Kibernetska varnost OT ni več nišno področje

logo

Avtor: Bernd Müller, Siemens
Podjetja imajo veliko razlogov, da pozorneje spremljajo vprašanja okoli kibernetske varnosti v svojih tovarnah. Digitalizacija in povezave OT/IT poganjajo inovacije in prinašajo številne prednosti, vendar povečujejo tudi ranljivost za kibernetske napade. Drugi del serije o varnosti OT ponazarja posledice: implementacija varnostnih standardov za operativno tehnologijo (OT) še vedno zaostaja za IT.

Začnimo s kratko uganko: pet žab sedi na deblu. Ena se odloči, da skoči. Koliko žab je še na deblu? Štiri? Ne. Če se nekaj odločite, to še ne pomeni, da ste to dejansko storili. Ta vrzel med načrtovanjem in dejansko izvedbo je prisotna na številnih področjih našega življenja. Vzemimo kot primer podnebne spremembe: vemo, da je nekaj treba ukreniti, a nam je to kljub temu izredno težko.

To nas pripelje do kibernetske varnosti. Dandanes se večina podjetij zaveda, da je le vprašanje časa, preden bo nekdo vdrl v njihove sisteme, vendar si še vedno pogosto ne prizadevajo dovolj za uvedbo protiukrepov. Tako za podnebne spremembe kot tudi kibernetsko varnost velja, da je neukrepanje nevarno in se nam bo slej kot prej maščevalo. Pri kibernetski varnosti najbrž prej.

IT temelji na načelih CIA
Poudariti moramo, da so razmere na področju informacijske tehnologije (IT) – kamor spadajo pisarniški računalniki, omrežja in podatkovni centri – boljše kot na področju operativne tehnologije (OT), ki se nanaša predvsem na avtomatizacijo tovarn in stavb. Že mnogo let sploh ni več debate o tem, da je treba na računalnik namestiti protivirusni program in ga redno posodabljati. V okolju OT se je šele zdaj zares začelo govoriti o tem. Razlog za to je načelo CIA – ne, nimamo v mislih obveščevalne službe ZDA – ampak tri najpomembnejše varnostne cilje v IT, razvrščene po pomembnosti: »confidentiality« (zaupnost), »integrity« (integriteta) in »availability« (razpoložljivost). Ti lahko strokovnjake za OT spravijo ob živce, saj nič ne sme ogroziti razpoložljivosti proizvodnih zmogljivosti. Zato še vedno pogosto uporabljajo obratni vrstni red: AIC.

To je tudi razlog, zakaj se strokovnjaki za OT včasih še vedno upirajo posodobitvi komponent za avtomatizacijo. Če se med posodobitvijo kaj zalomi, se proizvodnja ustavi in, ko se med odpravljanjem težav odštevajo minute, lahko podjetje izgublja na tisoče, če ne celo milijone evrov. Vendar neukrepanje ni več izbira, saj so hekerji za tarčo svojih poskusov izsiljevanja izbrali avtomatske sisteme tovarn in kritično infrastrukturo, kot so vodovodi, naftovodi in bolnišnice. Napadi, ki povzročijo pomanjkanje oskrbe, so močan dokaz tega dejstva – kot kaže tudi nedavni primer plinovoda Colonial Pipeline. Strokovnjaki domnevajo, da se bo število kibernetskih napadov po vsem svetu zaradi vojne v Ukrajini še dodatno povečalo.
»Strokovnjake za varnost na področju OT je še težje najti kot strokovnjake za IT.«

Vrzel ostaja
»Ko se je zgodil incident Stuxnet, je bila raven varnosti na področju OT deset let za IT,« pravi Stefan Woronka, direktor industrijskih varnostnih storitev pri Siemensu, »in na žalost to vrzel odpravljamo počasi.« Vzrokov je več. Prvi razlog je, da odgovorni za proizvodnjo ne želijo biti grešni kozel, če denimo proizvodnja stoji zaradi varnostne posodobitve.
Woronka meni, da je pomanjkanje kvalificiranih delavcev še dodatni razlog za pomanjkanje varnosti na področju OT: »Strokovnjake za varnost na področju OT je še težje najti kot strokovnjake za IT.« Nekateri ponudniki varnostnih tehnologij menijo, da lahko to slabost spremenijo v prednost. Če ni strokovnjakov za OT, jih nadomestijo s strokovnjaki za IT. Morda zveni kot dober načrt, saj OT z omrežnim povezovanjem strojev in zapletenimi funkcijami programske opreme postaja vse bolj podoben IT, zato je smiselno, da se tudi na tem področju uporabljajo ustrezne metode IT, kot so iskalniki virusov in požarni zidovi. »Vendar se to ne obnese,« opozarja Saman Farsian, vodja oddelka kibernetske varnosti za zaščito OT in svetovanje pri Siemensu. Varnost OT zahteva strokovnjake za OT, ki se spoznajo na avtomatizacijsko tehniko.

Siemens jih ima, saj je v zadnjih letih vložil veliko truda v zaščito svojih tovarn in tovarn svojih strank. Siemens se zanaša na koncepte, kot sta vgrajena ali privzeta varnost, kar pomeni, da so izdelki opremljeni z vgrajenim in aktiviranim varnostnim sistemom, ko zapustijo tovarno. Vendar se v tovarni redko uporablja izključno Siemensova tehnologija, številni sistemi pa so stari več let, če ne celo desetletij. Zato Siemens razvija tehnologije, ki ocenijo proizvodne objekte, ki jih je treba zaščititi, in njihove varnostne luknje, ter ponudijo prilagojene rešitve za vzpostavitev več plasti varnosti okoli kritičnih komponent, ki jih napadalci lahko le stežka obidejo.

Standardizirana pravila na podlagi Listine zaupanja
Pri tem morajo Siemensovi strokovnjaki poskrbeti tudi za izpolnjevanje veljavnih zahtev v posameznih državah in na posameznih trgih. »Zakoni v mnogih državah po svetu se razlikujejo,« pravi Woronka. To je dejstvo, ki nas bolj ovira kot pa pomaga pri vzpostavljanju dobre čezmejne kibernetske varnosti. Tu nastopi Listina zaupanja, ki jo je Siemens leta 2018 predstavil na varnostni konferenci v Münchnu.

Listina trenutno vključuje 17 podjetij, ki sestavljajo različne delovne skupine za teme, kot so varne dobavne verige in privzeta varnost, ter opredeljujejo minimalne zahteve na tem področju. Ta prizadevanja šele zdaj prinašajo prve sadove: vladi Avstralije in Japonske sta pozvali članice pobude, naj proučijo svoje okvire kibernetske varnosti, da bi ugotovili, ali odražajo najnovejšo raven znanja in so skladni z mednarodnimi standardi.

Siemens in njegove partnerje čaka še veliko dela, tako z Listino zaupanja kot tudi z izdelki in storitvami. Predvsem je treba stranke izobraziti na tem področju. Stefan Woronka: »S kibernetske varnosti OT moramo končno odstraniti ‚nišno‘ oznako ter jasneje predstaviti tveganja in številne možnosti izboljšave zaščite.«

Siemens d.o.o.
Letališka cesta 29c
1000 Ljubljana
https://www.siemens.si

Sorodni članki

Zadnji članki

Dnevi robotike

FAKULTETA ZA ELEKTROTEHNIKO 26. — 28. marec 2024 Dogodek DIR24 poteka v obliki robotskega hekatona, na katerem lahko sodelujejo vsi študenti Univerze v Ljubljani. Izziv, ki...

Nagrada za prijaznost podnebju

CDP je podjetje FANUC ocenil kot "A-Seznam"

Svet mehatronike 45 (1-2024)

Pozdravljeni drage bralke in dragi bralci revije Svet mehatronike! Izgleda, da se svet vrti vedno hitreje. Pa s tem ne mislim vrtenja našega planeta, pač pa uvajanje novih tehnologij. V tokratni številki revije Svet mehatronike boste namreč lahko prebrali, kako umetna inteligenca (AI) pomaga pri iskanju novih materialov.

Želite biti na tekočem z najnovejšimi novicami?

Radi bi vas slišali! Prosimo, izpolnite svoje podatke in ostali bomo v stiku. Tako preprosto je!