Ochrona łańcuchów dostaw przed cyberatakami
W ostatnich miesiącach w wielu badaniach i raportach podkreślano alarmujący wzrost liczby cyberataków na łańcuchy dostaw. Jedno z takich badań, przeprowadzonych w obu Amerykach, Azji i Europie, sugeruje, że w ostatnim roku dwie trzecie firm doświadczyło cyberataku na ich łańcuch dostaw.
Łańcuch dostaw to droga, jaką produkty i usługi muszą przejść od dostawcy do klienta. To system, który obejmuje organizacje, ludzi, działania, informacje i zasoby. Łańcuchy dostaw są szczególnie wrażliwe ze względu na ich złożone interakcje m.in. z działaniami zakładu, pracownikami, klientami i spedytorami. Trudno poznać te mechanizmy, nie mówiąc już o ich kontroli oraz procedurach bezpieczeństwa wykorzystywanych wzdłuż całego łańcucha.
Inną kwestią wskazaną przez raport Departamentu Obrony Stanów Zjednoczonych jest to, że bezpieczeństwo w przemyśle wytwórczym koncentruje się na usługach w chmurze, zarządzaniu danymi i innych rodzajach technologii informacyjnych (IT), jednocześnie nie uwzględniając bezpieczeństwa łańcucha dostaw, z których wiele działa na podstawie technologii operacyjnej (OT). Głównym problemem Pentagonu jest oczywiście amerykański przemysł obronny, ale kwestie uwzględnione w raporcie dotyczą wszystkich sektorów przemysłowych i infrastruktury krytycznej na całym świecie.
Cyberbezpieczeństwo IT i OT
Programy cyberbezpieczeństwa zbyt często bazują na rozwiązaniach IT. W rzeczywistości ograniczenia operacyjne w sektorach przemysłu takich jak produkcja, energetyka, ochrona zdrowia i transport oznaczają, że podejście zaadaptowane w kwestii cyberbezpieczeństwa wymaga zabezpieczenia OT.
IT koncentruje się głównie na danych i ich zdolności do swobodnego i bezpiecznego przepływu. Istnieje w świecie wirtualnym, w którym dane są przechowywane, pobierane, przesyłane i edytowane. IT jest płynny i ma wiele ruchomych części i bram, co czyni go podatnym na ataki. Obrona przed nimi polega na zabezpieczeniu każdej warstwy oraz ciągłym identyfikowaniu i korygowaniu słabości, aby zapewnić ciągłość przepływu danych.
OT przeciwnie, należy do świata fizycznego. Podczas gdy dział IT musi chronić każdą warstwę systemu, OT obejmuje utrzymanie kontroli nad systemami: włączania i wyłączania, zamykania lub otwierania. OT zapewnia poprawne wykonanie wszystkich działań. Wszystko w OT jest nastawione na fizyczny ruch i kontrolę urządzeń i procesów, aby system działał zgodnie z przeznaczeniem, ze szczególnym naciskiem na bezpieczeństwo i zwiększoną wydajność. Na przykład OT pomaga zagwarantować, że generator włącza się w tryb online, w sytuacji wzrostu zapotrzebowania na energię elektryczną lub że zawór przelewowy otwiera się, gdy zbiornik chemikaliów jest pełny, aby uniknąć wycieków niebezpiecznych substancji.
W przeszłości IT i OT miały odrębne role. Zespoły OT pracowały z zamkniętymi systemami, zależnymi od fizycznych mechanizmów bezpieczeństwa, zapewniającymi ciągłość działania. Wraz z pojawieniem się Przemysłowego Internetu Rzeczy (Industrial Internet of Things - IIoT) oraz integracją fizycznych maszyn z czujnikami i oprogramowaniem w sieci, granice między tymi dwoma technologiami zacierają się. Ponieważ coraz więcej obiektów łączy się, komunikuje ze sobą i wchodzi w interakcje, nastąpił wzrost liczby punktów końcowych i potencjalnych sposobów dostępu cyberprzestępców do sieci i systemów infrastruktury.
Ochrona łańcuchów dostaw
To prowadzi nas z powrotem do łańcuchów dostaw, skąd prawdopodobnie bierze się ogromna większość cyberprzestępstw. I znowu, istnieją istotne różnice pomiędzy IT i OT.
Łańcuch dostaw IT definiuje się jako „zbiór organizacji z powiązanymi zbiorami zasobów i procesami, z których każdy działa jako nabywca, dostawca lub obie te osoby, aby tworzyć kolejne relacje z dostawcami ustanowione w momencie złożenia zamówienia, podpisania umowy lub innej formalnej umowy zaopatrzeniowej”.
Definicja łańcucha dostaw dla inteligentnych zakładów produkcyjnych obejmowałaby nie tylko IT, lecz także łańcuch dostaw OT. Dotyczy to osób (programistów, dostawców, sprzedawców i pracowników pracujących w OT) oraz procesów i produktów: elementów i systemów centralnych dla OT, takich jak automatyka przemysłowa i systemy kontroli (IACS), a także coraz częściej elementy Internetu Rzeczy (IoT).
W ochronie łańcucha dostaw kluczowe znaczenie ma zainstalowanie bezpiecznej technologii. Stara technologia jest poważnym problemem, zwłaszcza gdy zagrożone urządzenia stają się bramą do systemów kontroli przemysłowej lub kontroli nadzorczej i systemów gromadzenia danych (SCADA).
Znaczenie zarządzania ryzykiem
Bezpieczna technologia stanowi tylko część wyzwania; sama w sobie nie zapewni odporności. Najbezpieczniejsze podejście polega na zrozumieniu i zmniejszeniu ryzyka w celu zastosowania właściwej ochrony w odpowiednich punktach systemu. Dotyczy to zarówno IT, jak i OT.