Cikksorozatunk első részében már rávilágítottunk arra, hogy a vezető vállalatok milyen megoldásokkal próbálják csökkenteni az emberi munkaerő rendelkezésre állásától való kitettségüket.
Ebből három fő területet emelnénk ki:
– automatizáció,
– távoli munkavégzés kialakítása (IT és pár helyen már OT eszközök esetén is),
– gyártási környezetekben használt vezérlő- és telemetriai rendszerek egyre több esetben a hagyományos vállalati informatikai hálózatokhoz kapcsolódnak.
Az IT és OT rendszerek közötti összekapcsolások révén az átjárhatóság már egyre több helyen biztosított.
Miközben cikksorozatunk következő része íródott egy véleményünk szerint nagyon fontos gondolat megjelent Mester Sándor 2021.02.14.-i „Inflexiós pontot hozott 2020” ITB cikkében, az „elfelhősödésről”.
Sándor gondolatait idézve „a legtöbb esetben a túlélést, a megmaradást lehetővé tevő, kétségbeesett felhőbe költözés (bizonyos funkciók, folyamatok költöztetése a felhőbe) következményeit javasolt átvizsgálni, példának okáért a jövőállóság és a kiberbiztonság szempontjából. Általában is javasolható, hogy a szervezetek tekintsék át az IT-stratégiájukat, éppen a tavalyi év tapasztalatai alapján, különös tekintettel arra, hogy a felhőben rejlő lehetőségeket milyen mértékben gondolják kiaknázásra érdemesnek.”
Ez számos helyen a Társaságunk által képviselt szakmai állásponttal és stratégia alkotási feladataink során alkalmazott nézőpontunkkal is szorosan összecseng.
Bár az „elfelhősödés” a pandémia helyzetben számos előnnyel járt a munkaerő rendelkezésre állása és a munkafolyamatok végrehajtása tekintetében, a fenti három pontban összegzett (automatizáció, távoli munkavégzés kialakítása, OT&IT eszközök közötti összekapcsolások) szempontjából azonban számos problémát, sőt biztonsági fenyegetettséget is magával hozott, kiemelten a gyártó- és logisztikai ipar területén.
Épp ezért az „elfelhősödés”, és annak hatásainak vizsgálata véleményünk szerint nem tűr halasztást.
A felülvizsgálat végrehajtása során a következő területke és kérdések átgondolását mindenképp javasoljuk:
- IT stratégia felülvizsgálata
Minden szakirodalom azt javasolja, hogy „évente vagy nagyobb rendszerváltozások esetén” célszerű az IT Stratégia és az Információbiztonsági Irányítási rendszer felülvizsgálatát végrehajtani. Az elmúlt egy évben úgy láttuk, hogy számos változás következett be minden cég életében, gondolva a felhasználók távoli munkavégzésére, az üzleti (sales) megbeszélések, projektegyeztetések online térbe kerülésétől, a webes applikációk és webshopok, ügyfélszolgálati chat robotok kialakításáig számos példát lehetne felhozni.
Sok esetben mindez a pandémia időszaka alatt egy-egy vállalat túlélést biztosították, azonban most, szükséges megvizsgálni az átalakításoknak a hosszútávú létjogosultságát, az alkalmazott megoldások biztonságát is! Ehhez a következő kérdések megválaszolását javasoljuk:
– A kialakított felhős megoldások hosszútávon (a pandémia mérséklődése vagy lecsengése, hibrid munkavégzés bevezetése után) is használhatóak számunkra?
– Biztos, hogy a kialakított online megoldások a legalkalmasabbak számunkra és az üzleti folyamatainkat szolgálják? Esetleg azóta ugyanerre a probléma megoldására vannak-e más alternatív megoldások?
– Van még olyan üzleti folyamatunk esetleg még digitalizálható, automatizálható?
– A kialakított felhős megoldások fenntartása, további fejlesztése mekkora terhet, folyamatos fenntartási költséget jelent a vállalat számára?
– A kialakított felhős megoldások biztonsága milyen szintet képvisel most, és hosszútávon hogyan szavatolható ezek biztonsága? Mindez az IT és OT rendszerek átjárhatósága szempontból is elfogadható? Milyen károkat okozhat az, hogyha az IT rendszeren kihasználható sérülékenység az OT rendszereinkre is átterjedhet?
Bár minden részlet továbbra sem ismert az incidens kapcsán a károkat és azok hatásait jól szemlélteti a tavalyi évben bekövetkezett Norsk Hydro esete. A világ egyik legnagyobb alumínium gyártó cégét bezárták, miután a céget megtámadta LockerGoga vírus. A Norsk Hydro állítólag 40 millió dollárt veszített, és napokig küzdött az automatizált műveletek végrehajtásának visszaállításán, bár olyan részletek nem derültek ki, hogy mindez csak IT vagy esetleg OT rendszereket is érintett volna-e.
- Átfogó eszközlefedettség felülvizsgálata/feltérképezése
Az egységes biztonsági stratégia kialakítása magában foglalja a vállalat összes felügyelt, nem felügyelt IT vagy ipari eszközét. Egy összekapcsolt környezetben csak akkor lehet biztosítani az OT biztonságot is, ha ezzel együtt biztosítjuk mind az IT mind az OT terület biztonságát.
Mit is jelent mindez? HVAC rendszereket, a fizikai védelmet ellátó IP kamerákat, a tűzjelző rendszereket, az épülethozzáférés-kezelő és automatizáló rendszereket (és még számost fel sem soroltunk) OT rendszerek oldaláról, valamint a tűzfalakat, a vezeték nélküli hozzáférési pontokat, szerverek, IT oldalról, valamint ezek átjárhatóságát és összekapcsolását biztosító eszközöket, megoldásokat.
Lássuk be ezek feltérképezése és nyilvántartása sem könnyű feladat a jelenleg rendelkezésre álló technikai eszközökkel, de stratégiai időtávban olyan eszközök (technológiák) használatát javasoljuk, melyek közös kommunikációs platformok alkalmazására képesek így a felülvizsgálatuk.
Az ipari és gyártó szervezeteknek tapasztalatunk szerint olyan biztonsági stratégiára van szükségük, amely mind az OT és IT (IOT eszközök használatát is beleértve) környezetben is egységesen használhatók. Figyelmet kell fordítani arra, hogy az IT (IOT) és OT eszközök a jövőben várhatóan a vállalati rendszereknek komplementer és egységes részét fogják képezni és nem lesz a mostani állapothoz hasonló elszigeteltség a rendszerek között. (silók)
Ezért véleményünk szerint egységesen célszerű kezelni az ebből fakadó biztonsági kihívásokat és az abból adódó válaszokat is!
Cikksorozatunk következő részeiben kitérünk még a felhős (és nem felhős is!) megoldások felülvizsgálatára, valamint a technikai eszközökkel nem kivitelezhető védelmi megoldások felülvizsgálatára is.
Ha a cikk olvasása közben valamelyik kérdés megválaszolásában elakadt és segítségre van szüksége a felülvizsgálatok lebonyolításában, vagy akár célzott védelmi megoldások kialakításában is Társaságunk szakértői és a forgalmazott védelmi megoldásaink a rendelkezésükre állnak!
