Pe fondul tuturor încălcărilor de date și atacurilor ransomware asupra sistemelor IT din ultimii ani, amenințarea la adresa tehnologiei operaționale (OT) critice pentru afaceri este încă adesea subestimată. Cu toate acestea, atacarea sistemelor tehnologice care interacționează cu lumea fizică este cea mai rapidă modalitate de a obține rezultate cinetice potențial devastatoare. Ucraina, de exemplu, a fost supusă atacurilor BlackEnergy și Industroyer care i-au sabotat cu succes infrastructura energetică esențială.

Prima s-a aflat în spatele primei întreruperi de curent cauzate de un atac cibernetic din 2015, iar a doua a cauzat întreruperi de curent în masă pentru locuitorii Kievului în anul următor. În 2022, cercetătorii ESET, împreună cu CERT-UA, au dat vestea că au identificat o nouă variantă de Industroyer care era programată să taie din nou curentul pentru o regiune din Ucraina, dar, din fericire, atacul a fost dejucat în timp. Deși relativ rare, aceste incidente evidențiază faptul că nicio organizație, în special cele care operează în infrastructura critică, nu își poate permite să respingă amenințarea cibernetică OT.

IT plus OT

Spre deosebire de IT, care este conceput pentru a gestiona sistemele informatice și aplicațiile, OT include software-ul și hardware-ul implementat pentru a gestiona sistemele lumii fizice. Se găsește în mod obișnuit în fabrici și unități industriale, în ICS, sisteme de control de supraveghere și achiziție de date (SCADA) și controlere logice programabile (PLC-uri). Cu toate acestea, sectoare diverse precum transportul, utilitățile și asistența medicală sunt, de asemenea, pline de OT.

Problemele de securitate cibernetică din lumea OT au început cu adevărat atunci când sistemele construite special, care fuseseră odată neconectate, au fost îmbunătățite cu acces la internet. Deși acest lucru le-a făcut mai ușor de gestionat de la distanță, le-a expus și la amenințări din toate colțurile globului. În același timp, vechea certitudine a „securității prin obscuritate” a început să se erodeze, pe măsură ce actorii amenințărilor au sondat mai multe sisteme OT și au descoperit că este mai ușor să găsească online informații despre configurația și setările lor. De asemenea, ajută și faptul că Windows este adesea folosit în SCADA și alte medii OT, la fel ca și componentele mai standardizate.

Din păcate, impactul unor astfel de atacuri ar putea fi grav, inclusiv distrugerea infrastructurii critice și sabotarea proceselor de afaceri. Conform unei estimări, anul trecut, au fost 68 de atacuri cibernetice care au perturbat peste 500 de operațiuni fizice. Aceasta reprezintă o creștere anuală de 16%. Cifrele citate de McKinsey susțin că costul pe incident al atacurilor grave poate ajunge la 140 de milioane de dolari. Iar aceasta nu include cercetarea amănunțită impusă de reglementările prevăzute de Regatul Unit prin Regulamente NIS și de UE prin directiva NIS2.

Amenințarea vine atât de la infractorii cibernetici motivați financiar, cât și de la statele naționale. Este mai probabil ca aceștia din urmă să depună eforturi în acest sens vizând avantaje geopolitice. O astfel de campanie susținută de statul chinez descoperită anul trecut a fost numită Volt Typhoon. Aici, actorii amenințărilor s-au putut infiltra în rețelele de infrastructură critică, cu scopul de a sabota active-cheie în cazul unui conflict militar.

De ce securitatea OT este greu de realizat corect

Sistemele OT tind să aibă o durată de viață mult mai lungă decât cele IT, ceea ce poate cauza probleme de compatibilitate și securitate. De asemenea, este adevărat că securitatea cibernetică nu a fost întotdeauna o prioritate de top în industrie. Un raport publicat în 2022 a dezvăluit 56 de noi vulnerabilități în produsele OT, autorii criticând practicile producătorilor de tip„insecure-by-design”. Autorii raportului au susținut chiar că multora dintre problemele pe care le-au descoperit nu le-au fost atribuite numere CVE oficiale, ceea ce îngreunează proprietarii de active să efectueze verificări eficiente de gestionare a riscurilor.

De asemenea, echipele interne de OT gândesc diferit despre securitatea cibernetică față de cele de IT. În timp ce acestea din urmă sunt bazate pe susținerea confidențialității (protejarea datelor și a activelor), primele prioritizează disponibilitatea (accesibilitatea) și siguranța. Acest lucru poate crea provocări atunci când vine vorba de gestionarea patch-urilor și a vulnerabilităților, dacă timpul de funcționare este prețuit mai mult decât întărirea sistemelor expuse.

Printre celelalte provocări ale securității OT, putem enumera:

• Prezența protocoalelor de comunicații vechi, nesigure
• Durată lungă de viață a hardware-ului, care poate duce la probleme de compatibilitate software și poate obliga managerii să ruleze OT cu sisteme de operare/software învechit
• Kit moștenit, care este prea vechi pentru a se potrivi cu controalele moderne de securitate cibernetică
• Certificari de securitate care nu recunosc defecte grave, oferind administratorilor un fals sentiment de securitate
• Probleme de securitate de tip security-by-design care nu sunt raportate sau atribuite CVE, ceea ce înseamnă rămân nedetectate
• Echipele IT/OT sunt izolate, creând lacune de vizibilitate, protecție și detecție
• Parole nesigure și configurări greșite
• Criptografia slabă
• Actualizări de firmware nesigure

O tehnologie operațională protejată

Ransomware-ul este încă printre cele mai mari amenințări la adresa sistemelor OT, deși furtul/extorcarea de date, atacurile distructive, amenințările lanțului de aprovizionare și chiar malware-ul transmis prin USB ar putea reprezenta un risc pentru aceste sisteme. Deci, cum procedați pentru a reduce aceste riscuri? Ca întotdeauna, o strategie cu mai multe straturi care se concentrează pe oameni, proces și tehnologie este calea de urmat.

Luați în considerare următoarele:

• Analizarea și gestionarea activelor: înțelegeți toate activele OT, modul în care funcționează și starea lor de securitate/patching.
• Gestionarea continuă a vulnerabilităților și a corecțiilor: scanați periodic activele OT pentru vulnerabilități și rulați programe automate de gestionare a corecțiilor bazate pe riscuri. Luați în considerare corecțiile virtuale în situațiile în care este dificil să decuplați sistemele offline pentru a testa și corecta.
• Segmentarea si separarea rețelelelor: Asigurați-vă că rețeaua OT este menținută la distanță de rețeaua IT corporativă și este segmentată pentru a reduce oportunitățile de mișcare laterală pentru actorii amenințărilor.
• Gestionarea identității și a accesului: implementați autentificarea cu mai mulți factori, aplicați politici de privilegii minime și controale de acces bazate pe roluri.
• Prevenirea amenințărilor: implementați soluții de securitate pentru a preveni și a detecta programele malware și alte amenințări.
• Protecția datelor: Protejați datele OT în repaus și în tranzit cu o criptare puternică și backup regulat pentru a atenua impactul ransomware.
• Monitorizarea lanțului de aprovizionare: Asigurați-vă că toți furnizorii de echipamente și software, dar și furnizorii de servicii gestionate (MSP) sunt acoperiți de un program detaliat de asigurare a lanțului de aprovizionare.
• Securitate ce pune personalul în prim plan: Revizuiți programele de conștientizare și formare în materie de securitate pentru a crea o cultură corporativă de tip security-first.

În urmă cu câțiva ani, Gartner a avertizat că până în 2025, actorii amenințărilor vor putea să armeze mediile OT pentru a răni sau chiar ucide oameni. Întrucât AI poate ajuta hackerii să selecteze și să compromită ținte expuse, este mai important ca niciodată ca proprietarii IT să ranforseze securitatea pe mai multe straturi. Fiți mereu în alertă și urmați recomandările specialiștilor din domeniu, precum cele din acest scurt ghid de bune practici și nu subestimați importanța unei strategii de apărare cibernetică proactivă.