Майкл T. Лестер (Michael T. Lester)
Производители, инженерные сети и операторы критически важной инфраструктуры сталкиваются с растущими и усложняющимися угрозами кибербезопасности. Атаки постоянно развиваются, так как общедоступность вредоносного ПО и современных технологий предоставляют все новые возможности злоумышленникам.
Целью кибератак по-прежнему является извлечение финансовой выгоды, но все чаще жертвами злоумышленников становятся правительственные органы. Многие атаки осуществляются в сфере промышленного управления.
Для эффективного обеспечения кибербезопасности требуется постоянно быть в курсе новых типов угроз, осуществлять инвентаризацию активов в реальном времени, наращивать возможности своевременного обнаружения угроз, оснащать оборудование новейшими средствами защиты, модернизировать и обновлять информационные системы, наделяя их функциями быстрого реагирования на инциденты. Кроме того, ключевыми аспектами информационной безопасности являются соответствующие политики и процедуры, повышение квалификации и периодическое обучение сотрудников. Все эти меры должны быть реализованы для защиты критически важных систем на основе оценки рисков.
Для производителей, стремящихся раскрыть потенциал промышленного интернета вещей (IIoT), кибербезопасность является одной из главных проблем. Потребность в эффективной кибербезопасности хорошо известна, но в отрасли нет четкого понимания этого предмета. Проектирование и внедрение технологии промышленного Интернета вещей требует новых навыков и опыта в области информационной безопасности. Новые решения могут нести в себе новые векторы угроз, если они не реализованы и не поддерживаются с соблюдением всех требований безопасности.
Идентификация уязвимостей
На производстве технологические решения с более высокими капитальными затратами снижают мотивацию к модернизации систем и скорость внедрения изменений. Устаревшие системы без регулярной установки патчей или надежной защиты в глубину являются наиболее уязвимыми.
Для производителей, стремящихся раскрыть потенциал промышленного Интернета вещей (IIoT), кибербезопасность является одной из главных проблем.
Пользователям необходимо приоритизировать действия, предпринимаемые в ответ на выявленные угрозы и атаки, а также создать план этих действий. Этот процесс включает внедрение и регулярное тестирование мер реагирования на инциденты и планов резервирования/восстановления для всех сотрудников, технологических процессов и технологий в организации на протяжении всего жизненного цикла. Даже такая простая мера, как управление учетными записями пользователей, должна быть реализована для всего жизненного цикла каждого пользователя, от первой авторизации в информационной системе до того момента, как он покинет организацию.
Растущая потребность в совместной работе заинтересованных лиц в рамках информационных и операционных технологий все более ясно ощущается при внедрении новых систем и сервисов, способствующих цифровой трансформации компании. При разработке стратегии кибербезопасности специалисты в области информационных и операционных технологий должны понимать сильные стороны друг друга, выполняя бизнес-задачи с соблюдением самых строгих мер безопасности.
Экспертный опыт в каждом направлении привносит свой вклад: информационные технологии пользуются процессами с более высоким уровнем стандартизации, в то время как операционные технологии применяют более инженерный подход. Во избежание пробелов в безопасности и рисков для операционной деятельности необходимо пересматривать цели всех заинтересованных лиц и устанавливать конкретные требования. Поставщики систем автоматизации могут повысить надежность развертывания систем с помощью многоуровневого портфеля средств управления безопасностью, процедур и сервисов, которые улучшают безопасность системы и помогают конечным пользователям определять приоритеты для оценки состояния кибербезопасности.
Организации должны учитывать информационную безопасность на этапах начального проектирования и разработки проекта системы управления. Слишком часто средства защиты информации добавляются позднее, что несет дополнительные расходы и редко оказывается более эффективным, нежели учет кибербезопасности при проектировании. Это называется концепцией Shift Left («сдвиг влево»). Безопасность, заложенная в проект, в сочетании с соответствующим анализом рисков информационной безопасности должна включать проверку функций безопасности и элементов управления на предмет их эффективности против растущего уровня угроз.
В целях коммерческого обоснования инициатив, связанных с кибербезопасностью, можно использовать метрики оценки сокращения рисков, демонстрирующие прогресс реализации таких инициатив, а также потенциальный уровень защиты, достигаемый за счет развертывания дополнительных мер информационной безопасности. Хорошим способом обоснования новых возможностей кибербезопасности может стать применение концепции «сдвиг влево», где каждый евро, потраченный на профилактические меры обеспечения безопасности, соответствует 60 евро, потраченным на реагирующий подход.
Если атака происходит, лучшим способом справиться с ней является наличие хорошо документированного и апробированного плана реагирования на инциденты. Коротко говоря, отражение атаки не будет эффективным без реализации мер обеспечения кибербезопасности, средств управления и тщательно продуманного плана.
Культурный аспект
Если кибербезопасность не является частью корпоративной культуры, то угрозу для информационной безопасности несет сам персонал в результате непреднамеренных действий, приводящих к уязвимостям. Более распространенная культура кибербезопасности снижает риск как внешних, так и внутренних угроз. Повышая квалификацию персонала в области кибербезопасности и обучая сотрудников соответствующим технологиям, мы делаем информационную безопасность частью корпоративной культуры.
Коротко говоря, отражение атаки не будет эффективным без реализации мер обеспечения кибербезопасности, средств управления и тщательно продуманного плана.
Очень важно создавать возможности для обучения сотрудников, чтобы они могли повысить уровень своей компетенции в области кибербезопасности и соответствующих технологий. Повышение квалификации может занять некоторое время, но развитие у персонала ответственности за защиту данных — хорошее начало. Если кибербезопасность больше не является ответственностью кого-то конкретно, люди будут задавать больше вопросов и перенимать опыт у тех, кто умеет предотвращать последствия непреднамеренных действий.
Кибербезопасность требует не только технологии. Кибербезопасность означает смену культурных и поведенческих установок. Глубокое понимание причин и механизмов действия средств кибербезопасности на уровне всей организации является критичным на пути к значительным изменениям стиля поведения сотрудников. Таким образом, важно создать культуру кибербезопасности, которая охватывает людей, процессы и технологии.
Explore transformative ideas, inspiration and insights from Emerson leaders in industrial automation, home comfort and beyond.
