Ο Βασίλης Βλάχος, Country Manager Ελλάδας και Κύπρου της Kaspersky, αναλύει τις σύνθετες προκλήσεις που αντιμετωπίζει η αξιολόγηση της ασφάλειας των βιομηχανικών συστημάτων, τον κρίσιμο ρόλο των επαγγελματιών κυβερνοασφάλειας στην προστασία τους, καθώς και τα βαθύτερα αίτια πίσω από τις συνεχώς αυξανόμενες κυβερνοαπειλές στις ταχέως εξελισσόμενες βιομηχανίες.
Υπάρχει έντονη συζήτηση – και σε κυβερνητικό επίπεδο – σχετικά με την ανάγκη διασφάλισης της ασφάλειας των βιομηχανικών συστημάτων σε τομείς όπως οι μεταφορές και τα logistics αλλά και στα έξυπνα κτίρια.
Ο πιο αδύναμος κρίκος στην αλυσίδα της ασφάλειας των βιομηχανικών συστημάτων είναι ο λανθασμένος επιμερισμός ευθυνών. Τα συστήματα αυτά είναι εξαιρετικά πολύπλοκα και η προστασία τους εξαρτάται από πολλούς παράγοντες: προμηθευτές λογισμικού, integrators και εταιρείες εκμετάλλευσης. Παρόλο που όλοι αυτοί οι εμπλεκόμενοι συμβάλλουν καθοριστικά στην ασφάλεια, κανείς δεν αναλαμβάνει την πλήρη ευθύνη. Οι προμηθευτές ενδέχεται να ενσωματώσουν ελαττωματικό λογισμικό, οι integrators να παραβλέψουν κρίσιμα θέματα, ενώ οι εταιρείες εκμετάλλευσης συχνά δεν εφαρμόζουν επαρκή πρωτόκολλα και διαδικασίες ασφαλείας. Αυτό το κενό ευθύνης αφήνει τα συστήματα ευάλωτα σε κυβερνοαπειλές.
Ένας κακόβουλος χρήστης εκμεταλλεύεται έναν συνδυασμό παραμελημένων παραγόντων. Το μοντέλο του ελβετικού τυριού δεν ευσταθεί – ο επιτιθέμενος βρίσκει τα κατάλληλα κενά και φτάνει στον στόχο. Ο βασικός παράγοντας που μετατρέπει έναν δυνητικό κίνδυνο σε πραγματική απειλή είναι οι άνθρωποι και οι αποφάσεις που λαμβάνουν.
Όταν συμβαίνει μια επίθεση, η ευθύνη συχνά επιρρίπτεται στους «αδύναμους κωδικούς πρόσβασης». Ωστόσο, η ευθύνη δεν πρέπει να κατανεμηθεί με αυτόν τον τρόπο. Οι αδύναμοι κωδικοί πρόσβασης είναι όντως πρόβλημα, αλλά το πραγματικό ζήτημα είναι η απουσία αποτελεσματικών πολιτικών διαχείρισης κωδικών. Η υποτίμηση των απειλών και η μη χρηματοδότηση της ασφάλειας στον κυβερνοχώρο είναι ακόμη χειρότερη. Η συστηματική υπονόμευση της ποιότητας, της ασφάλειας και της προστασίας του προϊόντος είναι το μεγαλύτερο ατόπημα.
Η ευπάθεια των βιομηχανικών συστημάτων μπορεί να επηρεάσει την οικονομία μιας χώρας. Εάν οι κρίσιμες υποδομές αποτύχουν, επηρεάζοντας την ευημερία και την υγεία των ανθρώπων, οι συνέπειες μπορεί να είναι σοβαρές. Αυτό είναι το είδος του σεναρίου που καλύπτεται από την οδηγία NIS 2, η οποία επιβάλλει υποχρεώσεις κυβερνοασφάλειας στους φορείς εκμετάλλευσης βασικών υπηρεσιών και στους παρόχους ψηφιακών υπηρεσιών να αναφέρουν περιστατικά στις αρχές.
Οι εθνικές αρχές αναλαμβάνουν την ευθύνη για την αντιμετώπιση συγκεκριμένων απειλών μέσω νομοθετικών πρωτοβουλιών. Για παράδειγμα, στον τομέα της πυρηνικής ενέργειας χρησιμοποιείται η έννοια της «απειλής βάσει σχεδιασμού», μια μεθοδολογία που αναπτύχθηκε από τον Διεθνή Οργανισμό Ατομικής Ενέργειας (ΔΟΑΕ) για την αξιολόγηση των απειλών πυρηνικής ασφάλειας. Όταν οι δράστες μιας επίθεσης διαθέτουν συγκεκριμένες δυνατότητες ή δρουν με οργανωμένο και εξελιγμένο τρόπο, η ευθύνη συχνά μετατοπίζεται προς το κράτος. Σε τέτοιες περιπτώσεις, η αντιμετώπιση των απειλών ξεπερνά τα όρια της επιχειρησιακής ασφάλειας και αγγίζει ζητήματα εθνικής άμυνας και κρατικής πολιτικής.
Η εκάστοτε κυβέρνηση καθορίζει πότε ένα ζήτημα κυβερνοασφάλειας γίνεται ζήτημα εθνικής ασφάλειας, όπως ο Κώδικας Οδικής Κυκλοφορίας συμβάλλει στην εξασφάλιση της οδικής ασφάλειας. Ενώ η κυβέρνηση θέτει κατευθυντήριες γραμμές, η πρόληψη περιστατικών κυβερνοασφάλειας σε βιομηχανικά συστήματα είναι τελικά ευθύνη των επιχειρήσεων. Εάν ένα βιομηχανικό σύστημα συμμορφώνεται με το πρωτόκολλο ISA/IEC 62443, αυτό δεν σημαίνει αυτόματα ότι είναι πλήρως προστατευμένο.
Οι διάφορες χώρες έχουν διαφορετικά επίπεδα ετοιμότητας για επιθέσεις. Η Kaspersky ICS CERT δημοσιεύει τακτικά στατιστικά στοιχεία σχετικά με τις τάσεις των επιθέσεων. Το 2016, αναλύσαμε τη διαχείριση της ασφάλειας κρίσιμων υποδομών σε διάφορες χώρες. Η μελέτη, η οποία βασίστηκε σε δεδομένα από τη Διεθνή Ένωση Τηλεπικοινωνιών (ITU), ανέδειξε τις διαφορές στην ετοιμότητα των χωρών και τη συχνότητα των επιθέσεων. Από τότε η κατάσταση έχει εξελιχθεί, με πολλές χώρες να προσαρμόζονται στις νέες απειλές και να ενισχύουν τις στρατηγικές τους για την προστασία των υποδομών τους.
Ο κλάδος της κυβερνοασφάλειας δεν συμβαδίζει πάντα με την ταχεία τεχνολογική ανάπτυξη. Η κυβερνοασφάλεια, ως σχετικά νέος κλάδος, διαθέτει επαγγελματίες υψηλού επιπέδου, αλλά λίγους που ενσωματώνουν διαφορετικές τεχνολογίες και βιομηχανίες. Η εφαρμοσμένη έρευνα, η οποία συχνά διεξάγεται από μεγάλες εταιρείες ή από εταιρείες με κρατική χρηματοδότηση, είναι απαραίτητη για τις ανακαλύψεις στην κυβερνοασφάλεια. Οι ερευνητικές ομάδες, όπως η Open Group, είναι αποτελεσματικές, αν και χρειάζονται δεδομένα από τον πραγματικό κόσμο για να αποφύγουν τη στασιμότητα.
Ένα σύστημα που είναι σε θέση να αντέξει επιθέσεις, ακόμη και απρόβλεπτες, αποτελεί ένα ολοκληρωμένο σύστημα κυβερνοασφάλειας. Αυτό επιτυγχάνεται μέσω της προσέγγισης του “security-by-design”. Ο βασικός στόχος κατά τον σχεδιασμό ή την αναβάθμιση μιας εγκατάστασης είναι η πρόληψη επικίνδυνων περιστατικών. Εάν λάβουμε υπόψη τόσο τις απρόβλεπτες αποτυχίες όσο και τις σκόπιμες παραβιάσεις, μπορούμε να παραμείνουμε μπροστά από τις εξελίξεις. Η κυβερνοασφάλεια δεν αφορά μόνο την αντίδραση σε επιθέσεις, αλλά και την προετοιμασία για αυτές.
Οι άνθρωποι συχνά ρωτούν: «Πώς θα το εφαρμόσουμε αυτό;» Η αποτελεσματική πρόληψη υπερτερεί σε σχέση με οποιαδήποτε τακτική αντιμετώπισης. Συνεπώς, σχετίζεται με τον καθορισμό στόχων και κριτηρίων: τι πρέπει να κάνει το σύστημα, όχι τι πρέπει να αποφύγει. Οι απαιτήσεις πρέπει να επικεντρώνονται στη διασφάλιση της λειτουργίας του συστήματος με τα κατάλληλα πρωτοκόλλα ασφαλείας.
Η ασφάλεια θα πρέπει να αντιμετωπίζεται ως ένα από τα θεμελιώδη χαρακτηριστικά ενός συστήματος. Με την υιοθέτηση της πρόληψης και την αναγνώριση της σημασίας τόσο της φυσικής όσο και της λειτουργικής ασφάλειας, θα είμαστε καλά εξοπλισμένοι για να αντιμετωπίσουμε αυτή την πρόκληση.
