Mýty a povery

V tejto kapitole sú uvedené najčastejšie reakcie k téme kybernetickej bezpečnosti OT systémov. Mnohé reakcie vychádzajú z minulosti, nízkej znalosti problematiky alebo len jednoducho podceňovania významu a dôležitosti riešenia kybernetickej bezpečnosti.

Mýtus č.1:

„doteraz sme to nepotrebovali a nič sa nestalo“ … dopĺňame „áno ale iba zatiaľ“. Nástupom nových technológií priemyselných riadiacich systémov založených na mikroprocesorových riešeniach a vznikom nových typov škodlivých kódov (malvéru) vzniká nevyhnutná potreba riešenia kybernetickej bezpečnosti.

• viac v kapitole: Bezpečnosť priemyselných OT systémov

Mýtus č.2:

„máme samostatnú technologickú LAN sieť ktorá je zabezpečená firewall-om“ oddelenie LAN sietí prostredníctvom samostatného firewallu je v súčasnosti nepostačujúce, keďže štatistika dokazuje, že cca 80% kybernetických útokov je „z vnútra“, to znamená že škodlivý kód je zanesený priamym pripojením sa do vnútornej LAN siete alebo dokonca priamym pripojením sa na koncové OT zariadenie. Dôvody môžu byť aj prozaické, či už sa jedná o úmyselnú alebo aj neúmyselnú činnosť ako napr. servisné práce, plánované úpravy na zariadeniach a pod. Účinnú a odskúšanú bezpečnosť predstavuje dôsledná implementácia princípov popísaných v koncepte Defence-in-depth v každom koncovom zriadení OT systémov.

Pozn.: V súčasnosti má každé koncové zariadenie IT systémov (počítač, server, notebook, …) implementovaný vlastný samostatný firewall, antivírové a šifrovacie funkcie. O väčšine súčasných OT zariadeniach sa to však tvrdiť nedá.

• viac čítaj v kapitole: Odporúčania pre sektor Energetika

Mýtus č.3:

„naše systémy sú zabezpečené menom a heslom“ zabezpečenie len pomocou prihlasovacieho mena a hesla v súčasnosti už neposkytuje dostatočnú úroveň zabezpečenia OT systémov. Nehovoriac o tom, že samotný proces prideľovania a správy prihlasovacích mien a hesiel je v praxi založený na „ľudskom faktore“ a vnáša zraniteľnosť do systému. Riešením je implementácia princípov popísaných v koncepte Defence-in-depth.

• viac v kapitole: Odporúčania pre sektor Energetika

Mýtus č.5:

„u nás to riešia IT-čkári“ typická reakcia svedčiaca o nízkej znalosti rozdielov IT a OT systémov, resp. ľudská vlastnosť hodiť „problém na plecia iného“. Kybernetická bezpečnosť systémov IT a OT je v základných rysoch podobná téma. Napriek tomu majú OT systémy svoje vlastné špecifiká presahujúce požiadavky IT. Naviac samotné OT zariadenia nepatria do správy a údržby IT technikov.

• viac v kapitole: Technologický a funkčný rozdiel medzi IT a OT

Kybernetickú bezpečnosť OT systémov si vyžaduje komplexný prístup a treba ju riešiť aj na úrovni vnútrofiremných procesov, kompetencií a zodpovedností a tomu prispôsobiť aj organizačnú štruktúru.

Mýtus č.6:

„výrobcovia OT systémov nám tvrdia, že to majú vyriešené“ ďalšia typická reakcia typu „jedna pani povedala…“ alebo „papier znesie všetko“ alebo „nikto Ti nevie splniť, to čo Ti ja viem sľúbiť“. Pravda je taká, že čelíme tlaku dezinformácií, polo-právd a zmanipulovaných informácií.  Stretávame sa aj s prípadmi, kedy výrobca predloží certifikát o kybernetickej bezpečnosti, ktorý si vystavil sám sebe.