Zergatik da ziberkriminalentzako helburu berria Ian Bramsonekin eztabaida

Estatuko taldeek azpiegitura kritikoen aurkako eraso kopurua bikoiztu egin da azken urtean, 2022ko datuen arabera. Microsoft Digital Defense Txostena. 2021eko uztailetik 2022ko ekainera bitartean, IT, finantza zerbitzu, garraio eta komunikazio azpiegituretako enpresen aurkako zibererasoak jarduera osoaren % 40 izan ziren, aurreko 20 hilabeteko aldian % 12 besterik ez zenaren aldean.

Mathieu Gorge, VigiTrust-eko zuzendari nagusia, eta Ian Bramson, ABS Group-eko zibersegurtasun industrialaren arduradun globala, azpiegitura kritikoen segurtasunarekin lotutako gaiak eztabaidatzeko, OT eta IT-ek instalazio kritikoak babesteko duten eginkizuna eta segurtasuneko liderrak hauek nola komunika ditzaketen eztabaidatzeko. kezkak kontseiluko kideei eta C-suitekoei.

Azpiegitura kritikoen segurtasuna

Irish Health Service Executive (HSE), Colonial Pipeline eta JBS Food-en aurkako erasoen ondorioz, mundua ransomware-ak herrialde baten funtzionamendua errazten duten funtsezko sistema, sare eta aktiboen multzoari eragiten dion mehatxu nabarmenaren aurrean esnatu da mundua. gizartea eta ekonomia. Instalazioen eta zerbitzu-hornitzaileen multzo honi "azpiegitura kritikoa" esaten zaio normalean, eta hezkuntza sistemak, osasun-instalazio publikoak, energia-zentralak, garraio-sistemak, ur-araztegiak eta segurtasun-zerbitzuak, besteak beste, barne hartzen ditu.

Azpiegitura kritikoen segurtasun-arriskuak gora egin du azken urteotan, ondare-inguruneetako integrazio digitalek instalazio hauek erasoetara ireki baitituzte. Mehatxu-eragileek azkar konturatu ziren sektore horietan esku-hartzearekin lotutako finantza-irabaziaren potentziala, eta gobernuek eta erakunde pribatuek funtsezko zerbitzuen segurtasunari buruzko eztabaidak areagotu zituzten.

Azpiegitura kritikoak eta joera erasoak

Ian Bramsonen arabera, mehatxuen ingurunea eboluzionatzen ari da. Erasoak gero eta sofistikatuagoak dira, nazioek babestutako eta eragile independenteek beren ikuspegia ingurune informatibotik operatiboetara aldatu baitute.

Iraganean beste adibide batzuk egon badira ere —esaterako Stuxnet 2010ean—Colonial Pipelineri egindako erasoek abisu gisa balio izan dute sektore publikoek eta pribatuek sistema horien segurtasuna indartu behar dutelako. Aldi berean, ziberkriminalen interesa piztu dute, eraso handia eta eragingarria egiteak izan ditzakeen irabaziak erakutsi baitituzte.

"Mehatxu aktore asko daude orain esaten dutenak: 'Itxaron, itxaron, petrolio hodi bat itxi dezaket'", azaldu du Bramsonek. Erasoak sofistikatuagoak bihurtu direnez eta Ukrainako gatazkak OT sistemetan erasoak areagotu ahala, gero eta gaizto gehiago irabazten ari dira eta eraso mota hauek hartzen ari dira. Gaur egun ziber espezialistentzako benetako galdera da "Eboluzionatu dezakegun baino azkarrago egokituko al dira?».

Lidergoaren ezagutza hutsunea

Bramsonen iritziz, kontseilu-mailako erabakiak hartzen dituztenek ez dute oraindik kezka horiei aurre egiteko eredu antolaturik. Oraindik euren erakundeen teknologia operatiboen (OT) inguruneen segurtasun-egituraren arduraduna nor den asmatzen ari dira. Informazioaren teknologiak (IT) eta OT taldeek eta politikek beren erakundean elkarreragiten duten moduei buruzko ezagutza faltagatik gertatzen da. Gaizki-ulertu horrek zaildu egiten du arlo bakoitzaren arduraduna nor den, akatsen erantzule nori eta egitura nola funtzionatzen duen zehaztea.

Informatika eta OT profesionalek segurtasunean parte hartzen badute ere, haien eginkizunak desberdinak dira. IT taldeek informazioaren segurtasun politiketan (fidagarritasuna, osotasuna eta erabilgarritasuna) eta datu-hausteen prebentzioan oinarritutako datuen kontrolean oinarritzen diren arren, OT taldeak dira segurtasunaren arduradunak. fisiko kontrolak ingurunean. Eragiketak aktibo eta konpromisorik gabe mantentzen direla ziurtatzea dute zeregina.

OT sare baten urratze orok azpiegitura kritikoan eragina izan dezake, zerbitzu publikoak eten ditzake, ekonomia globalari eragin diezaioke eta giza bizitzak arriskuan jar ditzake. Erronka bihurtzen da IT-a jartzen denean arreta, eta kontseilu-mailako buruzagiek sarritan ez dute ñabardura honen inguruko ikuspegi argirik.

OT eta IT arriskuak itzultzea batzordearentzat

Bramson-en planteamendua kontseiluko kideei arrisku horiek azaltzeko bere hizkuntzan hitz egitea da. "Ziber liderrak kontseilura joaten direnean, informazio tekniko asko ematen dute", azaldu du. "Eta batzordeak ulertzen ez duen informazioa da".

Horren ordez, CISOei eta beste ziber-espezialistei iradokitzen die:

• Azaldu ziberkontzeptuak profano bati egingo liokeen bezala. OT aldetik, adibidez, argi utzi beharko lukete OTren mehatxua ez dela datuak lapurtzea soilik. Kasu honetan, gaiztoak instalazioen segurtasun fisikoan eta langileen eta komunitateko kideen segurtasunean eragin nabaria izan dezaketen eragiketak eten nahian ari dira.
• Erakutsi konpainiaren diru-sarreren eta negozio-arriskuan duen eragina. Adibidez, zentral elektriko bateko ziber-lider batek zibereraso batek instalazio batek energia sortzeko eta segurtasunez banatzeko duen gaitasunari nola eragin diezaiokeen azpimarratu nahi luke.
• Gertaerak hautemateko eta horiei erantzuteko zer egiten ari diren erakustea. Artikulatu ekintza eta politika horiek eraso baten eragina minimiza dezaketen.

Arbelera hurbilduz

Bramsonen ustez, batzordearekin negoziatzeko ikuspegirik onena erraza izatea da. Elkarrizketa oinarrizko galdera hauen inguruan markatuz hastea proposatzen du:

1. Ba al dakigu zer babestu behar dugun?
2. Ba al dakigu non dauden zuloak? Ba al dakigu aktore txarrak sar daitezkeen?
3. Ikus al dezakegu norbaitek sistema urratu duen?
4. Ba al dugu planik sistema urratu duen norbait bertatik ateratzeko?

Bramsonen arabera: "Arazoa termino sinple horietan jartzeak lagun diezaieke batzordeko liderrei galdera egokiak zein diren ulertzen, ziber-espezialistek elkarrizketa egokiak gidatu ditzaten".