Μεταφράζει η Χαρά Μπαμπούρη
Οι επιχειρήσεις μπορούν να χρησιμοποιήσουν αυτόν τον οδηγό προκειμένου να λάβουν αποφάσεις σχετικά με την σχεδίαση, την εφαρμογή και την διαχείριση των περιβαλλόντων επιχειρησιακής τεχνολογίας, ώστε να κατοχυρώσουν την ασφάλειά τους, καθώς και να ενεργοποιήσουν την συνέχεια των δραστηριοτήτων της επιχείρησης για υπηρεσίες ζωτικής σημασίας.
Το Διεθνές Ινστιτούτο Ασφάλειας των Ηνωμένων Πολιτειών συνεργάστηκε με τις αντιπροσωπείες κυβερνοασφάλειας από την Αυστραλία, τον Καναδά, την Γερμανία, την Ιαπωνία, την Ολλανδία, τη Νέα Ζηλανδία, την Νότιο Κορέα και το Ηνωμένο Βασίλειο για να δημοσιεύσουν τον οδηγό που περιέχει τις 6 αρχές που μπορούν να χρησιμοποιηθούν ως καθοδήγηση στην δημιουργία και συντήρηση μιας ασφαλής ζωτικής δομής σε ένα περιβάλλον επιχειρησιακής τεχνολογίας. Το “Αρχές της Επιχειρησιακής Τεχνολογίας Κυβερνοασφάλειας” προσφέρει στους εργαζόμενους στην ασφάλεια τρόπους να αναβαθμίσουν την ασφάλεια δομών ζωτικής σημασίας, όπως νερού ενέργειας και μέσων μεταφοράς.
Το αρχείο ενθαρρύνει τους οργανισμούς να καθορίσουν εάν το να κάνουν αλλαγές στα συστήματα επιχειρησιακής τεχνολογίας θα έχουν αντίκτυπο ή να διακόψει κάποια από τις αρχές, οι οποίες πιθανόν να παρουσίαζαν τρωτά σημεία στο περιβάλλον επιχειρησιακής τεχνολογίας, και να διερευνήσουν εάν οι σωστοί έλεγχοι ασφαλείας έχουν τεθεί ώστε να μετριάσουν τους κινδύνους.
Οι 6 αρχές είναι οι ακόλουθες:
Η ασφάλεια είναι πρωταρχικής σημασίας. Ενώ οι αλλαγές στα εταιρικά συστήματα πληροφορικής θα μπορούσαν να διαταράξουν την επιχειρησιακή συνέχεια, τα διακυβεύματα είναι υψηλότερα για τα περιβάλλοντα επιχειρησιακής τεχνολογίας. Αλλαγές σε δομές ζωτικής σημασίας θα μπορούσαν να οδηγήσουν σε θανατηφόρες απειλές για την ανθρώπινη ζωή ή σημαντική καταστροφή στον εξοπλισμό ή στο περιβάλλον. Οι βλάβες στις υποδομές ύδρευσης και ηλεκτρικής ενέργειας μπορεί να είναι καταστροφικές για τις κοινότητες και τα άτομα. Προκειμένου να διατηρηθούν οι κοινότητες ασφαλείς, οι διαχειριστές επιχειρησιακής τεχνολογίας θα πρέπει να εξετάσουν πως τα συστήματα μπορούν να επανεκκινηθούν και να δημιουργηθούν αντίγραφα ασφαλείας για να ελαχιστοποιηθεί η πιθανότητα διακοπής λειτουργίας. Η σκέψη για την ασφάλεια και την αξιοπιστία πρέπει να διαπερνά όλες τις εργασίες ακόμη και τις πιο συχνές εργασίες υγιεινής στον κυβερνοχώρο.
Η γνώση της επιχείρησης είναι κρίσιμη. Οι ομάδες θα πρέπει να γνωρίζουν τι χρειάζεται να είναι προστατευμένο και ποια μέρη της επιχείρησης είναι απαραίτητα για την προσφορά υπηρεσιών. Όταν τα ενδιαφερόμενα ηγετικά στελέχη είναι ενήμερα για τις ανησυχίες και πρακτικές της κυβερνοασφάλειας, τα αποτελέσματα βελτιώνονται. Πρακτικά, οι δραστηριότητες που υποστηρίζουν την αρχή αυτή, θα μπορούσαν να είναι κάτι σαν τη δημιουργία περιστατικών κυβερνοασφάλειας, βιβλιάρια απαντήσεων και πλάνα για την επιχειρησιακή συνέχεια που περιέχουν αρκετές πληροφορίες, ή χρωματική κωδικοποίηση καλωδίων και η αναγνώριση των λειτουργιών τους ώστε οι επαγγελματίες να εργαστούν πιο γρήγορα σε περίπτωση επείγουσας ανάγκης.
Τα δεδομένα επιχειρησιακής τεχνολογίας είναι εξαιρετικά πολύτιμα και χρειάζεται να προστατεύετε. Δεδομένου ότι η υποδομή επιχειρησιακής τεχνολογίας αλλάζει σπάνια, η διασφάλιση πληροφοριών σχετικά με τη διαμόρφωσή της είναι πρωταρχικής σημασίας. Δεδομένα μηχανικής διαμόρφωσης (όπως διαγράμματα δικτύου), έγγραφα που περιγράφουν την ακολουθία λειτουργιών, λογικά διαγράμματα και σχηματικά σχέδια παρέχουν στους ανταγωνιστές πληροφορίες για να αποκτήσουν σε βάθος γνώση του τρόπου λειτουργίας του συστήματος ή του τρόπου δομής του δικτύου. Ακόμη και βραχύβια δεδομένα, όπως οι ρυθμίσεις του μανόμετρου και τα επίπεδα τάσης, μπορούν επίσης να παρέχουν πληροφορίες για τις δραστηριότητες του οργανισμού, τη συμπεριφορά των πελατών και το συνολικό περιβάλλον επιχειρησιακής τεχνολογίας. Τα δεδομένα επιχειρησιακής τεχνολογίας θα πρέπει να διαχωρίζονται από τα εταιρικά περιβάλλοντα και το διαδίκτυο. Παρακολουθήστε ποιος έχει πρόσβαση στα δεδομένα, πώς και πότε, και πότε και πώς γίνεται η πρόσβαση σε αυτά.
Τμηματοποιήστε και διαχωρίστε την επιχειρησιακή τεχνολογία από όλα τα άλλα δίκτυα. Οι οντότητες θα πρέπει να τμηματοποιούν και να διαχωρίζουν τα δίκτυα επιχειρησιακής τεχνολογίας από το διαδίκτυο και από τα δίκτυα πληροφορικής για να μειώσουν τον κίνδυνο παραβίασης από το Διαδίκτυο ή συστήματα όπως το ηλεκτρονικό ταχυδρομείο ή η περιήγηση σε ιστότοπους. Τα δίκτυα επιχειρησιακής τεχνολογίας θα πρέπει επίσης να διαχωριστούν από τους προμηθευτές. Για παράδειγμα, τα δίκτυα επιχειρησιακής τεχνολογίας των δικτύων μεταφοράς ηλεκτρικής ενέργειας θα μπορούσαν να συνδεθούν με τα δίκτυα επιχειρησιακής τεχνολογίας άλλων δικτύων μεταφοράς ηλεκτρικής ενέργειας ή των πωλητών ή των δικτύων διανομής ηλεκτρικής ενέργειας. Η διαχείριση των δικτύων δεν πρέπει να γίνεται σε εταιρικά περιβάλλοντα, καθώς επιτρέπουν μεγαλύτερους κινδύνους.
Η εφοδιαστική αλυσίδα πρέπει να είναι ασφαλής. Οι προμηθευτές μπορεί να εκθέσουν τα συστήματα σε κίνδυνο κάτι που πρέπει να γνωρίζουν και να ελαχιστοποιούν οι ομάδες επιχειρησιακής τεχνολογίας, και πρέπει να έχουν επίγνωση όλων των συσκευών που αγγίζουν το δίκτυο επιχειρησιακής τεχνολογίας, μέχρι τους εκτυπωτές και τα τερματικά ή τα συστήματα διαχείρισης κτιρίων όπως το HVAC. Μάθετε πού βρίσκεται, ποιος το διαχειρίζεται και ποιο μπορεί να είναι το επίπεδο “ωριμότητας” στον κυβερνοχώρο του συστήματος αυτού του προμηθευτή
Οι άνθρωποι είναι απαραίτητοι για την ασφάλεια στον κυβερνοχώρο επιχειρησιακής τεχνολογίας. Σε περίπτωση περιστατικού κυβερνοασφάλειας, πρέπει να υπάρχουν εκπαιδευμένοι επαγγελματίες επιχειρησιακής τεχνολογίας για να ανταποκριθούν. Μια ισχυρή κουλτούρα κυβερνοασφάλειας είναι επιτακτική, όπως και η ύπαρξη διαφορετικών ατόμων με διαφορετικά σύνολα δεξιοτήτων, γνώσεων και εμπειρίας. Η κουλτούρα ασφάλειας θα πρέπει να δώσει έμφαση σε όλους τους ρόλους, συμπεριλαμβανομένων της πληροφορικής, των μηχανικών συστημάτων ελέγχου, του προσωπικού επιτόπιων επιχειρήσεων και των διαχειριστών περιουσιακών στοιχείων.
«Η δημόσια ασφάλεια και η ενίσχυση της στάσης μας προς τον κυβερνοχώρο βρίσκονται στο επίκεντρο αυτού του συγκεκριμένου CSI [δελτίου πληροφοριών κυβερνοασφάλειας]», δήλωσε ο Dave Luber, Διευθυντής Κυβερνοασφάλειας της NSA. “Οι έξι αρχές της επιχειρησιακής τεχνολογίας κυβερνοασφάλειας που διερευνώνται σε αυτό το CSI είναι ζωτικής σημασίας για όποιον θέλει να ενισχύσει τη στάση του στον κυβερνοχώρο και ιδιαίτερα σημαντικές για όσους εργάζονται σε ένα επιχειρησιακό τεχνολογικό περιβάλλον που υποστηρίζει τα ζωτικά συστήματα της χώρας μας.”
Πηγή:
https://www.darkreading.com/ics-ot-security/nsa-releases-6-principles-ot-cybersecurity
Η εθελοντική ομάδα του CSI Institute, αποτελούμενη από εξειδικευμένους επιστήμονες όπως, ψυχολόγους, εγκληματολόγους, κοινωνιολόγους καθώς και τεχνικούς δικτύων & πληροφορικής, είναι κοντά σας παρέχοντας πληροφορία, ενημέρωση και γνώση μέσα από ποικίλα θέματα αρθρογραφίας.