Industrijska sajberbezbednost: vidljivost, mogućnost upravljanja i jedinstvena platforma
Sajberbezbednost za industrijske kontrolne sisteme (ICS) doživljava snažan rast. Prema različitim procenama, u periodu 2025–2026. godine, ovaj sektor će vredeti između 22,5 i 22,8 milijardi dolara, s procenjenom CAGR stopom rasta od 5,81 odsto do 7,2 odsto. Ovo je posebno važna oblast za Srbiju, jer je, prema podacima kompanije Kaspersky, udeo od 39,4 odsto od ukupnog broja ovih sistema koji su tokom novembra bili izloženi sajbernapadima, bio najveći na globalnom nivou
Zahvaljujući istraživanjima i istragama sve većeg broja napada na industrijske objekte i rastućem interesu korporativnog i državnog sektora, industrija je već prikupila solidnu količinu informacija i ponuda za zaštitu. Ipak, važno je da pogledamo kako će se sajberbezbednost za ICS dalje razvijati i s kakavim će se izazovima suočavati u budućnosti. Organizacije mogu da koriste ovo znanje za oblikovanje ili prilagođavanje svojih bezbednosnih strategija danas.
Slojevitost zaštite operativne tehnologije
Prvo treba da pogledamo trenutno stanje. Zaštita industrijske infrastrukture je složen zadatak, jer podrazumeva korišćenje različitih alata za svaki nivo – od terenskih uređaja i upravljanja operacijama do granica ICS sistema i korporativnih IT sistema. To su tehnologije za različite industrijske kontrolere, mreže, zaštitu računara i celokupno upravljanje bezbednošću velikih preduzeća ili čak holdinga.
Primarni zadatak osiguranja sajberbezbednosti svake industrijske organizacije i postrojenja, kao što su fabrike ili podstanice, jeste blagovremeno otkrivanje i uklanjanje pretnji na krajnjim tačkama i mreži kako bi se zaštitio perimetar. Što se pre pronađe maliciozni objekt ili aktivnost, negativni uticaj napada biće manji.
Ako industrijska lokacija ima složene sisteme automatizacije i kontrole, važno je zaštititi je od slučajnih kvarova ili namernih napada. Ovo su neki od primera toga kakvi ovi sistemi mogu biti: automatizacija podstanica ili strujnih postrojenja, diskretna ili kontinuirana automatizacija procesa, distribuirani ili centralizovani sistemi upravljanja, terenski, nadzorni ili daljinski sistemi. Odnosno, korišćenje namenskih alata za praćenje manjih anomalija u indikatorima performansi, na primer, indikator pritiska unutar rezervoara za rafineriju nafte ili elektrane, radi delovanja pre nego što dođe do kvara.
Organizovanje blagovremenih ažuriranja i popravaka ranjivosti u industrijskom firmveru ključni su za smanjenje rizika od sajbernapada. Što je manje ranjivosti u opremi, to je manje potencijalnih vrata koja napadači mogu da iskoriste za kompromitovanje mreže. Nažalost, nije ih uvek moguće otkriti i popraviti jednostavnom proverom ažuriranja s Web sajta vendora. Trebalo bi da postoji proces dobijanja informacija iz pouzdanog izvora o ranjivostima, koji pruža najpotpunije informacije o pogođenom uređaju i njegovoj konfiguraciji. Ovo pomaže u donošenju informisane odluke o tome da li zakrpiti ili koristiti opcionu meru ublažavanja ako zakrpa nije dostupna ili opravdana.
Na kraju, ali ne i najmanje važno, organizacijama su potrebne namenske sposobnosti otkrivanja pretnji i odgovora na napredne pretnje. U idealnom slučaju, ICS bezbednosni sistem mora da prikupi i analizira sve bezbednosne događaje širom cele mreže kako bi interni bezbednosni operativni centar ili eksterna stručna služba mogli da identifikuju znakove targetiranih napada. Ovo će pomoći kompaniji da ih zaustavi na vreme i istraži uzroke. To bi trebalo da funkcioniše protiv naprednih upornih pretnji kako bi ih sprečilo da nedetektovano vrebaju unutar mreže, kao što je bio slučaj sa Lazarus napadom, koji je targetirao odbrambenu industriju s prilagođenim backdoor-om, što su istraživači kompanije Kaspersky istakli 2020. godine. Backdoor se kretao bočno kroz inficirane mreže prikupljajući osetljive informacije.
I ovde otpočinju poteškoće
OT sistemi postaju složeniji sa svom raznolikošću uređaja, udaljenih veza i geografski raspoređenih objekata, a isto se događa i sa zaštitom. Različiti alati, uključujući one gore navedene, ali ne ograničavajući se na njih, rade za različite potrebe, neki zahtevaju integraciju, a svaki ima svoju kontrolnu tablu. Kao rezultat toga, upravljanje zaštitom za čitav sistem postaje najizazovniji zadatak za preduzeća. Naše globalno istraživanje je potvrdilo da dve trećine industrijskih organizacija nedostatak vidljivosti u infrastrukturi i dosledno upravljanje bezbednošću smatra najtežim preprekama protiv naprednih pretnji (67 odsto, odnosno 68 odsto).
Konfigurisanje svakog alata zasebno i ručno upravljanje svime može biti težak posao, neefikasan i u krajnjoj liniji može da smanji nivo zaštite. Različita rešenja ne dele informacije o pretnjama i nema vidljivosti unutar celog OT sistema.
Dovođenje bezbednosti do zajedničkog imenioca
Rešavanje ovog problema znači spajanje svih delova bezbednosti u jednu tačku – ekosistem koji korisnicima treba da ponudi pristup svim mogućim rešenjima i uslugama i da se prilagodi zadacima malih, srednjih i velikih preduzeća. Trebalo bi da ponudi jedinstvenu platformu za upravljanje svim bezbednosnim zadacima, uključujući one iz usluga trećih strana. Tako će svi timovi uključeni u OT bezbednosna pitanja moći da pristupe potrebnim podacima i procesima.
Važna funkcija platforme treba da bude praćenje i obrada bezbednosnih događaja iz različitih izvora, bilo da se radi o antimalver agentu na krajnjim tačkama, EDR-u, informacijama o pretnjama, SIEM-u ili bilo kom drugom alatu, i da ih poveže s događajima u IT mreži. Podaci iz različitih izvora, analiza i traženje korelacija uz pomoć SOAR sistema (Security Orchestration, Automation, and Response) omogućiće efikasnije otkrivanje složenih targetiranih napada.
Sličan zadatak već ima sajberbezbednosno rešenje za korporativni IT. Da bi osigurala bezbednost poslovnih podataka i kontinuiteta, velika preduzeća žele da unaprede brzinu i efikasnost otkrivanja i istraživanja pretnji. XDR pristup – Extended Detection and Response – koji kombinuje otkrivanje pretnji, istraživanje i odgovor širom svih elemenata infrastrukture već dobija zamah u korporativnoj IT bezbednosti. Ista metoda može da se prilagodi za OT bezbednosne potrebe.
Takva inicijativa ekosistema dovešće OT bezbednost na zreliji nivo. Prema viziji kompanije Kaspersky, ovo će biti sledeći korak evolucije OT bezbednosti. To znači da će organizacije moći da zaštite svoje asete na sistematičniji način, bolje razumeju šta se dešava u njihovim mrežama i izgrade sigurne temelje za kasniju digitalizaciju. Platforma će omogućiti kreiranje ili jačanje centara za nadgledanje i osiguraće industrijsku bezbednost unutar velikih preduzeća. Pri tome, može da se koristi na nivou regija ili čak zemalja i sindikata, za osnaživanje državnih i međunarodnih CERT organizacija, kao i eksternih pružalaca usluga (MSP).
Korisna adresa: Kaspersky.rs
Autor: Srđan Gligorić, Enterprise Account Manager za zapadni Balkan, Kaspersky
