Hrozby voči našej kritickej infraštruktúre predstavujú riziko pre náš spôsob života. Phishing a zneužitie verejne prístupných služieb sú časté metódy získania počiatočného prístupu. Už okolo roku 2013 sa skupina Dragonfly zamerala vo svojej špionážnej kampani na energetické spoločnosti v Európe a USA. Stačí sa pozrieť na verejne známe kybernetické útoky proti Ukrajine od roku 2015, aby sme pochopili efektivitu špionáže a pre-positioning aktivít. V poslednom období napríklad skupina Volt Typhoon prenikla do organizácií a budovala špionážnu sieť v sektoroch energetiky, vodného hospodárstva, dopravy a komunikácií. Táto rozsiahla špionážna aktivita, odhalená v roku 2023 a aktívna už od 2021, bola čiastočne narušená v roku 2024.
Aby bolo OT/ICS prostredie odolné, je nevyhnutné porozumieť základným funkčným požiadavkám kritických systémov – najmä ich integrite a dostupnosti pre udržanie bezpečnosti a riadenia. To si vyžaduje vyváženie ľudského faktora a technológií, ako aj manuálnych a automatizovaných systémov a procesov.
Koncepcia „kritických systémov“ sa začína zdola nahor, teda pochopením toho, čo sa vyrába alebo poskytuje, a ktoré systémy sú okamžite potrebné na zabezpečenie týchto funkcií. Ak sa to spojí s analýzou prevádzkových rizík a procesnou analýzou nebezpečenstiev (PHA), získame jasnejší obraz o tom, čo je „kritické“ a kde sa musí budovať odolnosť. Samozrejme, pohľad na „kritickosť“ sa medzi jednotlivými organizáciami líši.
Mnohé sektory čelia rastúcim prevádzkovým nákladom a zároveň musia implementovať nové technológie a postupy, aby si zachovali konkurencieschopnosť alebo vôbec udržali operačnú životaschopnosť. A práve tu spočíva výzva: organizácie musia neustále balansovať medzi investíciami do nových technológií, architektonickými prístupmi a finančnými obmedzeniami, ktoré limitujú možnosti implementácie bezpečnostných riešení.
Počas rokov sa objavilo množstvo konkurujúcich si, ale dobre mienených filozofií, ako napredovať. Nie sú škodlivé – práve naopak, pomáhajú komunitám adaptovať sa na nové hrozby a dávajú sektorom možnosť vybrať si cestu, ktorá im najviac vyhovuje.
Zároveň prichádzajú nové, potrebné prístupy k regulačnému riadeniu, niektoré ešte len vo fáze návrhov. Regulácia má zmysel, ak stanovuje ciele a zámery bez predpisovania konkrétnych riešení, no príliš preskriptívne nariadenia sa stávajú nepružnými voči agilným protivníkom. Prevádzkovatelia regulovaných systémov musia zostať flexibilní pri rozhodovaní, kde a ako nasadiť kybernetickú bezpečnosť, aby posilnili prevádzkovú odolnosť v meniacom sa prostredí hrozieb.
Niektoré organizácie preniesli IT prístupy do OT, často z dôvodu potreby robustnejšej sieťovej infraštruktúry alebo pre nedostatok OT personálu schopného pokryť oblasť kyberbezpečnosti. Výsledkom sú konflikty, výpadky, a nízka efektivita reakcie na incidenty.
Tieto organizácie často zlyhávajú v zdola nahor prístupe, najmä kvôli veľkosti a komplexnosti svojich OT systémov. Niektoré sa naďalej spoliehajú na tzv. "airgap", ktorý je však v mnohých prípadoch iba vnímaný, nie skutočný. Organizácie často nepoznajú vlastné nasadené riešenia, alebo im nerozumejú – či už ide o ich definíciu airgapu, alebo slepú dôveru v dodávateľov.
V súčasnosti, vzhľadom na potrebu zvyšovať produktivitu, existujú operačné väzby medzi IT, OT a dokonca aj cloudovými riešeniami. Výrobný sektor pozná prepojenie medzi IT a OT už dávno predtým, než vznikol pojem konvergencia.
Niektoré organizácie (vrátane kritickej infraštruktúry) sú stále v počiatočnom štádiu bezpečnostného dozrievania – často bez kvalifikovanej pracovnej sily alebo bez financií na adekvátne kybernetické zabezpečenie. Pre menšie verejné služby je to zásadný problém, keďže ich rozpočty sú orientované na základnú prevádzku a nie na riešenie incidentov.
Zavedenie dodatočných bezpečnostných nástrojov môže viesť k tomu, že:
-sa nepoužívajú
-sú nesprávne spravované
-zvyšujú zraniteľnosť
Organizácie sa musia sústrediť na prevenciu incidentov, ale zároveň musia rozumieť, ako reagovať na incidenty a hlavne ako udržať prevádzku počas incidentu. Kľúčová je úzka spolupráca medzi bezpečnostnými tímami a operáciami.
Regulácia môže pomôcť vytvoriť kultúru a financovanie, ale často dochádza k rozporu medzi bezpečnostnými cieľmi a regulatorným súladom, čo znižuje efektivitu investícií do kybernetickej bezpečnosti.
Spustenie IT-style vulnerability managementu (VM) v OT prostredí so sebou nesie viacero problémov:
Automatizované nasadzovanie môže spôsobiť neplánované výpadky a nestabilitu.
IT metodiky často nekorešpondujú s prevádzkou ICS systémov.
Investície sa sústredia na návratnosť namiesto odolnosti prevádzky.
IT VM programy môžu odvádzať pozornosť od dôležitých OT bezpečnostných aktivít.
Navyše, ICS systémy majú obmedzené bezpečnostné funkcie a adaptabilitu, preto musia byť prioritizácia a realizácia bezpečnostných opatrení zosúladené s prevádzkovými potrebami.
Nezáleží na aktuálnom stave kybernetickej bezpečnosti organizácie. Každý zamestnanec musí rozumieť prevádzkovej misii a aktuálnym hrozbám a rizikám. Úlohou každého obrancu ICS je zabezpečiť neprerušenosť prevádzky pred, počas a po kybernetickom incidente.
Je dobré si pripomenúť, prečo robíme to, čo robíme, a uistiť sa, že naša cesta je v súlade s cieľmi a misiou organizácie. ICS tímy sa často dostávajú do prevádzkových „síl“, kde riešia len každodenné úlohy a nevidia širší obraz. Chýba im prehľad o práci iných tímov, čo je škoda – vzájomné pochopenie zvyšuje efektivitu a zlepšuje obranu.