OT-risiko kan 'n probleem van $330 miljard wees: Hoe los ons dit op?

Sakeleiers verwaarloos die risiko van operasionele tegnologie (OT) op eie risiko. Dit is die stelsels wat van die VK se mees kritieke nasionale infrastruktuur (CNI) aandryf – van kernkragsentrales tot waterbehandelingsfasiliteite. Anders as IT-bedreigings, kan aanvalle wat op OT gemik is, 'n direkte fisiese impak op die bevolking hê. Tog is CNI-rade dikwels skuldig daaraan om ander sakedoelwitte bo kuberveiligheid te prioritiseer.

Dit gaan dalk verander met die publikasie van 'n nuwe verslag van OT-sekuriteitspesialis Dragos. Gerugsteun deur onafhanklike ontleding van versekeraar Marsh McLennan, toon dit dat die jaarlikse finansiële risiko wat met OT-voorvalle verband hou, soveel as $329.5 miljard kan wees. Die vraag is: as rade uiteindelik na hul KISO's begin luister, wat gebeur volgende?

Waarom is OT in gevaar?

OT-sekuriteit is nie oor die algemeen verskriklik nie. Maar algemene tekortkominge sluit in:

• Ou toerusting wat 'n lang lewensduur het en dikwels verouderde sagteware gebruik, óf as gevolg van hardeware-versoenbaarheidsprobleme en/of omdat dit moeilik is om vanlyn te gaan om op te dateer.
• Historiese benaderings tot risikobestuur wat die ontkoppeling van OT-stelsels van die openbare internet behels het. Hierdie benaderings misluk nou, aangesien stelsels toenemend met IT konvergeer en met konnektiwiteit toegerus is.
• Skewe prioriteite wat beskikbaarheid en veiligheid bo sekuriteit prioritiseer

Gevolglik word baie OT-omgewings sonder kritieke opdaterings gelaat, gebruik hulle verouderde, onveilige kommunikasieprotokolle en beskik hulle oor plat, ongesegmenteerde netwerke. Daar kan ook 'n gebrek aan insig in OT-bates wees, en swak verifikasie soos statiese wagwoorde op eindpunte.

Sekuriteitskwessies soos hierdie is beroemd uitgebuit deur Chinese bedreigingsakteurs om hulself op Amerikaanse CNI-netwerke te “voorposisioneer”, met die doel om vernietigende aanvalle te loods in die geval van 'n konflik. Volgens March McLennan was die sektore wat die afgelope dekade die meeste deur OT-oortredings getref is

• Gesondheidsorg (27%)
• Konstruksie (27%)
• Vervaardiging (16%)
• Gebououtomatisering: (3%)
• Nutsdienste: (2%)

Wat die verslag sê

Om by die syfer vir OT-risiko uit te kom, vermoedelik die eerste keer dat finansiële risiko op hierdie manier gemeet is, het Marsh McLennan data van een van die wêreld se grootste versekeringseise-databasisse verwerk. Dit het ook onafhanklike derdeparty-data, versekerbaarheidsverslae en oortredingsherstelverslae – wat die tydperk 2014-2024 dek – ontleed.

Benewens die ergste scenario van OT-kubervoorvalle wat 'n finansiële risiko van byna $330 miljard per jaar tot gevolg het, merk die verslag op dat voorvalle wat lei tot 'n eis vir sake-onderbreking $172 miljard in verliese kan veroorsaak. Interessant genoeg kom baie van hierdie verliese van indirekte koste – wat dikwels nie as deel van risikomodellering getel word nie. Sowat 70% van OT-oortredings dra hierdie koste aan – wat voortspruit uit verwante operasionele ontwrigting en "oorvloed-van-voorsigtigheid"-afsluitings.

“Die kompleksiteite van onderling gekoppelde OT-stelsels kan dikwels saamgestelde totale risiko in hierdie omgewings meebring,” lui die verslag.

 'n C-suite-kommernis

Volgens Dragos het organisasies histories gesukkel om OT-risiko te bestuur omdat:

• Hulle kon nie die finansiële blootstelling wat verband hou met spesifieke voorvalle kwantifiseer nie.
• Hulle kon nie die doeltreffendheid van OT-sekuriteitsbeheer meet nie.
• Hulle het nie onafhanklike maatstawwe gehad om hulle in te lig watter beheermaatreëls die belangrikste is, en hoekom nie.

Nou het hulle beter insig, danksy die verslag. Dit beklemtoon die volgende vyf beheermaatreëls as die doeltreffendste om "die waarskynlikheid en erns van finansiële verlies" as gevolg van 'n OT-oortreding te verminder:

• Voorvalreaksieplanne
• Verdedigbare argitektuur
• Netwerksigbaarheid en -monitering
• Beveiligde toegang op afstand
• Risikogebaseerde kwesbaarheidsbestuur

Phil Tonkin, tegniese hoof van Dragos se veld, verduidelik dat die bou van 'n verdedigbare argitektuur moet begin met 'n begrip van die fisiese prosesse en veiligheidskritieke stelsels waarop industriële bedrywighede gebou is.

“’n Verdedigbare argitektuur in OT moet ontwerp word om geteikende aanvalle, toevallige ontwrigtings en ander mislukkings te weerstaan. Dit beteken om beheernetwerke van ondernemingstelsels te isoleer, streng toegangsbeheer vir afstandkonnektiwiteit af te dwing, en sigbaarheid in elke bate en kommunikasieroete te verseker,” sê hy vir ISMS.online.

“Dit vereis ook die ontwerp van stelsels met veerkragtigheid in gedagte. Dit beteken dat, selfs al vind 'n oortreding plaas, die impak beperk word en herstel vinnig kan wees. Die argitektuur moet die operasionele realiteite van enige industriële beheerstelsel weerspieël – nie net die teoretiese modelle van IT-sekuriteit nie. Dit gaan daaroor om vertroue in die infrastruktuur self te integreer.”

Die volgende stap

Gewapen met dwingende data soos dié in die Dragos-verslag, het OT-sekuriteitsleiers 'n wonderlike geleentheid om strategiese besprekings met senior leierskap te begin oor hoe om operasionele sekuriteit die beste te verbeter.

"Die volgende stap is om operasionele kwesbaarhede in besigheidstaal te vertaal – om te wys hoe 'n gekompromitteerde beheerstelsel tot produksie-onderbrekings, veiligheidsvoorvalle of regulatoriese blootstelling kan lei. Dit is nou moontlik vir leiers om daardie risiko te kwantifiseer en te demonstreer hoe spesifieke beheermaatreëls dit verminder," sê Tonkin.

“Dit bemagtig hulle om te pleit vir geteikende beleggings, nie net breë sekuriteitsbesteding nie. Dit maak ook die deur oop vir meer betekenisvolle samewerking tussen bedrywighede, finansies en risikospanne. Die doel is om van reaktiewe verdedigingstelsels na proaktiewe veerkragtigheid oor te skakel – om OT-sekuriteit in 'n organisasie se algehele risikohouding en besluitnemingsraamwerk in te sluit.”

Beste praktykstandaarde kan met hierdie pogings help, veral ISO 62443 – wat ontwerp is met industriële outomatisering en beheerstelsels in gedagte. Die sleutel is om te verseker dat hulle “deur 'n OT-lens” toegepas word, sê Tonkin.

“Wanneer hierdie standaarde deeglik aangepas word, kan hulle OT-spanne help om 'n gestruktureerde benadering tot risikobestuur te vestig,” sluit hy af.

“Dit was dikwels moeilik vir sekuriteitspanne en bestuur om hierdie raamwerke aan meetbare uitkomste te koppel. Maar ons kan nou sien hoe spesifieke OT-beheermaatreëls, soos voorvalreaksiebeplanning en netwerksigbaarheid, direk korreleer met finansiële risikovermindering.”