NAŠ SISTEM NE IZLAZI NA INTERNET. A ŠTA AKO IPAK IZLAZI?
Izolovani OT sistemi postaju dostupni online, a samim tim i podložni različitim cyber pretnjama. Kako smanjiti rizike u industrijskim okruženjima i zašto je važno posvetiti se cyber bezbednosti saznajemo od Matije Veljića, OT Cybersecurity Team Lead-a u kompaniji PULSEC, specijalizovanoj za cybersecurity tehnologije i servise.
Sistemi za nadzor i upravljanje industrijskim procesima su tokom godina imali nekoliko velikih stepenica u svom razvoju.
Uvođenje novih tehnologija u ove sisteme imalo je jasne benefite za korisnika.
Uglavnom se radilo o tehnologijama koje su automatizovale procese i činile nadzor sistema i procesa boljim i jednostavnijim, pa su samim tim i bile rado prihvaćene od strane timova koji su za te sisteme odgovorni.
Međutim, čini se da poslednja stepenica nije baš najbolje osvetljena, pa se ljudi lako o nju spotaknu.
Pre par godina, bili smo svedoci kako je jedan virus paralisao svet, ali vreme nije stalo, pa je neko ipak morao da nastavi da održava sve te sisteme.
Odjednom se javila velika potreba za udaljenim pristupom sistemima radi održavanja.
Udaljeni pristup, putem interneta, u sistemima gde ga ranije nije nužno bilo.
Za ove sisteme su zadužena lica čiji je osnovni zadatak da sistem radi, tzv. "Operational Technology" – OT timovi.
Ovi sistemi su tradicionalno bili zatvoreni po pitanju komunikacije, međutim kada se javila potreba za komunikacijom sa spoljnim svetom morali su da se obrate svom IT ti mu (u najboljem slučaju).
IT stručnjaci, koji se ne bave OT sistemima, trebalo je da ispune zahteve OT stručnjaka koji se ne bave IT sistemima.
Ovde se već nazire naša stepenica u mraku.
Sistemi koji su napravljeni da rade izolovano, sa slabom ili nikakvom cyber zaštitom, su postali dostupni putem interneta.
Sprovođenje digitalizacije, tj. primena tehnologija poput Cloud i IoT, u ovim sistemima je još jedan faktor koji zahteva konekciju sa spoljnim svetom.
Ove tehnologije kroz prikupljanje i analizu velike količine podataka donose benefite kao što su optimizacija procesa, uvid u operativno stanje mašina i prediktivno održavanje.
Uslov za rad ovih tehnologija, kao što im i ime kaže, zasniva se na konektivnosti .
Što su voda i vazduh za naša tela, to je kritična infrastruktura i industrija za moderan svet.
Kako se funkcionisanje ovih sistema oslanja na informacione sisteme i mreže, njihovo izlaganje spoljnom svetu punom cyber pretnji predstavlja izuzetan izazov.
Evropska komisija je 2022. godine usvojila obnovljenu Direktivu o merama za visoki zajednički nivo bezbednosti mrežnih i informacionih sistema - NIS2.
S obzirom na to da je težnja i zvanično proglašeni nacionalni strateški cilj Republike Srbije da postane država članica Evropske unije, trebalo bi da "sva cyber pitanja" rešava u skladu sa okvirom EU.
Ovo je dovelo do izrade Nacrta novog zakona o informacionoj bezbednosti , koji se u velikoj meri oslanja na NIS2 direktivu.
Nadležno ministarstvo je otvorilo javnu raspravu povodom Nacrta zakona o informacionoj bezbednosti , a zakon bi trebalo da bude usvojen do kraja 2024. godine.
U osnovi, cilj NIS2 direktive je dobra procena rizika od cyber napada i adekvatno reagovanje u slučaju istog.
Ovo se ostvaruje kroz postavljanje određenih ciljeva, pravovremenu komunikaciju u slučaju napada i razmenu znanja.
Kako bi podstakli sprovođenje, uvedene su rigorozne kazne, kako za preduzeća, tako i za članove najvišeg rukovodstva lično.
Primena standardnih IT rešenja radi smanjivanja rizika od cyber napada u industrijskim - OT okruženjima nije moguća, jer jednostavno prilikom razvoja ovih sistema postojali su drugačiji prioriteti .
Cyber zaštita u IT okruženju prvenstveno mora da štiti informacije, pa se ona zasniva po prioritetima na poverljivost, integritet i dostupnost, respektivno.
Kod OT sistema najbitniji je kontinuitet operacija, pa su prioriteti poređani kao dostupnost, integritet i poverljivost.
Ovo znači da mehanizmi za cyber bezbednost u OT sistemima moraju da budu posebno prilagođeni kako bi ispunili sve zahteve, kako operativne, tako i cyber bezbednosti .
Kompanija PULSEC formirala je tim koji se bavi isključivo zaštitom OT okruženja koji se sastoji od security inženjera koji su imali iskustva u radu sa OT sistemima i u potpunosti razumeju arhitekture i protokole koji su u tim okruženjima prisutni.
Naše znanje i iskustvo smo iskoristili kako bi razvili uređaj za simulaciju industrijskih postrojenja.
Cilj je bio da se ovaj uređaj sastoji u potpunosti od komponenti koje se mogu naći u pravim industrijskim postrojenjima, kako bi sa velikom sigurnošću mogli da proverimo kako će se određena rešenja i tehnike odraziti na OT okruženje.
Prilikom razvoja smo se takođe fokusirali na to da ovaj uređaj bude prenosiv da bi mogao da bude korišćen i za obuku korisnika u njihovim prostorijama.
Konačni uređaj je dobio ime "OT Demo Cabinet - OTDC" i predstavlja prenosnu platformu koja korisnicama omogućava da detaljno testi raju sisteme, fimware-e i patch-eve pre nego što ih primene u produkciji, kao i platformu na kojoj mogu da se izvode obuke i vežbe.
Ovo pokazuje našu posvećenost da našim korisnicima ponudimo proverena rešenja, visok nivo usluge i da uvek idemo korak dalje kako bi stvorili dodatnu vrednost.
Kao i svi zakoni, novi Zakon o informacionoj bezbednosti se donosi kako bi se društvo prilagodilo promenama i rešilo aktuelne izazove ucilju unapređenja života građana.
Stupanjem na snagu, on će direktno ili indirektno obuhvatiti sve privredne subjekte i obavezati ih da primene srazmerne mere cyber bezbednosti u svakodnevnom radu, što predstavlja veliki izazov imajući u vidu da je broj stručnjaka za cyber bezbednost na našim prostorima jako mali.
Kompanija PULSEC, kao kompanija specijalizovana za cyber bezbednost, raspolaže timovima iskusnih inženjera koji su u stanju da izvrše optimalan odabir i integraciju rešenja, efikasno reaguju na incidente i temeljno testiraju infrastrukturu.
Međutim, kako priča o cyber bezbednosti tu ne staje, naš "Security Operations Centar" pruža korisnicima neprekidni 24/7 nadzor infrastrukture, štiteći je od cyber napada i pravovremeno obaveštavajući korisnike o prvim pokazateljima potencijalnih pretnji.
