσκευών, αισθητήρων και μηχανών σε δίκτυα πληροφορικής, συχνά μέσω του cloud. Αυτές οι συσκευές επιτρέπουν τη συλλογή δεδομένων, την απομακρυσμένη παρακολούθηση και την ανάλυση της απόδοσης – επιτρέποντας σε οργανισμούς υποδομής ζωτικής σημασίας να βελτιώσουν την αυτοματοποίηση, να προβλέψουν τη συντήρηση και να λαμβάνουν αποφάσεις σε πραγματικό χρόνο.
Αυτή η μορφή σύγκλισης Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT) επέτρεψε στους οργανισμούς να επιταχύνουν σημαντικά τις πρωτοβουλίες τους για ψηφιακό μετασχηματισμό. Συγκλίνοντας τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT), οι οργανισμοί μπορούν να αυτοματοποιήσουν περαιτέρω τις διαδικασίες τους για τη μείωση του ανθρώπινου λάθους, την αύξηση της παραγωγικότητας και τον εξορθολογισμό των λειτουργιών τους. Μπορούν επίσης να αποκτήσουν βαθύτερες γνώσεις για τις δραστηριότητές τους και να λάβουν αποφάσεις που βασίζονται σε δεδομένα με βελτιωμένη ορατότητα στα δεδομένα. Ως κρίσιμος παράγοντας του ψηφιακού μετασχηματισμού, η σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT) βοηθά στην ευθυγράμμιση των λειτουργικών διαδικασιών με τις ψηφιακές δυνατότητες, αλλάζοντας έτσι τους τρόπους με τους οποίους οι επιχειρήσεις προσφέρουν αξία.
Οι οργανισμοί σε όλους τους τομείς εξαρτώνται από τότε όλο και περισσότερο από νεότερους τύπους κυβερνοφυσικών συστημάτων και άλλες τεχνολογίες που απαιτούν και συνεχίζουν να επεκτείνουν τη συνδεσιμότητα μεταξύ συστημάτων Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT). Ως αποτέλεσμα, αυτά τα προηγουμένως ανόμοια περιβάλλοντα συγκλίνουν, οδηγώντας σε αναμφισβήτητα επιχειρηματικά οφέλη που κυμαίνονται από μεγαλύτερη αποτελεσματικότητα και βιωσιμότητα έως καινοτομία.
Προκλήσεις λόγω της σύγκλισης Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT)
Η σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT) εκτός των προφανών πλεονεκτημάτων, τροφοδοτεί επίσης νέους κινδύνους και προκλήσεις — ιδιαίτερα όταν πρόκειται για την ασφάλεια στον κυβερνοχώρο Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT), με δεδομένο ότι αυτή η μετάβαση από τα κλειστά σε ανοιχτά συστήματα έχει δημιουργήσει μια σειρά από νέους κινδύνους για την ασφάλεια που χρήζουν αντιμετώπισης.
Για την αντιμετώπιση τόσο των τυπικών προκλήσεων που προέρχονται από την φύση των Επιχειρησιακών Τεχνολογιών (OT), όσο και αυτών των προκλήσεων που απορρέουν από την σύγκλιση Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT), πρέπει να έχουμε στο μυαλό μας ότι τα συστήματα IT και OT έχουν πολύ διαφορετικές απαιτήσεις ασφαλείας και αντιμετωπίζουν μοναδικές απειλές στον κυβερνοχώρο. Υπάρχει ανάγκη για εξειδικευμένους ελέγχους ασφαλείας και συνεργασία μεταξύ των ομάδων ασφαλείας IT και OT για να διασφαλιστεί ότι τα συστήματά τους προστατεύονται από απειλές στον κυβερνοχώρο.
Για να γίνει αυτό με επιτυχία, απαιτούνται νέας γενιάς επαγγελματίες ασφαλείας που έχουν εξειδίκευση τόσο στην Ασφάλεια Πληροφορικής όσο και στην Ασφάλεια OT για να διασφαλίζουν την ασφάλεια της υποδομής και των διαδικασιών ζωτικής σημασίας, με μια ενιαία προσέγγιση κατά των επιθέσεων και να προστατεύσει το περιβάλλον του οργανισμού με ολιστικό τρόπο. Αυτή η προσέγγιση θεωρείται ο βέλτιστος τρόπος για την αντιμετώπιση των προκλήσεων στις οποίες έχει οδηγήσει η σύγκλιση IT/OT, συμπεριλαμβανομένων των κάτωθι:
- Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT) δεν προορίζονταν ποτέ να συνδεθούν μεταξύ τους. Συσκευές και συστήματα πληροφορικής αναπτύχθηκαν για τη διαχείριση και την επεξεργασία πληροφοριών χρησιμοποιώντας υπολογιστές και λογισμικό. Αυτές οι συσκευές σχεδιάστηκαν για να συνδέονται στο Διαδίκτυο και έχουν ασφαλιστεί για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Οι Επιχειρησιακές Τεχνολογίες (OT) και Τεχνολογίες Πληροφορικής (IT) από την άλλη πλευρά σχεδιάστηκε αρχικά για τη διαχείριση και τον έλεγχο φυσικών συσκευών και διεργασιών και δεν προοριζόταν ποτέ να συνδεθεί στο Διαδίκτυο — ως εκ τούτου η ασφάλεια δεν ήταν ποτέ ενσωματωμένη στις συσκευές. Καθώς ο ψηφιακός μετασχηματισμός των οργανισμών προχωράει και περισσότερα συστήματα πληροφορικής συγκλίνουν με συσκευές Επιχειρησιακών Τεχνολογιών (OT), η διασύνδεσή τους έχει διευρύνει την επιφάνεια επίθεσης για τους εγκληματίες του κυβερνοχώρου, δίνοντάς τους νέα μονοπάτια σε αυτά τα εγγενώς ανασφαλή περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT).
- Οι παλαιού τύπου και συσκευές είναι κοινός τόπος. Ενισχύοντας την εγγενή ανασφάλεια των συστημάτων Επιχειρησιακών Τεχνολογιών (OT), πολλές συσκευές Επιχειρησιακών Τεχνολογιών (OT) κατασκευάστηκαν πριν από δεκαετίες και συνήθως επικοινωνούν μεταξύ τους μέσω ιδιόκτητων πρωτοκόλλων που είναι σε μεγάλο βαθμό ασύμβατα με τις παραδοσιακές λύσεις ασφάλειας πληροφορικής. Αυτό σημαίνει ότι, λόγω της πολυπλοκότητας των δομικών στοιχείων των συστημάτων Επιχειρησιακών Τεχνολογιών (OT), είναι δύσκολο για αυτά να χειριστούν τον όγκο και τον τύπο της κίνησης που δημιουργείται από τις παραδοσιακές λύσεις πληροφορικής. Εάν χρησιμοποιείται μια παραδοσιακή λύση ασφάλειας Τεχνολογιών Πληροφορικής (IT) σε ένα στοιχείο Επιχειρησιακών Τεχνολογιών (OT), μπορεί να οδηγήσει σε καταστροφή καθώς τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) λειτουργούν σε πραγματικό χρόνο και δεν μπορούν να αντέξουν τον λανθάνοντα χρόνο που σχετίζεται με τα συστήματα Τεχνολογιών Πληροφορικής (IT). Η ασυμβατότητά τους λόγω των διαφορών στο υλικό, το λογισμικό και τα πρωτόκολλα επικοινωνίας μπορεί να προκαλέσει διακοπές σε ένα σύστημα Επιχειρησιακών Τεχνολογιών (OT) που μπορεί να έχει άμεσο και σοβαρό αντίκτυπο στην ασφάλεια, την παραγωγικότητα και τα έσοδα.
- Έλλειψη ορατότητας της συσκευής και λεπτομερών δεδομένων. Όπως σημειώθηκε παραπάνω, η επικράτηση των παλαιών συστημάτων και των ιδιόκτητων πρωτοκόλλων επικοινωνίας σε περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT) τα καθιστά σε μεγάλο βαθμό ασύμβατα με τις παραδοσιακές λύσεις πληροφορικής — συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται για την υποστήριξη της ανακάλυψης και διαχείρισης περιουσιακών στοιχείων. Ως εκ τούτου, οι ομάδες Ασφαλείας Πληροφοριών συνήθως δυσκολεύονται να αποκτήσουν έναν πλήρη κατάλογο των περιουσιακών στοιχείων Επιχειρησιακών Τεχνολογιών (OT), καθιστώντας αδύνατο τον εντοπισμό και την αξιολόγηση απειλών και τρωτών σημείων. Χωρίς αναλυτικά χαρακτηριστικά της συσκευής, όπως το ακριβές μοντέλο, η έκδοση υλικολογισμικού και η διαμόρφωση, το προσωπικό ασφαλείας θα δυσκολεύεται επίσης να αντιστοιχίσει τα στοιχεία με κοινά τρωτά σημεία και εκθέσεις (CVE).
- Άμεσες συνδέσεις στο Διαδίκτυο. Οι περισσότεροι οργανισμοί έχουν απευθείας συνδέσεις με το Διαδίκτυο. Είναι γνωστό ότι μόνο μία συνδεδεμένη στο Διαδίκτυο συσκευή είναι αρκετή για να παρέχει στους εισβολείς μια πύλη για να εισάγουν κακόβουλο λογισμικό στα δίκτυα Επιχειρησιακών Τεχνολογιών (OT).
- Μη ασφαλείς κωδικοί πρόσβασης. Οι χειριστές χρησιμοποιούν μη ασφαλείς κωδικούς πρόσβασης για εύκολη είσοδο στα δίκτυα. Αυτό διευκολύνει τους εισβολείς να χρησιμοποιήσουν την ωμή βία ανακάλυψη διαπιστευτηρίων για να αποκτήσουν πρόσβαση μη εξουσιοδοτημένου χειριστή.
- Ξεπερασμένο λειτουργικό σύστημα. Ένα απαρχαιωμένο λειτουργικό σύστημα που δεν λαμβάνει πλέον ενημερώσεις ασφαλείας είναι εξαιρετικά ευάλωτο σε επιθέσεις ασφαλείας. Όλα τα μηχανήματα, συμπεριλαμβανομένων των σημείων πρόσβασης, πρέπει να απογραφούν και να επιδιορθωθούν σύμφωνα με τις πιο πρόσφατες προδιαγραφές των κατασκευαστών για την αποφυγή συμβιβασμού.
- Ο χρόνος διακοπής λειτουργίας. Σε αντίθεση με τα παραδοσιακά συστήματα πληροφορικής, όπου η διακοπή λειτουργίας επηρεάζει κυρίως την πρόσβαση δεδομένων και τις υπηρεσίες, η διακοπή λειτουργίας μπορεί να οδηγήσει σε σοβαρές λειτουργικές διακοπές και οικονομικές απώλειες σε βιομηχανικό πλαίσιο.
- Ευάλωτα πρωτόκολλα. Με τη συμπερίληψη λειτουργιών όπως ο έλεγχος ταυτότητας και η κρυπτογράφηση, πολλοί κατασκευαστές αναπτύσσουν ασφαλείς εναλλακτικές λύσεις σε πρωτόκολλα και εξοπλισμό που δεν είναι ασφαλή επί του παρόντος.
- Security Posture. Η κοινότητα των βιομηχανικών υπολογιστών έχει παραδοσιακά λάβει ελάχιστη προσοχή από την ασφάλεια. Ο κλάδος των συστημάτων Επιχειρησιακών Τεχνολογιών (OT) υστερεί πολύ πίσω από τον κλάδο της πληροφορικής όσον αφορά τα πρότυπα και τις διαδικασίες ασφαλείας, καθώς και τη συνεργασία με εξωτερικούς ερευνητές ασφάλειας.
- Έλλειψη Ιδιοκτησίας. Η ασαφής ιδιοκτησία και αποδοχή ευθύνης διαχείρισης ρίσκου μεταξύ ομάδων Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT) που καθιστά δύσκολη τη συγκέντρωση, τη διαχείριση και τη διακυβέρνηση των ενεργειών στον κυβερνοχώρο Επιχειρησιακών Τεχνολογιών (OT).
- Έλλειψη κοινής στρατηγικής διαχείρισης ρίσκου. Η συνειδητοποίηση κινδύνου έναντι της ανοχής κινδύνου οδηγεί σε ανταγωνιστικές επιχειρηματικές προτεραιότητες για τους υπεύθυνους λήψης αποφάσεων Επιχειρησιακών Τεχνολογιών (OT) που πρέπει να αποφασίσουν μεταξύ της αύξησης της παραγωγικότητας και της ασφάλειας των συσκευών (για παράδειγμα, αυξημένη παραγωγή έναντι διαχείρισης ενημερώσεων κώδικα που θα μπορούσε να προκαλέσει διακοπή στις λειτουργίες)
- Άλλοι Περιορισμοί. επιχειρησιακοί, λειτουργικοί και τεχνικοί περιορισμοί που σημαίνουν ότι μια συνεχής διαδικασία μπορεί να εκτελεστεί για τρία χρόνια πριν από έναν προγραμματισμένο τερματισμό λειτουργίας, ο οποίος περιορίζει την ικανότητα των ομάδων Επιχειρησιακών Τεχνολογιών (OT) να επιδιορθώνουν συσκευές και να εφαρμόζουν λύσεις ευαίσθητες στον χρόνο (για παράδειγμα, διακοπή παροχής ενέργειας για ενημέρωση μιας λειτουργικής διακομιστής με ενημερωμένη έκδοση κώδικα ασφαλείας)
Αντιμετώπιση προκλήσεων και ασφάλεια Επιχειρησιακών Τεχνολογιών (OT)
Η ανάγκη των οργανισμών για κυβερνοασφάλεια εγείρει κρίσιμες ανησυχίες τόσο για τις Επιχειρησιακές Τεχνολογίες (OT) όσο και για τις Τεχνολογίες Πληροφορικής (IT), αλλά υπάρχουν θεμελιώδεις διαφορές στον τρόπο προστασίας των δύο που απαιτούν διαφορετικές προσεγγίσεις. Μία από τις κύριες διαφορές είναι οι τύποι περιουσιακών στοιχείων που πρέπει να προστατεύονται σε περιβάλλοντα πληροφορικής έναντι αυτών των Επιχειρησιακών Τεχνολογιών (OT). Όπως αναφέρθηκε προηγουμένως, τα συστήματα πληροφορικής χρησιμοποιούνται κυρίως για την αποθήκευση και επεξεργασία δεδομένων, ενώ τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) ελέγχουν φυσικές διαδικασίες και συστήματα. Αυτό σημαίνει ότι η ασφάλεια στον κυβερνοχώρο πληροφορικής επικεντρώνεται κυρίως στην προστασία ευαίσθητων πληροφοριών όπως αριθμοί κοινωνικής ασφάλισης, προστατευμένες πληροφορίες υγείας (PHI) ή αρχεία εκπαίδευσης. Ο αντίκτυπος μιας κυβερνοεπίθεσης σε ευαίσθητα δεδομένα, για παράδειγμα, μπορεί να οδηγήσει σε ζημιά στη φήμη, κλοπή, οικονομικές απώλειες ή πρόστιμα.
Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) από την άλλη πλευρά εστιάζουν στη διασφάλιση της συνέχειας και της αξιοπιστίας των υποδομών ζωτικής σημασίας. Σε αντίθεση με τις Τεχνολογίες Πληροφορικής (IT), οι συσκευές Επιχειρησιακών Τεχνολογιών (OT) που παρέχουν αυτές τις κρίσιμες λειτουργίες μπορούν να έχουν διάρκεια ζωής αρκετών δεκαετιών και μπορούν να διανεμηθούν ευρέως σε φυσικές τοποθεσίες ή εγκαταστάσεις. Επίσης συνήθως χρησιμοποιούν ιδιόκτητα πρωτόκολλα τα οποία δεν μπορούν να αποκρυπτογραφηθούν χρησιμοποιώντας παραδοσιακά εργαλεία ασφαλείας, καθιστώντας αδύνατη την πλήρη ορατότητα στο δίκτυο Επιχειρησιακών Τεχνολογιών (OT). Δεδομένου ότι τα δίκτυα Επιχειρησιακών Τεχνολογιών (OT) είναι τόσο εύθραυστα, η χρήση της παραδοσιακής σάρωσης ευπάθειας μπορεί να προκαλέσει αστοχία της συσκευής Επιχειρησιακών Τεχνολογιών (OT) και σε ορισμένες περιπτώσεις, ολόκληρες εγκαταστάσεις μπορούν να τεθούν εκτός σύνδεσης. Επιπλέον, οι συνδέσεις απομακρυσμένης πρόσβασης χρησιμοποιούνται συνήθως από το εσωτερικό προσωπικό υποστήριξης ή από τρίτους προμηθευτές για την εξυπηρέτηση περιουσιακών στοιχείων Επιχειρησιακών Τεχνολογιών (OT). Η ορατότητα σε αυτές τις απομακρυσμένες συνεδρίες είναι απαραίτητη για έλεγχο, διαχείριση αλλαγών και εκτιμήσεις κινδύνου, αλλά οι παραδοσιακές λύσεις απομακρυσμένης πρόσβασης πληροφορικής δεν είναι κατάλληλες για βιομηχανικά περιβάλλοντα.
Οι επιπτώσεις των κυβερνοεπιθέσεων σε περιβάλλοντα Επιχειρησιακών Τεχνολογιών (OT) σε οργανισμούς υποδομής ζωτικής σημασίας μπορεί να έχουν πολύ πιο ολέθριες συνέπειες, όπως τερματισμό λειτουργίας εγκαταστάσεων, δυσλειτουργίες εξοπλισμού και ακόμη και εκρήξεις σταθμών ηλεκτροπαραγωγής. Αυτές οι συνέπειες επηρεάζουν πολύ περισσότερο από τα δεδομένα και ενδέχεται να έχουν αρνητικές επιπτώσεις στην υγεία και την ανθρώπινη ασφάλεια. Ως γνωστόν, η συνδεσιμότητα αυξάνεται ραγδαία και οι ακούσιες συνέπειες σε αυτήν τη συνδεσιμότητα θα γίνουν πιο σοβαρές καθώς οι εγκληματίες του κυβερνοχώρου γίνονται πιο προχωρημένοι στην πολυπλοκότητα των επιθέσεων τους.
Υπό αυτές τις συνθήκες, η διαχείριση της ασφάλειας Επιχειρησιακών Τεχνολογιών (OT) είναι ένα από τα πιο σημαντικά καθήκοντα για τους οργανισμούς. Για να εξασφαλίσουν ένα περιβάλλον Επιχειρησιακών Τεχνολογιών (OT) από κάθε είδους απειλή στον κυβερνοχώρο, οι οργανισμοί μπορούν να δημιουργήσουν ένα πλαίσιο ασφάλειας βασισμένο στις παρακάτω θεμελιώδεις αρχές και διαδικασίες:
- Ασφαλής πρόσβαση/Κεντρική καταγραφή: Η παροχή ασφαλούς πρόσβασης αποτελεί πρόκληση για πολλούς οργανισμούς. Οι οργανισμοί πρέπει να δημιουργήσουν διαφορετική πρόσβαση για διαφορετικούς χρήστες μέσω διαφόρων οδών πρόσβασης. Για να παρέχεται ασφαλής πρόσβαση, η πρόσβαση του χρήστη θα πρέπει να διασφαλίζεται με έλεγχο ταυτότητας πολλαπλών παραγόντων. Ο ασφαλής έλεγχος πρόσβασης μπορεί να επιτευχθεί με κεντρική καταγραφή. Η κεντρική καταγραφή βοηθά στη διαχείριση και ανάλυση όλων των αρχείων καταγραφής για τον εντοπισμό κενών ασφαλείας και τη βελτιστοποίηση της άμυνας.
- Διαχείριση περιουσιακών στοιχείων: Τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) χρησιμεύουν ως ο εγκέφαλος κάθε κλάδου και το πρωταρχικό καθήκον ενός οργανισμού είναι να τα προστατεύει. Πολλά συστήματα Επιχειρησιακών Τεχνολογιών (OT) αντιμετωπίζουν έλλειψη ορατότητας. Πολλοί οργανισμοί δεν γνωρίζουν τον ακριβή αριθμό των συστημάτων Επιχειρησιακών Τεχνολογιών (OT) που διαθέτουν στον οργανισμό τους. Ως μέρος της διαχείρισης περιουσιακών στοιχείων, κάθε οργανισμός πρέπει να έχει πλήρη απογραφή των συστημάτων Επιχειρησιακών Τεχνολογιών (OT). Αυτό θα τους επιτρέψει να γνωρίζουν τι προστατεύουν και να σχεδιάζουν ανάλογα.
- Ανάλυση ευπάθειας λογισμικού: Οι οργανισμοί πρέπει να γνωρίζουν όλες τις εκδόσεις λογισμικού, τις ενημερώσεις και τη συμβατότητα με τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) στο περιβάλλον τους. Η σάρωση ευπάθειας είναι επίσης ένα σημαντικό μέρος της κατανόησης των αδυναμιών.
- Διαχείριση επιδιορθώσεων: Η ενημέρωση κώδικα είναι ένα σημαντικό μέρος της διαχείρισης υλικού και λογισμικού. Οι οργανισμοί πρέπει να γνωρίζουν τις απαιτήσεις επιδιόρθωσης των περιουσιακών στοιχείων που έχουν στην κατοχή τους. Η επιδιόρθωση (patching ) συστημάτων Επιχειρησιακών Τεχνολογιών (OT) είναι μια πολύπλοκη διαδικασία, επομένως η διαδικασία πρέπει να αντιμετωπίζεται με σύνεση. Αυτό σημαίνει ότι μερικές φορές, η αυτόματη επιδιόρθωση Επιχειρησιακών Τεχνολογιών (OT) μπορεί να μην είναι η καλύτερη προσέγγιση. Ωστόσο, αυτό δεν αποκλείει την ανάγκη για ένα λεπτομερές σχέδιο επιδιόρθωσης.
- Τμηματοποίηση Δικτύου: Η τμηματοποίηση δικτύου είναι η σαφής οριοθέτηση μεταξύ μη συνδεδεμένων δικτύων. Ο στόχος είναι να χωριστούν τα μεγάλα δίκτυα σύμφωνα με τις αντίστοιχες λειτουργίες τους. Η τμηματοποίηση μπορεί να βοηθήσει στην απομόνωση ενός συμβάντος. Για παράδειγμα, μια επίθεση κατά του δικτύου ανάπτυξης δεν θα επηρεάσει το δίκτυο πωλήσεων.
- Διαχείριση αντιγράφων ασφαλείας: Τα αντίγραφα ασφαλείας δεδομένων είναι ο πιο αποτελεσματικός τρόπος ανάκτησης από την απώλεια δεδομένων. Οι οργανισμοί πρέπει να δημιουργούν τακτικά αντίγραφα ασφαλείας. Υπάρχουν διαφορετικές μεθοδολογίες δημιουργίας αντιγράφων ασφαλείας, καθώς και βέλτιστες πρακτικές για να διασφαλιστεί ότι τα αντίγραφα ασφαλείας προστατεύονται.
- Ανίχνευση και πρόληψη εισβολής. Οι οργανισμοί οφείλουν να αναπτύξουν κατάλληλα συστήματα ανίχνευσης και πρόληψης εισβολής για τον εντοπισμό και τον αποκλεισμό κακόβουλων δραστηριοτήτων στα οποία θα περιλάβουν και τα συστήματα Επιχειρησιακών Τεχνολογιών (OT).
- Εκπαίδευση και ευαισθητοποίηση. Οι οργανισμοί πρέπει να εκπαιδεύσουν τους υπαλλήλους σχετικά με τη σημασία της κυβερνοασφάλειας συστημάτων Επιχειρησιακών Τεχνολογιών (OT), τις βέλτιστες πρακτικές και τον τρόπο αναγνώρισης πιθανών απειλών.
- Απόκριση σε περιστατικά ασφάλειας. Κρίσιμο παράγοντα για την ασφάλεια του οργανισμού, είναι η καθιέρωση σαφών πρωτόκολλων απόκρισης συμβάντων για την διασφάλιση της απαραίτητης ταχείας δράσης σε περίπτωση παραβίασης της ασφάλειας συστημάτων Επιχειρησιακών Τεχνολογιών (OT).
- Εκτίμηση κινδύνου και τακτικοί έλεγχοι. Οι οργανισμοί πρέπει να διεξάγουν τακτικές αξιολογήσεις κινδύνου Επιχειρησιακών Τεχνολογιών (OT) για τον εντοπισμό τρωτών σημείων των συστημάτων και δικτύων Επιχειρησιακών Τεχνολογιών (OT) και την ιεράρχηση των απαραίτητων διορθωτικών μέτρων ασφάλειας, καθώς και για την αξιολόγηση της αποτελεσματικότητας των ελέγχων ασφαλείας και τον εντοπισμό τομέων προς βελτίωση.
- Διαχείριση προμηθευτών. Ο έλεγχος και η παρακολούθηση των τρίτων προμηθευτών που έχουν πρόσβαση σε συστήματα Επιχειρησιακών Τεχνολογιών (OT) για την διασφάλιση ότι οι πρακτικές ασφαλείας τους ευθυγραμμίζονται με τα πρότυπα του οργανισμού είναι περισσότερο απαραίτητη από ποτέ.
Συνοψίζοντας, η ασφάλεια Επιχειρησιακών Τεχνολογιών (OT) είναι μια εργασία υψηλής προτεραιότητας για κάθε οργανισμό προκειμένου να καλύψει τη ζήτηση της αγοράς και τη διαθεσιμότητα των εγκαταστάσεων. Λόγω της χαμηλής ορατότητας των περιουσιακών στοιχείων, η διαχείριση ασφάλειας Επιχειρησιακών Τεχνολογιών (OT) μπορεί να είναι δύσκολη για τους οργανισμούς. Ένα αποτελεσματικό πρόγραμμα ασφάλειας Επιχειρησιακών Τεχνολογιών (OT) μπορεί να επιτευχθεί με τη σωστή γνώση και τον προσεκτικό σχεδιασμό και εφαρμογή.
Μια κρίσιμη πτυχή για βελτίωση είναι η αξιολόγηση των περιουσιακών στοιχείων και των λειτουργιών των Επιχειρησιακών Τεχνολογιών (OT). Ο συνδυασμός επιχειρησιακών αξιολογήσεων από πάνω προς τα κάτω, σε επίπεδο οργανισμού με αναλύσεις από κάτω προς τα πάνω, περιουσιακών στοιχείων προς περιουσιακά στοιχεία, βοηθά τους οργανισμούς να κατανοήσουν τη σχέση μεταξύ της ωριμότητας Επιχειρησιακών Τεχνολογιών (OT) και των συγκεκριμένων κινδύνων σε επίπεδο τοποθεσίας. Αυτό τους επιτρέπει να συνδέσουν τους κινδύνους με τον επιχειρηματικό αντίκτυπο για να αναπτύξουν συστάσεις για την αποτροπή επιθέσεων.
Η υιοθέτηση μιας διπλής προσέγγισης (που αποτελείται από στοιχεία από πάνω προς τα κάτω και από κάτω προς τα πάνω) για την αξιολόγηση της κυβερνοασφάλειας Επιχειρησιακών Τεχνολογιών (OT) επιτρέπει στους οργανισμούς να εντοπίζουν γρήγορα κρίσιμους κινδύνους για περιβάλλοντα και λειτουργίες Επιχειρησιακών Τεχνολογιών (OT). Αυτό είναι ένα βασικό σημείο εκκίνησης τους οργανισμούς στην προσπάθειά τους για να εξασφαλίσουν προστασία από τις κυβερνοεπιθέσεις που αποτελούν κίνδυνο για τις δραστηριότητές τους.
Τέλος, είναι απαραίτητος ο σχεδιασμός ενός σχεδίου επιχειρηματικής συνέχειας και αποκατάστασης από καταστροφές που θα περιλαμβάνει την υποδομή Επιχειρησιακών Τεχνολογιών (OT). Τις περισσότερες φορές, η φυσική υποδομή παραβλέπεται, πράγμα που σημαίνει ότι τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) συχνά παραλείπεται από τα σχέδια αποκατάστασης καταστροφών και επιχειρηματικής συνέχειας, με πιθανές καταστροφικές συνέπειες σε περίπτωση διακοπής λειτουργίας ή κυβερνοεπίθεσης.
Ένα αποτελεσματικό σχέδιο επιχειρηματικής συνέχειας θα πρέπει να περιλαμβάνει μια ολοκληρωμένη εκτίμηση επιπτώσεων πιθανών σεναρίων παραβίασης, λεπτομέρειες για τις ζημιές που θα μπορούσαν να προκληθούν, πόσο καιρό τα επηρεαζόμενα συστήματα μπορούν να παραμείνουν εκτός σύνδεσης προτού επηρεάσουν σοβαρά τις λειτουργίες και μέτρα που πρέπει να ληφθούν για τον μετριασμό του κινδύνου.
Η υιοθέτηση μιας προσέγγισης βασισμένη στον κίνδυνο για τη φυσική ασφάλεια είναι ζωτικής σημασίας. Για παράδειγμα, μια κυβερνοεπίθεση στο σύστημα διαχείρισης κτιρίου ενός συγκροτήματος γραφείων μπορεί να μην προκαλέσει μαζική αναστάτωση, αλλά μια παρόμοια επίθεση σε μονάδα επεξεργασίας νερού ή σε σταθμό ηλεκτροπαραγωγής θα μπορούσε να θέσει σε κίνδυνο την κρίσιμη παροχή νερού και ενέργειας σε εκατομμύρια ανθρώπους.
Επίλογος
Καθώς οι Επιχειρησιακές Τεχνολογίες (OT) και τα βιομηχανικά συστήματα συνδέονται περισσότερο, γίνονται επίσης πιο εκτεθειμένα σε τρωτά σημεία. Το υψηλό κόστος του εξοπλισμού και η καταστροφική επίπτωση για τις κοινότητες και τις οικονομίες που θα μπορούσε να προκαλέσει μια επίθεση είναι βασικοί παράγοντες για τους οργανισμούς που θέλουν να προστατεύσουν τα βιομηχανικά τους δίκτυα. Αν συνυπολογιστεί ότι ο εξοπλισμός στην πλειοψηφία των περιπτώσεων είναι παλαιού τύπου, αλλά και το πλήθος από διαφορετικούς κανονισμούς ασφαλείας που ενδέχεται να απαγορεύουν οποιεσδήποτε τροποποιήσεις στον εξοπλισμό αλλά και κανονισμούς συμμόρφωσης που απαιτούν τη διάθεση ευαίσθητων δεδομένων σε τρίτους, καθιστά την πρόκληση για την επίτευξη επαρκούς ασφάλειας εξοπλισμού σημαντική.
Όταν τα συστήματα Επιχειρησιακών Τεχνολογιών (OT) και Τεχνολογιών Πληροφορικής (IT) συνεργάζονται αρμονικά, ανακαλύπτονται νέες αποτελεσματικότητες, τα συστήματα μπορούν να παρακολουθούνται και να διαχειρίζονται εξ αποστάσεως και οι οργανισμοί μπορούν να συνειδητοποιήσουν τα ίδια οφέλη ασφαλείας που χρησιμοποιούνται στα διοικητικά συστήματα πληροφορικής. Αυτή η μετάβαση από τα κλειστά σε ανοιχτά συστήματα έχει δημιουργήσει μια σειρά από νέους κινδύνους για την ασφάλεια πληροφοριών που πρέπει να αντιμετωπιστούν αποτελεσματικά για την ολιστική ασφάλεια των οργανισμών.
Για την αντιμετώπιση των προκλήσεων που αναλύθηκαν, οι οργανισμοί πρέπει να εφαρμόσουν μια ολοκληρωμένη στρατηγική κυβερνοασφάλειας Επιχειρησιακών Τεχνολογιών (OT) που περιλαμβάνει αξιολογήσεις κινδύνου, τμηματοποίηση δικτύου, εκπαίδευση ευαισθητοποίησης για την ασφάλεια, σχέδια αντιμετώπισης συμβάντων και χρήση σύγχρονων τεχνολογιών ασφάλειας. Η συνεργασία μεταξύ των ομάδων IT και OT είναι απαραίτητη για να διασφαλιστεί ότι τόσο η τεχνολογία πληροφοριών όσο και η επιχειρησιακή τεχνολογία προστατεύονται επαρκώς από απειλές στον κυβερνοχώρο.