Bez sigurnosti nema ni stabilnosti

Fokusom na kibernetičku sigurnost OT-ja jačamo gospodarstvo

Fokusom na kibernetičku sigurnost OT-ja jačamo gospodarstvo
Marko Gulan, Schneider Electric
Dražen Tomić / Tomich Productions

S pojmom, funkcijom i važnosti IT-ja već smo upoznati, no veliki nam je izazov ispravno adresirati izazove operativnih tehnologija, tj. OT-ja. OT, većinom nam je poznat iz industrijskih postrojenja i industrijske automatizacije. OT sustavi (Operational Technology) čine (računalni) sustavi ukljucujuci hardver i softver, koji se koriste za nadzor, upravljanje, automatizaciju i kontrolu procesa u industriji, energetici, prometu i mnogim drugim sektorima.

Ova vrsta sustava se razlikuje od IT sustava (Information Technology) jer je usmjerena na upravljanje stvarnim sustavima i procesima u fizičkom svijetu, poput proizvodnih linija, rafinerija i električnih mreža. Uobičajen je u industrijskim kontrolnim sustavima, tj . ICS-u, kao što je SCADA. OT sustavi poprilično su, za razliku od IT sustava, kruti i nisu predviđeni da budu dinamični kao IT sustavi. Industrijski kontrolni sustavi obično su kritične aplikacije sa rigoroznim zahtjevima visoke dostupnosti. Industrijski kontrolni sustavi obuhvaćaju sustave koji se koriste za kontrolu i nadzor industrijskih procesa.

OT sustavi okosnica su i sustava kritične infrastrukture i posljednjih desetak godina napadi na njih su sve češći, a karakteristično je i to da su posljedice napada na OT daleko ozbiljnije nego napadi na IT sustave. Kako OT napreduje i razvija se, time postaju sve privlačnije mete napadačima. Proporcionalno tome potreba za sigurnosnim mjerama raste.

Sigurnost OT mreža danas izuzetno važna

Ne baš tako davno tvrtke su odlučivale da OT sustave nije potrebno ažurirati dijelom iz razloga što je jednom postavljeni OT sustav bio predviđen da kao takav radi desetljećima, a dijelom zbog izbora industrije da bira stabilnost i dostupnost sustava na štetu sigurnosti. IT trendovi i inovacije povezane s digitalnom transformacijom utječu na OT/ICS područje. Industrijski IoT (IIoT), na primjer, dovodi do višeg stupnja povezanosti s internetom. Zbog ove sve veće povezanosti povećavaju se operativni sigurnosni rizici. Svi podsegmenti Industrijskog IoT-a ključni su za OT/ICS sustave. Najrelevantniji podsegmenti za OT/ICS su pametna energija, pametni transport, industrija 4.0, pametno mjerenje i pametni gradovi. Svi su ti segmenti međusobno povezani u različitim stupnjevima.

Međutim, to znači da dobar dio ovakvih postrojenja uslijed umrežavanja OT sustava u Industriji 4.0 (p)ostaju ranjivi. Kako industrijski sustavi postaju sve povezaniji, oni su također izloženi sve većoj ranjivosti. Prijelaz sa zatvorenih na otvorene sustave, poznat i kao IT-OT konvergencija, stvara nove sigurnosne rizike kojima se treba pozabaviti.

Ove su ranjivosti savršene za kibernetičke napade koji traže iskorištavanje ranjivosti u industrijskim mrežama. Stoga je sigurnost OT mreža danas izuzetno važna, jer dovoljan je samo jedan uspješan napad da stane proizvodnja, ili da se prekine isporuka struje i/ili vode određenoj regiji. Broj napada koji specifično ciljaju OT okruženja je u eksponencijalnom porastu. Neka istraživanja ukazuju i na činjenicu da je 90 posto gore navedenih organizacija doživjelo barem jedan kibernetički napad u prethodne dvije godine.

Biranjem stabilnosti na štetu sigurnosti prije je, možda, bila i opravdana odluka (iako nikada zapostavljanje sigurnosti nije najbolja opcija), ali danas te odluke pokazuju svu svoju ranjivost i manjkavost jer OT sustavi diljem svijeta danas pod pritiskom djelovanja iz kiber prostora staju s radom. Dakle bez sigurnosti nema ni stabilnosti.

Konvergencija IT-ja i OT-ja imperativ je industrije

Adresiranje ključnih izazova OT-ja, naglasili smo, danas je ogroman problem i najčešće tvrtke OT sustave tretiraju kao IT sustave, s obzirom da je došlo do „brisanja“ granice zbog sve većeg broja OT sustava koji imaju mrežno povezane OT uređaje. Svakodnevno se povećava i broj IoT/IIoT uređaja koji u ogromnim mrežama izmjenjuju u realnom vremenu ogromne količine podataka.

Konvergencija danas može postati kompliciran i neugodan proces i većina industrije ga odgađa. Međutim jednom integrirana IT/OT sigurnosna strategija osigurava da sva područja organizacija dobiju potreban sigurnosni fokus. U idealnom slučaju, IT-OT konvergencija daje organizacijama jedinstveni pogled na industrijske sustave, zajedno s rješenjima za upravljanje procesima koja osiguravaju isporuku točnih informacija ljudima, prekidačima, strojevima, senzorima i uređajima u najboljem formatu.

Izazov konvergencije je pronaći zajednički jezik triju strana, tj organizacijskih cjelina, a to su menadžment koji je čuo za kibernetičku sigurnost, ali o njoj najčešće ne mari već se oslanja na IT odjel. IT odjel pak razumije tehnološku stranu kibernetičke sigurnosti i nisu upoznati sa industrijskim sustavima i procesima, pa niti sa OT sustavima, dok OT odjel savršeno dobro razumije sustave automatizacije, ali im je kibernetička sigurnost relativno strani pojam. Ključ uspjeha i dugoročne sigurnosti, pa posljedično tome i stabilnosti leži u sustavnom pristupu svih triju navedenih strana. Ukoliko organizacija bude promatrala ovaj izazov kao tri odvojena „otoka“ sustavi će biti gotovo pa jednaki sustavima danas, a oni su većinom nedovoljno sigurni i nedovoljno otporni neotporni.

 

* O autoru: Marko Gulan, Cybersecurity Consultant SEE, Schneider Electric