Bezpieczeństwo cybernetyczne w IT i OT: wyprawa na Mount Everest czy wyjście po chleb do sklepu?

Cyberataki mają poważne konsekwencje dla IT. W najgorszym przypadku doprowadzają do awarii infrastruktury informatycznej. Firmy mają świadomość istniejącego zagrożenia, co znajduje potwierdzenie w tworzonych strategiach bezpieczeństwa oraz szerokim wyborze rozwiązań z zakresu cybersec. Jednak z drugiej strony, działy technologii operacyjnych (OT) w niewielkim stopniu korzystają z know-how z obszaru IT. Jedną z przyczyn jest fakt, że obowiązki nie są jednoznacznie określone lub są nadmiernie rozdzielone.

O bezpieczeństwie cybernetycznym mówią teraz wszyscy i w tej dziedzinie zachodzą ciągłe zmiany. Technologie nadal się rozwijają, a wymagania dotyczące bezpieczeństwa zarówno w IT, jak i w OT stają się bardziej wygórowane. Powodem jest m.in rosnąca liczba nowych struktur sieci wewnątrz i tych działających między organizacjami z każdej branży. Wzrost usieciowienia, czyli zależności różnych zasobów stwarza więcej wektorów ataku, które mogą wykorzystać cyberprzestępcy. Złożone struktury sieciowe sprawiają również, że pojawiają się potencjalne luki w zabezpieczeniach. Zwiększona ilość zasobów komunikuje się ze sobą poprzez sieci za pomocą różnych protokołów. Kto może to wszystko kontrolować? W tym artykule poznacie pierwsze kroki w bezpieczeństwie informatycznym i dowiecie się z czym się ono wiąże.

Cyberataki, ransomware, darknet i grupy hakerskie: to hasła, które sprawiają, że serce entuzjasty IT bije szybciej, ponieważ stanowią dla niego nie lada wyzwanie. Na tej podstawie można by pomyśleć, że cyberbezpieczeństwo to sprawa tylko i wyłącznie dla specjalistów i to z dużym doświadczeniem. Lecz czy faktycznie „wystarczy” zatrudnić kilku ekspertów, a kwestia bezpieczeństwa sieci firmowej i produkcyjnej rozwiąże się sama? To działanie w myśl zasady: "Muszę zabezpieczyć 10 jednostek, więc zatrudnię dwóch nowych informatyków".

Zatem pojawia się pytanie: Czy kupno cyberbezpieczeństwa jest tak samo łatwe, jak bochenka chleba? Odpowiedź brzmi: Nie, bo stuprocentowe bezpieczeństwo nie istnieje i nie można go znaleźć na półce w sklepie. Cyberbezpieczeństwo to proces lub cel organizacji, a nie gotowy produkt.

Oczywiście, na rynku dostępne są rozwiązania i technologie wspierające organizacje w zakresie bezpieczeństwa. Przykładem są zapory sieciowe (firewall) lub oprogramowanie atywirusowe. Jednak te rozwiązania to tylko pojedyncze elementy szerszej koncepcji bezpieczeństwa.

Ponadto badania potwierdzają, że ludzie niechętnie wydają pieniądze na bezpieczeństwo i to pomimo faktu, że według BSI cyberzagrożenia rosną. Cyberbezpieczeństwa nie można zobaczyć i jest raczej postrzegane jako koszt. Natomiast powinno być traktowane jak konieczność i tym samym szansa dla organizacji na zapewnienie pomyślnej przyszłości.

Jak zostało już wspomniane, technologie i oprogramowanie są tylko pojedynczymi elementami ogólnej koncepcji bezpieczeństwa w organizacji. Wynika to z faktu, że wywodzi się ono przede wszystkim z wnętrza organizacji i jej procesów. Dlatego odpowiadają za nie głównie osoby decyzyjne. Pierwszym krokiem, jaki zarząd powinien wykonać jest odpowiedź na pytanie: Jak bardzo moja firma jest przystosowana? (albo, mówiąc inaczej) Jak moja organizacja radzi sobie z kwestią cyberbezpieczeństwa?

Jako przykład możemy podać firmy produkcyjne i stosowane przez nie środki cyberbezpieczeństwa:

• Ograniczenie zdalnego dostępu osób trzecich;
• Wykupienie ubezpieczenia na wypadek naruszeń bezpieczeństwa;
• Zwracanie uwagi na realizację wytycznych KSC (Krajowy System Cyberbezpieczeństwa) i ustawy o bezpieczeństwie IT.

Cyberbezpieczeństwo zaczyna się od zarządzania. Jednak jak należy postępować, aby wdrożyć bezpieczeństwo holistycznie w organizacji?

Mówiąc obrazowo, cyberbezpieczeństwo to ogromna góra, przed którą staje każda organizacja, a na tę górę trzeba wspinać się krok po kroku. Decydującą rolę odgrywa wyposażenie umożliwiające pomyślne zdobycie szczytu. W firmie zaczyna się od komunikacji i odpowiednich działań, takich jak dokształcanie pracowników czy powołanie CISO (Chief Information Security Officer), a kończy na wdrożeniu właściwych rozwiązań i technologii.

Dodatkowo, podstawowe pytanie jakie organizacje powinny sobie zadać to: Co właściwie chcą ochronić? W jaki sposób zarabiamy pieniądze oraz jak zabezpieczamy swoje usługi/know-how, aby móc kontynuować działalność? Te pytania pomagają opracować odpowiednią strategię, która zawiera wskazówki na wypadek wystąpienia cyberataku.

W ramach skutecznej strategii cyberbezpieczeństwa należy uwzględnić trzy poziomy:

1. IT-Security (bezpieczeństwo informatyczne)
2. OT-Security (bezpiezeństwo technologii operacyjnych)
3. IoT-Security (cyfrowe produkty sieciowe u klienta końcowego)

IT-Security nie jest już nowym tematem i od dawna jest wszystkim znane. Jednak parametry ramowe ulegają ciągłym zmianom, dlatego ważne jest, aby być na bieżąco z aktualnym krajobrazem zagrożeń i posiadać wiedzę, jakie środki można przeciwko nim podjąć.

OT security staje się coraz ważniejsze wraz z rozwojem sieci. Zakłady produkcyjne są coraz bardziej inteligentne, a łańcuchy wartości cyfrowe. Stwarza to nowe okazje dla atakujących. Jeśli firma produkcyjna padnie ofiarą cyberataku, szkody są ogromne, a koszty często sięgają górnej części sześciocyfrowego przedziału.

IoT security (IoT = Internet rzeczy) dotyczy inteligentnych produktów lub urządzeń końcowych, nawet ekspresu do kawy. Posiada on interfejs sieciowy, dzięki któremu można kontrolować pewne funkcje, jak temperatura lub inne parametry za pomocą aplikacji. Chodzi tu przede wszystkim o zabezpieczenie urządzeń. Awaria ekspresu do kawy nie jest tragedią. Gorzej, gdy w zimie zawiedzie inteligentny system grzewczy.

Niestety świat nie jest idealny, przynajmniej w zakresie cyberbezpieczeństwa. Żadna firma nie posiada stuprocentowego zabezpieczenia przed atakami, co jednak nie powinno być wymówką do przyjmowania biernej postawy. W końcu każda organizacja posiada zasoby, które przynoszą jej zysk i są warte ochrony. Do stworzenia skutecznej koncepcji ważna jest przejrzystość i świadomość potencjalnego zagrożenia, a to zaczyna się od kierownictwa.

Żadne środki nigdy nie chronią w 100% przed atakami. Kluczowe jest, aby zdobyć odpowiednie know-how, stworzyć świadomość w organizacji, wdrożyć technologie oraz być nastawionym na nieustanne zdobywanie wiedzy. Cyberbezpieczeństwo to proces, który wymaga ciągłego doskonalenia.