Yritysjohtajat laiminlyövät operatiivisen teknologian (OT) riskin omalla vastuullaan. Nämä järjestelmät pyörittävät joitakin Yhdistyneen kuningaskunnan kriittisimmistä kansallisista infrastruktuureista (CNI) – ydinvoimaloista vedenkäsittelylaitoksiin. Toisin kuin IT-uhat, OT:hen kohdistuvilla hyökkäyksillä voi olla suora fyysinen vaikutus väestöön. Silti CNI:n hallitukset syyllistyvät usein muiden liiketoimintatavoitteiden asettamiseen kyberturvallisuuden edelle.

Se saattaa olla muuttumassa sen myötä, uuden raportin julkaiseminen OT-tietoturva-asiantuntija Dragosin julkaisema tutkimus. Vakuutusyhtiö Marsh McLennanin riippumattoman analyysin tuella selvitys paljastaa, että OT-tapahtumiin liittyvä vuosittainen taloudellinen riski voi olla jopa 329.5 miljardia dollaria. Kysymys kuuluu: mitä tapahtuu seuraavaksi, jos hallitukset vihdoin alkavat kuunnella tietoturvajohtajiaan?

Miksi toimintahäiriöt ovat vaarassa?

OT-tietoturva ei ole kaikilta osin kamalaa. Mutta yleisiä puutteita ovat:

  • Vanhat laitteet, joilla on pitkä käyttöikä ja jotka usein käyttävät vanhentunutta ohjelmistoa joko laitteiston yhteensopivuusongelmien ja/tai korjausten vaikeuden vuoksi.
  • Historialliset riskienhallintamenetelmät, joissa käytettiin OT-järjestelmien eristämistä julkisesta internetistä. Nämä lähestymistavat ovat nyt epäonnistumassa, kun järjestelmät lähentyvät yhä enemmän IT-järjestelmiä ja niihin asennetaan liitettävyyttä.
  • Vinoutuneet prioriteetit, jotka asettavat saatavuuden ja turvallisuuden etusijalle tietoturvan sijaan

Tämän seurauksena monet OT-ympäristöt jäävät vaille kriittisiä päivityksiä, käyttävät vanhentunutta ja suojaamatonta tietoliikenneprotokollaa ja niissä on tasaisia, segmentoimattomia verkkoja. OT-resurssien tuntemus voi myös olla puutteellista ja todennus, kuten päätelaitteiden staattiset salasanat, voi olla heikkoa.

Tällaisia ​​tietoturvaongelmia hyödynnettiin tunnetusti mm. Kiinalaiset uhkatoimijat "esiasemoida" itsensä Yhdysvaltain CNI-verkoissa tarkoituksenaan käynnistää tuhoisia hyökkäyksiä konfliktin sattuessa. March McLennanin mukaan sektorit, joihin OT-hyökkäykset ovat useimmin kohdistuneet viimeisen vuosikymmenen aikana, olivat

  • Terveydenhoito (27%)
  • Rakentaminen (27 %)
  • Teollisuus (16%)
  • Rakennusautomaatio: (3 %)
  • Yleishyödylliset palvelut: (2 %)

Mitä raportti sanoo

Saadakseen selville toimintahäiriöriskin luvun, jonka uskotaan olevan ensimmäinen kerta, kun taloudellista riskiä on mitattu tällä tavalla, Marsh McLennan analysoi tietoja yhdestä maailman suurimmista vakuutuskorvaustietokannoista. Se analysoi myös riippumattomien kolmansien osapuolten tietoja, vakuutettavuusraportteja ja vakuutusmurtotapausten korvausraportteja – vuosilta 2014–2024.

Raportissa todetaan pahimman mahdollisen skenaarion, jossa OT-kyberongelmat aiheuttavat lähes 330 miljardin dollarin vuosittaisen taloudellisen riskin, ohella liiketoiminnan keskeytyskorvausvaatimukseen johtavat tapahtumat voivat aiheuttaa 172 miljardin dollarin tappiot. On mielenkiintoista, että suuri osa näistä tappioista johtuu epäsuorista kustannuksista, joita ei usein lasketa mukaan riskien mallintamiseen. Noin 70 % OT-tietomurroista aiheuttaa näitä kustannuksia, jotka johtuvat toiminnan häiriöistä ja "runsaan varovaisuuden" vuoksi tehdyistä seisokeista.

”Yhteenliitettyjen OT-järjestelmien monimutkaisuus voi usein aiheuttaa kokonaisriskin kasvua näissä ympäristöissä”, raportissa todetaan.

 Ylimmän johdon huolenaihe

Dragosin mukaan organisaatioilla on historiallisesti ollut vaikeuksia hallita toimintaterapiariskiä, ​​koska:

  • He eivät kyenneet määrittämään tiettyihin tapauksiin liittyvää taloudellista vastuuta
  • He eivät kyenneet mittaamaan OT-tietoturvakontrollien tehokkuutta
  • Heiltä puuttuivat riippumattomat vertailuarvot, joiden perusteella he olisivat voineet päätellä, mitkä kontrollit ovat tärkeimpiä ja miksi.

Raportin ansiosta heillä on nyt parempi näkemys tilanteesta. Siinä korostetaan seuraavia viittä tehokkainta kontrollia, jotka vähentävät OT-rikkomuksesta aiheutuvien "taloudellisten tappioiden todennäköisyyttä ja vakavuutta":

  • Tapahtumasuunnitelmat
  • Puolustettava arkkitehtuuri
  • Verkon näkyvyys ja valvonta
  • Suojattu etäkäyttö
  • Riskeihin perustuva haavoittuvuuden hallinta

Dragosin kenttäteknologiajohtaja Phil Tonkin selittää, että puolustuskelpoisen arkkitehtuurin rakentamisen on alettava ymmärtämällä fyysiset prosessit ja turvallisuuskriittiset järjestelmät, joiden varaan teolliset toiminnot rakentuvat.

”OT-järjestelmien puolustettavan arkkitehtuurin on oltava suunniteltu kestämään kohdennettuja hyökkäyksiä, tahattomia häiriöitä ja muita vikoja. Tämä tarkoittaa ohjausverkkojen eristämistä yritysjärjestelmistä, tiukkojen etäyhteyksien käyttöoikeuksien hallinnan valvontaa ja näkyvyyden varmistamista kaikkiin resursseihin ja viestintäreitteihin”, hän kertoo ISMS.online-sivustolle.

”Se edellyttää myös järjestelmien suunnittelua ottaen huomioon niiden sietokyvyn. Tämä tarkoittaa, että vaikka tietomurto tapahtuisi, sen vaikutukset ovat rajatut ja palautuminen on nopeaa. Arkkitehtuurin on heijastettava minkä tahansa teollisen ohjausjärjestelmän toiminnallisia realiteetteja – ei pelkästään IT-turvallisuuden teoreettisia malleja. Kyse on luottamuksen luomisesta itse infrastruktuuriin.”

Seuraava vaihe

Dragosin raportin kaltaisten vakuuttavien tietojen avulla OT-tietoturvajohtajilla on loistava tilaisuus aloittaa strategiset keskustelut ylimmän johdon kanssa siitä, miten operatiivista turvallisuutta voidaan parhaiten parantaa.

”Seuraava askel on kääntää operatiiviset haavoittuvuudet liiketoiminnan kielelle – osoittaa, miten heikentynyt ohjausjärjestelmä voi johtaa tuotannon seisokkeihin, turvallisuuspoikkeamiin tai sääntelyyn liittyviin riskeihin. Johtajat voivat nyt mitata tätä riskiä ja osoittaa, miten tietyt kontrollit vähentävät sitä”, Tonkin sanoo.

”Tämä antaa heille mahdollisuuden ajaa kohdennettuja investointeja, ei vain laajoja tietoturvamenoja. Se avaa myös oven merkityksellisemmälle yhteistyölle operatiivisten, talous- ja riskitiimien välillä. Tavoitteena on siirtyä reaktiivisista puolustusjärjestelmistä ennakoivaan resilienssiin – OT-tietoturvan upottaminen organisaation yleiseen riskinhallintaan ja päätöksentekokehykseen.”

Parhaiden käytäntöjen standardit voivat auttaa näissä pyrkimyksissä, erityisesti ISO 62443 – joka on suunniteltu teollisuusautomaatio- ja ohjausjärjestelmiä ajatellen. Tärkeintä on varmistaa, että niitä sovelletaan ”OT-linssin läpi”, Tonkin sanoo.

”Huolellisesti mukautettuina nämä standardit voivat auttaa toimintaterapiatiimejä luomaan strukturoidun lähestymistavan riskienhallintaan”, hän päättelee.

”Turvallisuustiimien ja johdon on usein ollut vaikeaa yhdistää näitä viitekehyksiä mitattavissa oleviin tuloksiin. Mutta nyt voimme nähdä, miten tietyt toimintahäiriöiden hallintakeinot, kuten tapausten reagointisuunnittelu ja verkon näkyvyys, korreloivat suoraan taloudellisten riskien vähentämiseen.”