Definovanie problému
Kybernetická bezpečnosť sa netýka len finančných inštitúcií či telekomunikačných spoločností. Vďaka čoraz širšiemu nasadzovaniu priemyselných riadiacich systémov vzrástli riziká v priemyselných a sieťových odvetviach za posledných 10 rokov exponenciálne. Od prevádzkových a distribuovaných riadiacich systémov a inteligentných meračov využívajúcich bezdrôtovú komunikáciu – pri každej snahe zlepšiť prevádzkovú efektívnosť prostredníctvom automatizácie a digitalizácie sa vynárajú nové výzvy spojené s kybernetickou bezpečnosťou IT systémov.
Vo svete vodárenských spoločností sa systémy, údaje v týchto systémoch a prístup k týmto systémom považujú za kybernetické podnikové technické prostriedky a podľa toho by mali byť aj hodnotené. Podľa nedávno vydaného článku v renomovanom periodiku The Wall Street Journal Ministerstvo obrany USA začiatkom minulého roku konštatovalo, že hackeri zo zahraničia získali prístup do sieťových spoločností v USA prostredníctvom sietí dôveryhodných dodávateľov týchto spoločností.
Od narušenia údajov až po prerušenie služieb domácim spotrebiteľom a komerčnému sektoru sa používatelia priemyselných riadiacich systémov stávajú z hľadiska narušenia kybernetickej bezpečnosti zraniteľnejšími než kedykoľvek predtým. Preč sú časy, keď si vedenie spoločnosti mohlo povedať: „Systémy máme oddelené vzduchoprázdnom, takže sme eliminovali riziká a hrozby z externého prostredia.“ Z pohľadu kybernetickej bezpečnosti je dôležité zosúladenie bezpečnostnej politiky s celopodnikovou stratégiou s cieľom riadenia rizika digitálnych systémov a celého podniku.
Šesť princípov zabezpečenia kybernetickej bezpečnosti
Bez ohľadu na konkrétne priemyselné normy (IEC 62443 2-4,NIST 800-53, ISA-99, NERC-CIP atď.) ponúkajú nasledujúce princípy zabezpečenia kybernetickej bezpečnosti návod sieťovým spoločnostiam, ako postupovať pri budovaní bezpečnejších a odolnejších systémov:
Identifikácia
Identifikujte nielen potenciálne hrozby, ale určite aj príslušnú podporu pre programy a finančné prostriedky na vykonanie primeranej kybernetickej ochrany ako odpoveď na tieto hrozby.
Ochrana
Minimalizujte možnosť zraniteľnosti s produktmi, službami a ochranami určenými na zachytenie a zmiernenie dosahu potenciálnych hrozieb, ak sa objavia.
Detegovanie
Nečakajte, kým niekto naruší vašu kybernetickú bezpečnosť. Radšej buďte aktívni pri posudzovaní a riadení potenciálnych hrozieb a zraniteľnosti.
Reakcia
Majte zadefinované procesy a postupy, aby ste vedeli v prípade detekcie konkrétneho typu narušenia alebo hrozby reagovať a zabezpečte aj pravidelné školenia týkajúce sa výcviku pracovníkov zodpovedných za riešenie týchto incidentov, aby vedeli tieto procesy a postupy používať.
Zotavenie
Uistite sa, že procesy zálohovania a obnovy máte dobre vytvorené a zavedené tak, aby ste dokázali obnoviť systém čo najskôr a čo najbližšie k tomu stavu, v akom sa nachádzal pred útokom.
Dodržiavanie
Zabezpečte školenia týkajúce sa dodržiavania legislatívnych požiadaviek a pravidelné audity ohľadom vytvorenia základnej úrovne zrelosti kybernetickej bezpečnosti. Každý rok tieto prístupy zlepšujte a vyhodnocujte. Nech vodárenský podnik dosiahne akýkoľvek stav alebo pokrok smerom k vyššie uvedeným cieľom, kybernetická bezpečnosť nie je cieľ, ale cesta. To je dôvod, prečo sú precízne prvotné zhodnotenie stavu a plánovanie dôležité pri vytváraní metodológie aj prípravy na budúce neznáme či aktuálne výzvy.
Plánovanie ďalších krokov
Aby ste dosiahli vytýčené strategické ciele opísané vyššie, ponúkame nasledujúce kroky ako súčasť širšieho metodologického prístupu smerom k ochrane vodárenských prevádzok:
- monitorovanie a hodnotenie bezpečnosti – porovnanie terajších podnikových technických prostriedkov a úrovne ochrany s priemyselnými štandardmi a osvedčenými postupmi,
- vonkajšia ochrana – bezpečnostné steny (firewalls) spolupracujúce s dobre nastavenou bezpečnostnou politikou dokážu uzavrieť siete do dôsledne kontrolovaných a chránených zón,
- posilňovanie a aktualizácia zabezpečenia – základom je účinná správa bezpečnostných záplat; procesy udržania bezpečnosti treba rozšíriť nad rámec spúšťania antivírusového softvéru a treba do nich zahrnúť operačné systémy aj zabudovaný softvér,
- postupy a pravidlá – dajte si záležať na vývoji a komunikovaní procesov a postupov zameraných na odhaľovanie a riešenie hrozieb medzi prepojenými systémami, a to na globálnej úrovni,
- ochrana pred škodlivým softvérom – nainštalujte štandardné priemyselné riešenia na ochranu pred prienikom škodlivého softvéru, antivírusovú ochranu a zoznam povolených aplikácií na automatizačné systémy v každej prevádzke,
- zálohovanie a obnovenie – zabezpečte zálohové systémy umiestnené mimo prevádzky s cieľom zjednodušenia spätnej obnovy, a to bez ohľadu na to, či útok na bezpečnosť alebo iné problémy odhalili prístup k dôležitým údajom.
Riešenie zautomatizovania kybernetickej bezpečnosti v reálnom svete
Zvyšovanie zložitosti priemyselných riadiacich systémov a na ne smerovaných kybernetických útokov prináša aj zvyšovanie dôležitosti inventarizácie kybernetických podnikových technických prostriedkov. Vzhľadom na to, že vykonávať takúto inventúru manuálne je časovo náročný proces a vzhľadom na to, že mnohé z týchto prostriedkov sú po skončení inventarizácie už zastarané, je mimoriadne prínosné zautomatizovať celý tento proces.
Použitie nástroja na správu kybernetických podnikových technických prostriedkov nezávislého od predajcu, ktorý dokáže v reálnom čase vytvárať inventarizáciu technických prostriedkov, umožní vodárenským spoločnostiam reagovať na potenciálne hrozby bez ohľadu na technickú zdatnosť svojich zamestnancov. Dôležitý je aj fakt, že automatizáciou inventarizácie namiesto jej ručného vykonávania možno znížiť pracovné zaťaženie zodpovedných pracovníkov až o 120 hodín za mesiac. Okrem inventarizácie kybernetických podnikových technických prostriedkov dokážu automatizované služby v oblasti monitoringu kybernetickej bezpečnosti porovnávajúce údaje o priemyselnom riadiacom systéme s najlepšími skúsenosťami a štandardami priemyselnej praxe tiež určiť oblasti, ktorým treba z pohľadu vodárenských spoločností tiež venovať pozornosť a zaradiť ich do programu kybernetickej bezpečnosti.
Zdroj: Cybersecurity Importance On The Rise In Water Utility Operations. [online]. Publikované 10. 12. 2018. Dostupné na: https://new.abb.com/docs/librariesprovider99/default-document-library/abb_article-cybersecurity-importance.pdf?sfvrsn=b7f0d214_2