Logo KFB
Logo NCC SK

OT security system nie je to isté ako IT bezpečnosť

Na tejto stránke nájdete návod, ako v aktuálnej situácii plnej zákonných požiadaviek a vysoko kladených nárokov na kybernetickú bezpečnosť v OT, IoT v prieniku s IT postupovať.

Návod, ako postupovať pri dosahovaní povinnej úrovne kybernetickej bezpečnosti v OT a IoT

V tejto časti Vám zhrnieme dôležité témy, ktoré sa týkajú oblasti OT security system, a zároveň Vám pomôžeme orientovať sa v aktuálnych témach, akými sú Zákona o kybernetickej bezpečnosti, odporučené rámce pre oblasť priemyselný systémov a ďalšie štandardné a efektívne prístupy zabezpečenia Vašich systémov a dát. Každý z týchto bodov Vám pomôže lepšie pochopiť a vyhodnotiť rozdielnosť prístupov v OT, IoT a IT. Body v tomto článku uvádzame v nasledovnom poradí:

Obsah stránky

Rozdiely medzi OT systémami a IT technológiami

IT alebo informačné technológie tradične označujú používanie počítačov na spracovanie a na správu informácií.  Termín OT alebo prevádzková technológia najčastejšie zahŕňa hardvérové vybavenie a stroje zodpovedné za fyzické procesy v podnikoch. Technológie v IT sú reprezentované zariadeniami ako sú napr. servery, diskové polia, tlačiarne alebo počítače, zatiaľ čo OT zariadenia vo všeobecnosti pomenúvajú priemyselné výpočtové zariadenia, akými sú brány IoT, PLC – Programmable Logic Controller, RTU – Remote Terminal Unit , HMI – Human Management Interface, CP(U) – Control Processor Unit (riadiace jednotky) a im

OT vs IT

IT vs OT – priority v ochrane a rozdielne prístupy

V čom sa teda tieto dva svety líšia? Zatiaľ čo v IT prostredí sú priority pre komunikáciu medzi zariadeniami zabezpečenie, integrita a dostupnosť, vo výrobnej prevádzke vnímame podstatné odlišnosti.  Prioritou pre OT systémy je dostupnosť, funkčnosť 24/7 a až následne integrita a zabezpečenie. V IT je prístup do siete chránený silnou autentifikáciou a v prípade útoku, ktorého dôsledkom dôjde napríklad ku strate dát, sú tieto obnoviteľné zo zálohy. Aktualizácie a záplaty v IT sa realizujú počas bežiacej prevádzky.

V prípade OT prostredia sa aktualizácie riadiacich komponentov vykonávajú obvykle počas plánovanej odstávky. Vo veľa spoločnostiach a podnikoch sa jedná častokrát o staršie systémy, s menšou priepustnosťou aj výkonnostnou kapacitou, aká je potrebná a akú si vyžaduje súčasná doba a stále vyššie nároky na oblasť ich zabezpečenia a zabezpečenie plynulosti prevádzky. Ale primárne, na rozdiel od tzv. ASAP systémov v IT, sa v OT prostredí jedná o systémy reálneho času, kde každý, aj 2 sekundový výpadok prenosu dát, ak nie je správne predom ošetrený, môže spôsobiť nežiaduci lavínový efekt. Následný návrat na opätovné prevádzkové parametre predstavuje ďalšie náklady na ľudské zdroje, časové straty a vynaložené financie v oblasti prevencie. Plynulosť výroby a potrebný OT security  system predstavuje základný pilier pre bezpečný rast každej výrobnej spoločnosti.

 

OT security system v prieniku s IT bezpečnosťou

Pôvodne sa o téme IT vs OT uvažovalo ako o reprezentácii obchodných potrieb voči výrobným potrebám, či kancelárskej technológii voči technológiám v prevádzkach. Tím IT mal v rámci svojej agendy údaje a tím OT sa staral o stroje. No stúpajúca hodnota IT údajov potrebná v spojitosti s úspešnosťou OT procesov dostáva IT a OT do čoraz väčšieho prieniku. Koncept spájania IT s OT je známy ako konvergencia IT/OT. Z pohľadu bezpečnosti to znamená, že OT systémy, ktoré boli v minulosti izolované, čelia v dnešnej dobe rovnakým hrozbám ako oblasť IT.

OT security system v prieniku s IT bezpečnosťou

Manažment rizík z pohľadu OT security system vs IT security

Prístup spoločností k ochrane ich informácií, ktorý je založený na miere možných rizík, obsahuje dve tomu zodpovedajúce oblasti: identifikáciu možných rizík a následnú definíciu priorít. Na strane pracovníkov, ktorí majú túto oblasť v rámci firmy na starosti, sa predpokladá potrebná miera zručnosti v posudzovaní rizík, a to aj v rámci zvládnutia situácií vyžadujúcich si pripravenosť v situáciách nutnej pohotovej reakcie na incident.

To sú dôležité momenty hovoriace o pripravenosti aktuálneho zabezpečenia systémov, ktoré by mali pracovníci zodpovední za dodržiavanie predpisov skutočne poctivo zvážiť. Ich povinnosť obhájiť si hodnotu svojich programov a dodržiavania predpisov pred vrcholovým manažmentom a predstavenstvom spoločnosti nie je braná na ľahkú váhu. Zodpovednosti na ich pleciach sa po prípadnom nezvládnutí kritickej situácie nedokážu len tak zbaviť.

To sú dôležité momenty hovoriace o pripravenosti aktuálneho zabezpečenia systémov, ktoré by mali pracovníci zodpovední za dodržiavanie predpisov skutočne poctivo zvážiť. Ich povinnosť obhájiť si hodnotu svojich programov a dodržiavania predpisov pred vrcholovým manažmentom a predstavenstvom spoločnosti nie je braná na ľahkú váhu. Zodpovednosti na ich pleciach sa po prípadnom nezvládnutí kritickej situácie nedokážu len tak zbaviť.

Najvhodnejší spôsob, ako viesť zodpovedne Váš program v súlade s dodržiavaním predpisov, je správne využívať prístup založený na hodnotení miery rizík. A práve kľúčovým predpokladom pre ich správne posúdenie je prístup k čo najväčšiemu množstvu údajov a analytických nástrojov, ktoré Vám umožnia Vaše schopnosti rozvíjať a príležitosti využívať vo Váš prospech a plynulé fungovanie celej organizácie.

Patríte k organizáciám, ktoré sa musia pripraviť a absolvovať audit kybernetickej bezpečnosti? My Vás prevedie auditom plynule a s ľahkosťou. Čítajte viac o auditoch kybernetickej bezpečnosti s KFB Control: Audit kybernetickej bezpečnosti

Odporúčané metódy pre zabezpečenie údajov aj Vašej organizácie

Počet kybernetických útokov bude narastať. Hackeri denne prichádzajú s novými spôsobmi a sofistikovanejšími metódami ako sa dostať k Vašim citlivým údajom a zarobiť na Vašej bezmocnosti. Experti spoločnosti Gartner predpovedajú, že do roku 2025 sa 75 % IT spoločností stane terčom minimálne jedného, ak nie viacerých útokov ransomvéru. S veľkou pravdepodobnosťou sa tieto útoky budú týkať práve oblasti zálohovania dát, pretože útočníci sa vždy uistia, aby ste svoje údaje nemohli len tak jednoducho obnoviť bez toho, aby sa oni dostali k svojmu výkupnému. To znamená, že ani obvyklé a doteraz zavedené štandardy ochrany údajov nebudú stačiť. K dispozícii sú však nové metódy zabezpečenia údajov, ktoré mieru nebezpečia podstatne znížia, prípadne strate dát úplne zamedzia.

Správne zálohovanie údajov spoločnosti

Jednou z takýchto metód je pravidlo zálohovania 3-2-1-1-0.

Táto stratégia poskytuje najvyššiu obnoviteľnosť údajov, a tým aj najefektívnejšiu ochranu pred ransomvérom. Ak Vaše zálohy neobsahujú žiadne chyby či nedostatky, môžete spokojne obnoviť svoje údaje a pokračovať v práci ďalej. Ak je len jedna kópia dát zálohovaná offline, žiadny škodlivý softvér sa k nej nedostane cez online kanály. Ak je jedna kópia mimo napadnuteľnej lokality, môžete ju použiť v prípade akejkoľvek katastrofy a fungovať ďalej. Dve rôzne úložiská a tri kópie zaručujú, že aspoň jedna záloha bude niekde k dispozícii a pomôže Vám vrátiť sa k práci. Pravidlo 3-2-1-1-0 hovorí jednoducho o tom, že je potrebné nezhromažďovať všetky vajíčka v jedinom košíku. Pretože v prípade nehody nebude na druhý deň pri raňajkách čo servírovať.

Správne zálohovanie údajov spoločnosti

Zatvorte dvere pred útokmi prostredníctvom správnej segmentácie

Najkritickejšie systémy alebo najcitlivejšie informácie musia byť chránené bezpečnostnými riešeniami s vysokou úrovňou zabezpečenia, aby ste dosiahli potrebnú mieru ochrany. Funkčným a overeným spôsobom ochrany citlivých informácií alebo systémov je začať pracovať so segmentáciou siete a pripraviť tak čo najviac prekážok potenciálnemu kybernetickému útočníkovi.

Ak chcete vhodne a štruktúrovane nastaviť projekt segmentácie pomocou zónovania, mali by ste vytvoriť model zóny, ktorý definuje, aké typy zón máte a aké požiadavky na bezpečnosť a zabezpečenie existujú pre jednotlivé bezpečnostné funkcie, ktoré tieto zóny oddeľujú.

Zatvorte dvere pred útokmi prostredníctvom správnej segmentácie
  1. Definujte, ktorý systém alebo systémy by mali byť segmentované, a tým by mali byť zahrnuté do projektu segmentácie. Je veľmi dôležité, aby bol rozsah projektu jasne definovaný a dobre oznámený všetkým zúčastneným. Nakreslite schému systémov, ktoré by sa mali segmentovať a vyznačte, kde sa nachádzajú hranice s inými systémami. Opíšte, ktoré dátové toky budú do systémov vstupovať a ktoré z nich vystupovať.
  2. Systémy zahrnuté do projektu segmentácie klasifikujte podľa ich citlivosti a kritickosti. Klasifikáciu by mala organizácia vykonávať priebežne, ale bezpečnostná analýza môže identifikovať aj systémy a informácie, ktoré neboli klasifikované. Viac je niekedy skutočne viac a nie menej.
  3. Umiestnite systémy podľa modelu zóny. Umiestnenie vychádza z požiadaviek na bezpečnosť, dostupnosť, funkčnosť a prevádzkovú zodpovednosť. Základom je pochopiť, ako jednotlivé systémy navzájom komunikujú na úrovni siete. Minimalizujte komunikáciu medzi zónami, t. j. cez hranice zón. Monitorovanie informačných tokov medzi zónami je podstatné.
  4. Na to, aby sa projekt segmentácie dostal z papierového produktu do reality, bude potrebné zmeniť konfiguráciu rôznych komponentov (aplikácií, firewallov, prepínačov, atď.) a v niektorých prípadoch bude potrebné čiastočne prebudovať siete. Nové bezpečnostné riešenia je potrebné aj nanovo konfigurovať, testovať a uvádzať do prevádzky. Práve v tomto kroku nastáva často situácia, že projekt segmentácie ovplyvní Vašu prevádzku tým, že pre prebudovanie siete bude nutná odstávka.
Logo KFB Control s.r.o.

Majte pripravený plán pre zvládnutie bezpečnostných incidentov

Ako sa hovorí, šťastie praje pripraveným. V prípade, že sa naplní scenár s kybernetickým útokom v hlavnej úlohe, je potrebné byť na takúto situáciu dobre pripravený. Rýchla a rázna reakcie na incidenty môže významne znížiť škody spôsobené organizáciám a ušetriť nemalé peniaze. Mať pripravený takýto plán pre tento typ incidentov pomáha kodifikovať a distribuovať obrannú reakciu rýchlo a efektívne v rámci celej organizácie.

Tu sú hlavné dôvody, prečo by ste mali mať zavedený silný plán reakcie na bezpečnostné incidenty. Pretože včasne a účinnejšie zareagovať na incident Vám zabezpečí len vypracovaný plán reakcie na incident. Vytvorí pre Vás jasný, najefektívnejší a v čase opakovateľný postup, ktorý dokáže celý team dodržiavať a postupovať podľa neho pri každom incidente. Časom nadobudne Váš team vďaka plánu stále lepšiu koordináciu a vyššiu účinnosť.

  • Pripraví Vás na núdzové situácie – bezpečnostné incidenty sa stávajú bez varovania, preto je nevyhnutné pripraviť proces a efektívne varianty jeho zvládnutia vopred.
  • Reprodukovateľný proces – bez plánu reakcie na incidenty nemôžu tímy reagovať už známym a naučeným spôsobom alebo si rýchle počas reakcie stanoviť priority.
  • Koordinácia – vo veľkých organizáciách môže byť ťažké uprostred krízy udržať všetkých v obraze. Proces ukotvený v pláne ako reakcia na prebiehajúci incident Vám koordináciu pomôže dosiahnuť.
  • Odhalíte nedostatky aj “za behu“ – v stredne veľkých organizáciách s obmedzeným počtom zamestnancov alebo obmedzenou technickou vybavenosťou Váš pripravený plán reakcie na incidenty dokáže odhaliť i zatiaľ neobjavené nedostatky v bezpečnostnom procese alebo nástrojoch, ktoré môžete následne operatívne odstrániť. A to skôr, než dôjde k ešte väčšiemu ohrozeniu.
  • Uchovávate skúsenosti – plán reakcie na incidenty Vás neustále učí a vylepšuje mieru zabezpečenia celej organizácie. Vďaka nemu nezabúdate v čase na novozískané znalosti a pridávate do plánu ďalšie osvedčené postupy na riešenie krízových situácií.
  • Dokumentácia a dôkaz o plnení povinnosti – plán reakcie na incident s jasnou dokumentáciou znižuje zodpovednosť Vašej organizácie. Vďaka plánu môžete preukázať audítorom alebo úradom, čo všetko bolo vykonané na zabránenie porušenia bezpečnosti a že ste si svoju zákonnú povinnosť náležite splnili.

Je pre Vás kybernetická bezpečnosť v OT a IoT aktuálnou témou? Napíšte nám Vaše otázky či konkrétne požiadavky a my sa s Vami obratom spojíme:

Automatizácia priemyselných procesov, realizácia prístupových, dochádzkových, bezpečnostných systémov a vývoj nových aplikácií. Už 24 rokov Vám vkladáme do rúk kontrolu, zvyšujeme bezpečnosť a nasadzujeme funkčnú ochranu Vašich aktív. Inteligentné a efektívne riešenia 21. storočia.

CS4OT KFT Logo

Pre zobrazenie kompletnej ponuky nás navštívte na: