Nárast cloudovej konektivity zásadne a trvalo mení spôsob, akým sa spravujú priemyselné riadiace systémy (ICS – Industrial Control Systems) a prostredia operačnej technológie (OT – Operational Technology). Vďaka monitorovaniu dát v reálnom čase získavajú lídri firiem bezprecedentný prehľad o každodenných procesoch, čo im umožňuje prijímať rozhodnutia založené na dátach s priamym dopadom na hospodársky výsledok.
Presun do cloudu zároveň znižuje potrebu nákladných osobných návštev závodov a výrobných prevádzok. Keďže OT aktíva už nie sú izolované od internetu, problémy vo výrobe je možné riešiť oveľa rýchlejšie – bez nutnosti fyzickej prítomnosti technikov.
Na druhej strane však tento prechod do cloudu prináša aj nové ICS riziká, s ktorými sa musia vyrovnať CISO (Chief Information Security Officer) a ďalší bezpečnostní lídri. Kedysi airgapované systémy (t. j. fyzicky oddelené od internetu) sú teraz online, a preto sa aktéri hrozieb (threat actors) môžu pokúsiť získať k nim prístup pomocou škodlivých techník – čo môže ohroziť zariadenia, zamestnancov aj verejnú bezpečnosť.
Kľúčové ICS bezpečnostné riziká, ktoré treba zvážiť
S cloudovou konektivitou prichádza množstvo nových hrozieb. Tu je prehľad tých najzásadnejších:
Zraniteľné cloudové rozhrania
Nesprávne nakonfigurované alebo nezaplátané cloudové rozhrania predstavujú častý cieľ pre útočníkov. Úspešné narušenie môže útočníkovi poskytnúť priamu cestu do ICS organizácie. Ak navyše nie je sieť správne segmentovaná, útočník môže ľahko vykonávať laterálne pohyby (lateral movement) a spôsobiť ešte väčší rozsah narušenia.
Dáta v prenose (data in transit)
Ak nie sú správne šifrované, dáta prenášané medzi ICS a cloudom predstavujú kritické zraniteľné miesto. Útočník ich môže zachytiť cez man-in-the-middle útok, čo vedie k manipulácii s dátami alebo k DDoS útokom, ktoré môžu vyradiť životne dôležité procesy. Manipulované dáta môžu byť dokonca poslané späť do riadiacich systémov, čím sa ohrozí bezpečnosť technológie aj obsluhy.
Modely zdieľanej zodpovednosti
V cloudových systémoch je často nejasné, za čo je zodpovedný cloud provider a za čo zákazník. Zvyčajne je poskytovateľ zodpovedný za základnú infraštruktúru, ale zákazník musí spravovať kritické bezpečnostné kontroly – ako sú vzdialený prístup, ochrana dát, prístupové práva podľa rolí (role-based access control), reakcia na incidenty a iné. Pochopenie zodpovednosti v tomto modeli je kľúčové pre udržanie bezpečnosti.
Obmedzená viditeľnosť
Bezpečnostné tímy často nemajú úplnú viditeľnosť do cloudovej platformy. To sťažuje identifikáciu nesprávnych konfigurácií na strane poskytovateľa cloudu, čo vytvára slepé miesta, ktoré útočníci môžu ľahko zneužiť.
Ransomvér a riziká dodávateľského reťazca
Ak sa cloudový poskytovateľ stane cieľom ransomvérového útoku alebo zneužitia neopravených zraniteľností, následky môžu zasiahnuť aj vašu organizáciu. Útok sa môže rozšíriť z ich infraštruktúry na vašu, čo ohrozí ochranu ICS a môže viesť k strate alebo kompromitácii operačných dát či iných citlivých informácií.
Stratégie na zmiernenie ICS bezpečnostných rizík
Tieto scenáre nie sú nevyhnutné. Kľúčom je komplexná bezpečnostná stratégia, ktorá chráni ICS pred cloudovými rizikami. Tu sú hlavné odporúčania:
Kontinuálne monitorovanie
Keďže dáta medzi ICS a cloudom neustále prúdia, je nevyhnutné ich nepretržite monitorovať. Získate tak prehľad v reálnom čase, čo umožní rýchlo odhaliť a reagovať na podozrivé aktivity alebo incidenty.
Architektúra Zero Trust
Nikdy nedôveruj, vždy overuj. Princíp Zero Trust by mal byť súčasťou každého ICS prostredia. Znamená, že žiadny používateľ, zariadenie ani aplikácia nie sú predvolene dôveryhodné, bez ohľadu na ich umiestnenie. Neustále overovanie prístupových práv výrazne znižuje riziko prieniku do siete.
Bezpečný vzdialený prístup
Základom je multi-faktorová autentifikácia (MFA), ale rovnako dôležité je uplatňovanie princípu najnižších oprávnení (least privilege) – používateľ má prístup len k tým systémom, ktoré nevyhnutne potrebuje. Vedenie logov prístupov môže pomôcť rýchlo identifikovať podozrivé správanie.
Ochrana dát
Vzhľadom na neustály prenos dát medzi riadiacimi systémami a cloudom je šifrovanie absolútnou nutnosťou. Používajte správne šifrovacie protokoly, aby ste ochránili dáta pred man-in-the-middle útokmi, manipuláciou a inými formami narušenia integrity.
Zavedením týchto opatrení dokáže vaša organizácia využiť výhody cloudovej konektivity a zároveň proaktívne zvládať kybernetické riziká, ktoré s týmto prístupom prichádzajú.
Budovanie bezpečného ICS prostredia v cloude si vyžaduje kombináciu technických nástrojov, politík riadenia rizík, a najmä jasného porozumenia zodpovednosti medzi všetkými zúčastnenými stranami.