يمكن أن تبدو أنظمة IT و OT عوالم متباعدة ، وتاريخيا ، تم التعامل معها بهذه الطريقة. تمكنت الفرق والإدارات المختلفة من عملياتها ، غالبًا مع القليل من التواصل أو معدوم. لكن مع مرور الوقت أصبحت أنظمة OT متشددة بشكل متزايد ، وهذين العالمين ينزفان بعضهما البعض. ويستفيد الجهات الفاعلة للتهديد.
المنظمات التي لديها أنظمة و OT – في كثير من الأحيان منظمات البنية التحتية الحرجة – المخاطر على كل من هذه البيئتين موجودة وملحة. يتم تكليف CISOs وقادة الأمن الآخرين بتحدي تحطيم الحواجز بين الاثنين لإنشاء استراتيجية شاملة للأمن السيبراني.
الفجوة بينه وبين OT
لماذا يتم التعامل معها و OT على أنها مجالات منفصلة عندما يواجه كلا التهديدات الأمنية السيبرانية؟
“على الرغم من وجود الإنترنت على كلا الجانبين ، إلا أنها تختلف اختلافًا جذريًا في المفهوم” ، “إيان برامسون ، نائب رئيس الأمن السيبراني الصناعي العالمي في Black & Veatch، تخبر شركة الهندسة والمشتريات والاستشارات والبناء. “إنها واحدة من الأشياء التي أبقتهم أكثر تقليدية.”
العمر هو واحد من أبرز الاختلافات. في مسح Fortinet لمنظمات OT، شارك 74 ٪ من المجيبين أن متوسط عمر أنظمة التحكم الصناعية لديهم يتراوح بين ستة و 10 سنوات.
تم تصميم OT Technology لتستمر لسنوات ، إن لم يكن عقودًا ، وهي مضمنة بعمق في عمليات المنظمة. من ناحية أخرى ، يبدو عمره مختلفًا تمامًا.
يقول كريس هالنبيك ، CISO في شركة إدارة نقطة النهاية: “يُنظر إلى OT على أنها عمر أطول بكثير ، و 30 إلى 50 عامًا في بعض الحالات. تانيوم.
الحفاظ عليه وأنظمة OT تبدو مختلفة جدا ، أيضا. يمكن أن يكون لفرق تكنولوجيا المعلومات جداول تصحيح منتظمة. يتعين على فرق OT التخطيط مقدمًا لنوافذ الصيانة ، إذا كان يمكن تحديث الجهاز. التوقف في بيئات OT معقدة ومكلفة.
كما أن مجموعات المهارات المطلوبة من الفرق لتشغيلها وأنظمة OT مختلفة تمامًا. من جانب ، من المحتمل أن يكون لديك أشخاص ماهرون في هندسة النظم التقليدية. قد لا يكون لديهم أي فكرة عن كيفية إدارة وحدات التحكم المنطقية القابلة للبرمجة (PLC) شائعة الاستخدام في أنظمة OT.
كانت الفجوة بينه وبين OT ، في بعض النواحي ، هادفة. ال نموذج بوردو، على سبيل المثال ، يوفر إطارًا لتجزئة شبكات ICS ، مما يجعلها منفصلة عن شبكات الشركات والإنترنت.
ولكن بمرور الوقت ، نشأت المزيد والمزيد من المناسبات لعبول الفتوة بينه وبين أنظمة OT – عن قصد وغير مقصود -.
الأشخاص الذين يعملون على جانب OT يريدون القدرة على مراقبة العمليات الصناعية والتحكم فيها عن بُعد. “إذا كنت أرغب في القيام بذلك عن بُعد ، فأنا بحاجة إلى تسهيل هذا الاتصال. أحتاج إلى الحصول على بيانات من هذه الأنظمة لمراجعتها وتحليلها في موقع بعيد. ثم إرسال الأوامر إلى هذا النظام” ، Sonu Shankar ، CPO AT الفسفور، تشرح شركة الأمن السيبراني للمؤسسة XIOT.
إن الإمكانية الحقيقية للغاية أن تتقاطع أنظمة OT و IT عن طريق الخطأ هي اعتبار آخر ل CISOs. شهدت Hallenbeck لحام قوس صناعي متصل بجانب تكنولوجيا المعلومات من البيئة ، دون علم الأشخاص العاملين في الشركة.
“بطريقة ما تمت إضافة هذا النظام إلى Directory Active ، وكانوا فقط يشغلونه كما لو كان خادم Windows عادي ، والذي كان في كل طريقة ، باستثناء الجزء الذي تم ربطه مباشرة بنظام صناعي”. “يحدث في كثير من الأحيان.”
ناقلات الهجوم الإلكتروني على تكنولوجيا المعلومات وبيئات OT تبدو مختلفة وتؤدي إلى عواقب مختلفة.
يقول شانكار: “على جانب تكنولوجيا المعلومات ، فإن التأثير هو فقدان البيانات بشكل أساسي وجميع تأثيرات الترتيب الثاني لبياناتك التي تسرقها أو تمسك بياناتك بالهدية”. “تعطل عملية التصنيع ، وتعطيل إنتاج الأغذية ، وتعطيل إنتاج الزيت والغاز ، وتعطيل توزيع الطاقة … الآثار أكثر وضوحًا بالنسبة لنا في العالم المادي.”
في حين أن الاختلافات بينها وبين OT واضحة ، فإن الشركات تتجاهل حقيقة تقارب العالم في خطر. مع نمو الاتصال بين هذه الأنظمة ، وكذلك تبعياتهم والعواقب المحتملة للهجوم.
في نهاية المطاف ، لا يهتم الشركة إذا قام ممثل التهديد بالتعرض للخطر نظام تكنولوجيا المعلومات أو نظام OT. إنهم يهتمون بالتأثير. هل أدى الهجوم إلى سرقة البيانات؟ هل أثرت على السلامة البدنية؟ هل يمكن للشركة أن تعمل وتوليد الإيرادات؟
“عليك أن تبدأ التفكير في ذلك بشكل كلي كنظام واحد ضد تلك العواقب” ، يحث برامسون.
دمجه والأمن السيبراني
كيف يمكن ل CISO إنشاء استراتيجية للأمن السيبراني التي تديرها بشكل فعال و OT؟
تتمثل الخطوة الأولى في الحصول على فهم شامل للأجهزة والأنظمة هي جزء من كل من مجالات تكنولوجيا المعلومات و OT للعمل. بدون هذه المعلومات ، لا يمكن ل CISOs تحديد وتخفيف المخاطر.
يقول هالنبيك: “عليك أن تعرف أن الأنظمة موجودة. هناك هذا الميل إلى وضعها على الجانب الآخر من الجدار ، ماديًا أو افتراضيًا ، ولا أحد يعرف عددها الموجود ، وما هي الحالة ، وما هي الإصدارات الموجودة”.
في أحد أدواره في CISO ، Christos Tulumba ، CISO في شركة أمن البيانات وإدارة البيانات التماسكو عملت مع شركة لديها العديد من مصانع التصنيع ومراكز التوزيع. تعمل IT و OT على جانبي المنزل بشكل منفصل تمامًا.
“لقد مشيت إلى هناك … لقد فعلت خريطة الشبكة الأولى ، ورأيت كل هذا التعرض في كل مكان” ، كما يقول لـ Information Week. “لقد أثار الكثير من الإنذارات.”
بمجرد أن يكون لدى CISO خريطة الشبكة على جانب تكنولوجيا المعلومات وجانب OT ، يمكنهم البدء في تقييم المخاطر وبناء استراتيجية للتخفيف. هل توجد أجهزة تعمل على كلمات المرور الافتراضية؟ هل هناك أجهزة تعمل على تكوينات دون المستوى الأمثل أو البرامج الثابتة الضعيفة؟ هل هناك اتصالات غير ضرورية وتوصيلات OT؟
“أنت تبدأ في تحديد أولويات إجراءات العلاج وجدولة. قد لا تتمكن من تصحيح كل جهاز في نفس الوقت. قد تضطر إلى جدولةه ، ويجب أن تكون هناك استراتيجية لذلك” ، يشير شانكار.
عالم الأمن السيبراني مليء بالضوضاء. آخر التهديدات. أحدث الأدوات لإحباط تلك التهديدات. يمكن أن يكون من السهل الحصول على جرفها والارتباك. لكن شانكار يوصي اتخاذ خطوة إلى الوراء.
يقول: “النظافة الأمنية الأساسية هي ما سأبدأ به قبل استكشاف أي شيء أكثر تعقيدًا أو تقدمًا”. “معظم CISO ، يواصل معظم المشغلين تجاهل أفضل الممارسات لنظافة الأمن الأساسية وبدلاً من ذلك يصرفون كل الضوضاء الموجودة هناك.”
وكما يعلم جميع قادة الأمن السيبراني ، فإن عملهم مستمر. البيئات والتهديدات ليست ثابتة. تحتاج CISO إلى مراقبةها بشكل مستمر وأنظمة OT في سياق المخاطر وأهداف الأعمال. وهذا يتطلب مشاركة متسقة معها وفرق OT.
يقول هالينبيك: “يجب أن يكون هناك حوار مستمر والتذكير المستمر الذي يدفعهم وتحديهم ليكونوا مبدعين في تحقيق نفس الأهداف الأمنية ولكن القيام بذلك في سياق عالمهم …”.
ستحتاج CISO إلى موارد لتحقيق تلك الأهداف. وهذا يعني التواصل مع القادة التنفيذيين الآخرين ومجالسهم. لكي تكون فعالة ، لن تكون تلك المحادثات المستمرة عميقة ، وينهبون تقنيًا في عوالمه و. سيكونون مدفوعين بأهداف العمل والمخاطر: الدولارات والسنتات.
“بمجرد أن يكون لديك خطتك ، تكون قادرًا على وضعها في هذا السياق الذي سيفهمه المسؤولون التنفيذيون حتى تتمكن من الحصول على الموارد [and] يقول برامسون: “السلطات لاتخاذ إجراءات” ، في نهاية اليوم ، [this] هي مشكلة في العمل ، وعندما تلمس OT ، فأنت تلمس شريان الحياة ، وتنفس الحياة لكيفية عمل هذا العمل ، وكيف يولد الإيرادات. ”
بناء مجموعة مهارات IT/OT
يتطلب IT و OT Security مجموعات مهارات مختلفة بعدة طرق ، وقد لا يكون لدى CISO كل هذه المهارات بسهولة في متناول أيديها. العالم الرقمي بعيد كل البعد عن التكنولوجيا الصناعية. من المهم التعرف على فجوات المعرفة وإيجاد طرق لملئها.
يقول برامسون: “يمكن أن يكون ذلك من التوظيف ، يمكن أن يكون من خبرة الخبرة الخارجيين ، والشراكات الرئيسية”.
يمكن أن يكون الشريك الخارجي ذو الخبرة في مساحة OT أحد الأصول عندما يزور CISOs مواقع OT-ويجب أن يقوموا بهذه الرحلة الشخصية. ولكن إذا ظهر شخص لا يعرف المعرفة الخاصة بالموقع ويبدأ في الهدوء ، فمن المحتمل أن يتعارض مع مدير الموقع أكثر من تحسين الأمن السيبراني.
يقول برامسون: “سأقدم أن يذهبوا مع شريك أو مع شخص قام بذلك من قبل ؛ الأشخاص الذين يعانون من الائتمان ، والأشخاص الذين كانوا ممارسين في هذا المجال ، الذين ساروا المواقع”.
يمكن أن يساعد في تسهيل التواصل بشكل أفضل. يمكن لقادة الأمن وقادة OT مشاركة وجهات نظرهم وأولوياتهم لإنشاء خطة مشتركة تتناسب مع تدفق الأعمال.
تحتاج CISO أيضًا إلى موهبة داخلية على جانب تكنولوجيا المعلومات و OT للحفاظ على الأمن السيبراني وتعزيزه. التوظيف هو احتمال ، لكن قيود المواهب المعروفة في مجموعة الأمن السيبراني الأوسع تصبح أكثر وضوحًا عند شرعك للعثور على موهبة أمان.
يقول هالينبيك: “لا يوجد الكثير من ممارسي الأمن المحددة بشكل عام ووجود أشخاص داخل هذه الشركات الموجودة في جانب OT الذين لديهم تدريب محدد للأمن ، وهذا أمر نادر للغاية”.
لكن cisos لا يحتاج إلى اليأس. يمكن تطوير هذه الموهبة داخليًا من خلال upsklilling. تولومبا في الواقع تدعو إلى upskengling على التوظيف من الخارج. “لقد كنت مثل هذا حياتي المهنية بأكملها. أعتقد أن أفضل الفرق أداءً إلى حد كبير هي التي يتم ترقيتها من الداخل” ، كما أنه يشارك.
نظرًا لأن حتمية أنظمة OT و OT تتفاعل مع بعضها البعض ، فإن upskilling مهم على كلا الجانبين. يقول تولومبا: “في نهاية المطاف ، قم بتدريب أهلك … لفهم جانب تكنولوجيا المعلومات وجانب OT”.
