Jak může globální standard kybernetické bezpečnosti a schéma posouzení shody ušetřit prostoje a ztrátu zisků.

Ve světě všudypřítomné konektivity tvoří důvěryhodné zařízení páteř bezpečných síťových prostředí. Ale s tím, jak stále více výrobců a průmyslových odvětví vyvíjí a nasazuje chytrá zařízení průmyslového internetu věcí (IIoT), se zabezpečení a bezpečnost systémů poskytujících základní operace stává důležitější a náročnější na správu. Tyto složitosti jsou částečně způsobeny chybějícím globálním univerzálně přijímaným standardem zabezpečení a schématem hodnocení shody určenými k ověření připojených produktů.

Země na celém světě dnes vyvíjejí požadavky bez ohledu na globální shodu. Tato mezera ve shodě ztěžuje výrobcům určení norem, podle kterých by měli vyrábět a dodržovat je, zejména proto, že se výrobky vyrábějí a prodávají po celém světě. Na základě toho věřím, že partneři v průmyslovém odvětví a orgány vytvářející normy musí provést aktivní kroky ke kodifikaci bezpečnostních očekávání a osvědčených postupů pro ekosystémy IIoT. To pomůže zajistit konzistentní integraci zabezpečení do produktů a v konečném důsledku ušetří společnostem miliardy dolarů za návrh systému a náklady na obnovu po kybernetickém útoku.

Realita v oblasti zabezpečení, které firmy čelí

Při integraci zařízení IIoT do zastaralých systémů a řešení na vzestupu se kritické infrastruktury a ostatní sítě řídicích systémů stávají náchylnějšími ke kybernetickým útokům, jejichž náprava je stále náročnější. Celkové ztráty způsobené kybernetickými zločiny se dnes odhadují na 600 miliard USD,¹, což je 0,8 procenta globálního HDP. Několik incidentů z posledních let se projevilo v řadě vážných narušení zabezpečení, která přitáhla celosvětovou pozornost, včetně malwaru „Industroyer“ nebo „Crash Override“ z roku 2015, který způsobil zhroucení elektrické sítě na Ukrajině a masivní útoky Mirai botnet v roce 2016, které narušily bezpečnostní kamery a směrovače IoT a způsobily několik distribuovaných útoků odepření služby.

Takové útoky jsou obvykle důmyslnější a škodlivější než spousta kybernetických útoků před IIoT v důsledku jejich rozsahu a fyzických důsledků pro systém. A jejich náprava je náročnější. Vlády a výrobci sice vydávají varování před kybernetickou obranou a navrhují její aktualizace, ale protokoly závisí na jednotlivých majitelích aktiv, kteří jim věnují pozornost a dodržují podrobné pokyny. I když doporučení vydávaná státními agenturami a výrobci přicházejí většinou včas, mohou být postupy aktualizace systémů pomalé, neefektivní a těžkopádné. Příliš často jsou také společnosti limitovány nedostatečnou systémovou architekturou, která podporuje aktualizace systému „za provozu“, aniž by to mělo vliv na prostoje. Vyřazení těchto systémů kritické infrastruktury z provozu za účelem aktualizace by vedlo ke ztrátě produktivity a příjmů; aktualizace kybernetické bezpečnosti musí být nejčastěji naplánovány nebo sladěny s ročním plánem údržby. 

Výzvy a potenciální řešení zabezpečení propojených ekosystémů

Jedinečné vlastnosti technologií IIoT představují technické a ekonomické výzvy. Z technického pohledu mají zařízení IIoT omezené výpočetní a úložné schopnosti, nejsou určeny na podporu účinných bezpečnostních opatření, jako je pokročilé šifrování nebo správa chyb zabezpečení a oprav. Řešení této výzvy vyžaduje vývoj jednoduchých šifrovacích algoritmů a obchodních modelů, které umožňují včasnější upgrady produktů IIoT a systémů návrhů na podporu upgradů firmwaru pomocí bezdrátového přenosu. Podle mého názoru je bezpečnost sítě nebo systému jenom tak silná jako nejslabší článek. Organizace by měly uplatňovat základní hygienu kybernetické bezpečnosti a průběžně analyzovat vznikající hrozby k zajištění bezpečného nasazení systémů. Společnosti by také měly pořídit soupis všeho, co je připojené k jejich sítím a využívat model nulové důvěry. To bude vyžadovat partnerství a spolupráci s důvěryhodnými dodavateli při určování hrozeb. 

Ekonomické výzvy zabezpečení ekosystémů IIoT sahají od složitého výrobního dodavatelského řetězce a náročnosti přidělení jasných odpovědností k výrobcům a systémovým integrátorům u jakékoli zavedené chyby zabezpečení. Většina produktů a sestavení systémů sestává ze součástí od různých dodavatelů. Kde má ale začínat a končit prvek důvěry, když neexistuje žádné globální schéma posouzení vyhovění předpisům zajišťující, že integrované součásti postrádají chyby zabezpečení? Skvělým výchozím bodem je společná sada ověřených požadavků na produkty na globální úrovni, podobná té, kterou už používáme k posouzení bezpečnosti. Možná řešení záhady kolem spolehlivosti zahrnují posouzení shody zařízení IIoT třetí stranou i pravidelnou inventuru nasazených technologií IIoT v sítích zajišťující, že jsou instalována pouze důvěryhodná zařízení. 

Absence společného globálního standardu kybernetické bezpečnosti

I když jsou řešení, která zmiňuji, uskutečnitelná, nedostatek harmonizovaných globálních produktových norem pro zabezpečení IIoT dramaticky zpomaluje přijetí a nasazení takových možností. Nekoordinované normy, pokyny a regulace kybernetické bezpečnosti od různých entit po celém světě znesnadňují nebo dokonce znemožňují vyrovnání univerzálních požadavků kybernetické bezpečnosti IIoT na systémové úrovni. Spousta zemí, regionů a místních vlád vyvíjí své vlastní osvědčené postupy v oblasti kybernetické bezpečnosti a normy pro zařízení IIoT a kritickou infrastrukturu, což vede k nedostatečné paritě. Ve spoustě případů tyto vládní orgány postrádají odbornost nezbytnou pro zvládání spletitostí zařízení IIoT a jejich aplikaci.

Normy a požadavky kybernetické bezpečnosti jsou navíc značně fragmentované podle regionu a země s tím, jak vlády začaly regulovat technologie IIoT velmi rozdílnými a někdy konfliktními způsoby.  To vytváří výzvy pro výrobce a systémové integrátory, kteří se pokoušejí vyvíjet a nasazovat služby pro globální trh.

Schémata hodnocení globálního standardu průmyslu a vyhovění rychlému sledování pro IIoT

Orgány pro odvětví a normy musí podporovat vhodná schémata posuzování vyhovění, která pomůžou s ověřením globálních požadavků na produkty, a systémy k řešení složitostí vyhovění více požadavkům z různých zemí a oblastí.

Mám silný dojem, že orgány vytvářející normy mohou udávat tempo ve vývoji globálních norem kybernetické bezpečnosti IIoT včetně vhodných schémat posouzení vyhovění. Globální normy budou také dláždit cestu korporátním a akademickým partnerstvím – tyto vztahy budou utvářet silnější talentovou základnu potřebnou pro řešení úbytku kvalifikovaných pracovníků v oblasti kybernetické bezpečnosti a zejména IIoT. 

Co mohou jednotlivá průmyslová odvětví nyní podniknout

Stojí před námi výzva spočívající v generování dalšího dialogu napříč orgány vytvářejícími normy prostřednictvím vzdělávání výrobců, dodavatelů a spotřebitelů IIoT o rizicích spojených s nezabezpečenými produkty a řešeními. I když cítím, že orgány vytvářející normy mohou pomoci řídit diskuse o kybernetické bezpečnosti, je kybernetická bezpečnost sama o sobě společnou snahou – a spolupráce nějakou dobu trvá, zejména v průmyslových odvětvích, která pomaleji reagují na pokroky v oblasti technologií.

S tím, jak jednotlivá průmyslová odvětví začínají postupně posouvat kybernetickou bezpečnost kupředu, mohou vlastníci firem a správce zařízení už dnes podnikat kroky ke snižování rizik pro kybernetickou bezpečnost v systémech a sítích: 

Integrace kybernetické bezpečnosti do návrhu a vývoje produktů 

Bezpečnost je nepřetržitá cesta. Náročnost produktů, scénáře hrozeb a technologie se vyvíjejí, takže je zásadní mít nastavené protokoly pro každou fázi cyklu životnosti vývoje produktů – od modelování hrozeb až po analýzu, ověřování a průběžnou správu požadavků. Tyto postupy pomáhají organizacím zjišťovat nově vznikající hrozby, identifikovat způsoby obrany proti nim a pomáhat zákazníkům maximalizovat účinnost, spolehlivost a bezpečnost. Proces Secure Development Life Cycle (SDLC) společnosti Eaton je skvělým příkladem modelu, kde je zabezpečení integrováno v každé fázi vývoje produktů.  

Použití základní hygieny kybernetické bezpečnosti v sítích

Základní hygiena kybernetické bezpečnosti zajišťuje trvalý a aktuální inventář aktiv a znalost toho, co je k síti připojeno. To by mělo zahrnovat fyzická a datová aktiva, aplikaci záplat po objevení zranitelností, zajištění přísných zásad řízení přístupu a průběžné sledování protokolů a systémů z hlediska neobvyklého chování. Organizace by také měly pracovat na naplánování řady aktualizací kybernetické bezpečnosti na základě posouzení úrovně rizik prováděných u každé bezpečnostní záplaty.

Spolupráce s erudovanými třetími stranami

Vypracování přísných postupů v každé fázi vývoje produktu pomáhá stanovit měřitelná kritéria kybernetické bezpečnosti pro produkty a systémy připojené k síti. Partnerství s důvěryhodnými třetími stranami může organizacím pomoci rozšířit jejich osvědčené postupy v oblasti kybernetické bezpečnosti, protože tyto instituce často vytvářejí široce přijímané směrnice v mezinárodní komunitě. Naše spolupráce se společností UL je fungujícím modelem, protože společnost Eaton nyní testuje produkty s inteligencí nebo vestavěnou logikou podle klíčových aspektů norem UL 2900-1 a IEC 62443, které vyžadují povinné testovací protokoly na zranitelnost, slabiny softwaru a malware.

Teď je čas jednat.

Výrobci si už nemohou dovolit pracovat s různými normami zabezpečení. Kybernetičtí zločinci a technologie, které využívají, se stále vyvíjejí, a různé normy postrádají jednotnost, která je potřebná pro boj s nejnovějšími hrozbami.

Nyní nastal čas řídit posouzení globální shody pro kybernetickou bezpečnost napříč jednotlivými průmyslovými odvětvími. Orgány pro průmyslová odvětví a normy po celém světě musí urychlit dialog potřebný k řešení dnešních výzev v oblasti kybernetické bezpečnosti a držet krok s měnícími se technologiemi, než bude příliš pozdě je dohnat.

Odkazy

1, 2 - Lau, Lynette (únor 2018). „Pandemie“ kybernetického zločinu svět pravděpodobně v loňském roce stála 600 miliard USD. Získáno z: https://www.csis.org/analysis/economic-impact-cybercrime.