Αν και η πλειονότητα των βιομηχανικών οργανισμών θεωρούν ότι είναι καλά προετοιμασμένοι για περιστατικά ψηφιακής ασφάλειας, η πεποίθησή τους αυτή, πιθανόν να μην είναι βάσιμη: μία στις δύο εταιρείες ICS (Industrial Control Systems – Βιομηχανικά Συστήματα Ελέγχου) αντιμετώπισε από ένα μέχρι πέντε περιστατικά τον τελευταίο χρόνο, σύμφωνα με έρευνα που πραγματοποίησε η Kaspersky Lab. Κατά μέσο όρο, η αναποτελεσματική ψηφιακή ασφάλεια κοστίζει στους βιομηχανικούς οργανισμούς περίπου 497.000 δολάρια το χρόνο.
Η αναδυόμενη τάση του κλάδου 4.0 θέτει την ψηφιακή ασφάλεια πρώτη προτεραιότητα για όλους τους βιομηχανικούς οργανισμούς παγκοσμίως, προσθέτοντας νέες προκλήσεις προς αντιμετώπιση για τα ICS. Οι προκλήσεις περιλαμβάνουν τη σύγκλιση της τεχνολογίας πληροφορικής και της επιχειρησιακής τεχνολογίας, αλλά και τη διαθεσιμότητα δικτύων βιομηχανικού ελέγχου σε εξωτερικούς παρόχους. Για να εμβαθύνει περισσότερο στα προβλήματα και τις ευκαιρίες που αντιμετωπίζουν σήμερα οι οργανισμοί ICS, η Kaspersky Lab και η Business Advantage πραγματοποίησαν μία παγκόσμια έρευνα στην οποία συμμετείχαν 359 επαγγελματίες του τομέα της βιομηχανικής ψηφιακής ασφάλειας από τον Φεβρουάριο μέχρι τον Απρίλιο του 2017. Ένα από τα κύρια ευρήματα της έρευνας έδειξε ένα κενό ανάμεσα στην πραγματικότητα και την επικρατούσα αντίληψη για τα ICS περιστατικά ασφάλειας. Για παράδειγμα, παρά την πεποίθηση του 83% των ερωτηθέντων ότι είναι καλά προετοιμασμένοι για να αντιμετωπίσουν ένα OT/ICS περιστατικό ψηφιακής ασφάλειας, οι μισές εταιρείες αντιμετώπισαν από ένα μέχρι πέντε περιστατικά ασφαλείας στον τομέα της Πληροφορικής τους τελευταίους 12 μήνες, ενώ το 4% από αυτές αντιμετώπισαν περισσότερα από έξι περιστατικά. Αυτό εγείρει μία σημαντική ερώτηση – τι πρέπει να αλλάξει στις στρατηγικές ασφάλειας και τα μέσα προστασίας αυτών των οργανισμών, ώστε να μπορούν να προστατεύουν αποτελεσματικότερα τις σημαντικές επιχειρηματικές τους πληροφορίες και τις τεχνολογικές τους διαδικασίες;
Εμπειρία περιστατικών: Οι ψηφιακές απειλές προ των πυλών
Οι εταιρείες ICS γνωρίζουν αρκετά καλά τους κινδύνους που έχουν να αντιμετωπίσουν: το 74% των ερωτηθέντων θεωρεί ότι ενδέχεται να δεχτεί μία επίθεση που σχετίζεται με την ψηφιακή ασφάλεια στα συστήματα τους. Ανεξάρτητα από τη μεγάλη επίγνωση για τις νέες απειλές, όπως οι στοχευμένες επιθέσεις και τα ransomware προγράμματα, το μεγαλύτερο τρωτό σημείο για την πλειονότητα των οργανισμών ICS παραμένει το συμβατικό κακόβουλο λογισμικό: αυτό είναι στην κορυφή της λίστας των περιστατικών ασφάλειας – με το 56% των ερωτηθέντων να θεωρεί ότι είναι ο πιο ανησυχητικός τομέας. Σε αυτήν την περίπτωση, η εσφαλμένη αντίληψη συναντά την πραγματικότητα: ένας στους δύο ερωτηθέντες έπρεπε να αντιμετωπίσει τις συνέπειες του συμβατικού κακόβουλου λογισμικού καθ’ όλη τη διάρκεια του 2016.
Υπάρχει όμως και μια αναντιστοιχία μεταξύ των σφαλμάτων των εργαζομένων και των ακούσιων ενεργειών – τα οποία είναι πολύ πιο απειλητικά για τους οργανισμούς ICS από ό,τι οι φορείς από την εφοδιαστική αλυσίδα και οι συνεργάτες ή η δολιοφθορά και οι φυσικές καταστροφές από εξωτερικούς παράγοντες. Ωστόσο, οι εξωτερικοί παράγοντες βρίσκονται στις τρεις κορυφαίες ανησυχίες των οργανισμών ICS.
Εν τω μεταξύ, οι τρεις κορυφαίες συνέπειες από περιστατικά ασφαλείας περιλαμβάνουν βλάβη στην ποιότητα των προϊόντων και των υπηρεσιών, απώλεια προσωπικών ή εμπιστευτικών πληροφοριών και
Στρατηγικές Ασφάλειας: Από το «Air Gap» έως την Ανίχνευση Δυσλειτουργιών στο Δίκτυο
Το 86% των οργανισμών που ρωτήθηκαν έχουν λάβει εγκεκριμένη και τεκμηριωμένη πολιτική ICS ψηφιακής ασφάλειας, με στόχο την προστασία τους από πιθανά περιστατικά. Ωστόσο, η εμπειρία σε περιστατικά αποδεικνύει ότι τα πρωτόκολλα στην ψηφιακή ασφάλεια από μόνα τους δεν επαρκούν. Αντιμετωπίζοντας την έλλειψη τόσο της εσωτερικής όσο και της εξωτερικής εξειδίκευσης στην ασφάλεια των πληροφοριακών συστημάτων, οι βιομηχανικοί οργανισμοί παραδέχονται ότι η έλλειψη ικανοτήτων είναι η μεγαλύτερη ανησυχία σε ό,τι έγκειται στην ασφάλεια των Βιομηχανικών Συστημάτων Ελέγχου. Αυτό είναι εξαιρετικά ανησυχητικό, καθώς δείχνει ότι οι βιομηχανικοί οργανισμοί δεν είναι πάντοτε έτοιμοι να «πολεμήσουν» τις επιθέσεις, ενώ βρίσκονται συνεχώς στο επίκεντρο του προβλήματος. Μερικές φορές ακόμη και εξαιτίας των ίδιων τους των υπαλλήλων. «Οι εσωτερικές απειλές είναι πιο επικίνδυνες. Είμαστε καλά προστατευμένοι από εξωτερικές απειλές, αλλά ό,τι γίνεται εσωτερικά έχει μια άμεση πορεία χωρίς ενδιάμεσο τείχος προστασίας. Η απειλή προέρχεται από τα μέλη του προσωπικού εν αγνοία τους», παραδέχτηκε ένας επαγγελματίας στον τομέα των ICS από εργοστάσιο παραγωγής προϊόντων στη Γερμανία.
Από τη θετική πλευρά, οι στρατηγικές ασφάλειας που υιοθετούν οι εργαζόμενοι σε ICS φαίνονται αρκετά σταθερές. Η πλειονότητα των εταιρειών έχουν ήδη εγκαταλείψει τη χρήση «air gap» ως μέτρο ασφάλειας και υιοθετούν ολοκληρωμένες λύσεις στον τομέα της ψηφιακής ασφάλειας. Τους επόμενους 12 μήνες, οι ερωτηθέντες σκοπεύουν να εφαρμόσουν εργαλεία ανίχνευσης βιομηχανικών δυσλειτουργιών (42%) και εκπαίδευση ευαισθητοποίησης του προσωπικού σε θέματα ασφάλειας. Η ανίχνευση απειλών βιομηχανικής δυσλειτουργίας είναι ιδιαίτερα σημαντική, καθώς μία στις δύο εταιρείες ICS που συμμετείχε στην έρευνα παραδέχτηκε ότι εξωτερικοί πάροχοι έχουν πρόσβαση σε δίκτυα βιομηχανικού ελέγχου στον οργανισμό τους, διευρύνοντας την περίμετρο απειλής.
«Η αυξανόμενη διασύνδεση των IT και ΟΤ συστημάτων δημιουργεί νέες προκλήσεις ασφάλειας και απαιτεί μεγάλη ετοιμότητα από τα μέλη του διοικητικού συμβουλίου, τους μηχανικούς και τις ομάδες ασφάλειας του τομέα της Πληροφορικής. Χρειάζονται μια σταθερή κατανόηση του τοπίου απειλών, καλά μελετημένα μέσα προστασίας και πρέπει να εξασφαλίσουν την ευαισθητοποίηση των εργαζομένων», δήλωσε ο Andrey Suvorov, Head of Critical Infrastructure Protection της Kaspersky Lab. «Με τις ψηφιακές απειλές να βρίσκονται προ των πυλών για τις εταιρείες ICS, είναι καλύτερο να είμαστε προετοιμασμένοι. Ο μετριασμός των περιστατικών ασφάλειας θα είναι πολύ πιο εύκολος για όσους έχουν αξιοποιήσει τα οφέλη μιας προσαρμοσμένης λύσης ασφάλειας που έχει κατασκευαστεί έχοντας λάβει υπ’ όψιν τις ανάγκες των ICS».