Mengapa Ini Sasaran Baru Penjenayah Siber Perbincangan Dengan Ian Bramson

Bilangan serangan yang dilancarkan ke atas infrastruktur kritikal oleh kumpulan negara meningkat dua kali ganda pada tahun lalu, menurut 2022 Laporan Pertahanan Digital Microsoft. Dalam tempoh dari Julai 2021 hingga Jun 2022, serangan siber terhadap syarikat dalam IT, perkhidmatan kewangan, pengangkutan dan infrastruktur komunikasi menyumbang 40% daripada jumlah aktiviti berbanding hanya 20% dalam tempoh 12 bulan sebelumnya.

Mathieu Gorge, Ketua Pegawai Eksekutif VigiTrust, dan Ian Bramson, ketua keselamatan siber industri global di Kumpulan ABS, duduk membincangkan isu yang berkaitan dengan keselamatan infrastruktur kritikal, peranan OT dan IT dalam melindungi kemudahan kritikal, dan bagaimana pemimpin keselamatan boleh menyampaikan perkara ini. kebimbangan kepada ahli lembaga dan mereka yang berada dalam C-suite.

Keselamatan infrastruktur kritikal

Berikutan serangan seperti yang berlaku terhadap Eksekutif Perkhidmatan Kesihatan Ireland (HSE), Colonial Pipeline dan JBS Food, dunia telah disedarkan dengan ancaman besar ransomware yang ditimbulkan kepada set sistem, rangkaian dan aset penting yang memudahkan sesebuah negara masyarakat dan ekonomi. Set kemudahan dan penyedia perkhidmatan ini biasanya dirujuk sebagai "infrastruktur kritikal," dan merangkumi perkara seperti sistem pendidikan, kemudahan kesihatan awam, loji tenaga, sistem pengangkutan, loji rawatan air dan perkhidmatan keselamatan antara lain.

Risiko keselamatan kepada infrastruktur kritikal telah meningkat sejak beberapa tahun kebelakangan ini apabila integrasi digital dalam persekitaran warisan membuka kemudahan ini untuk menyerang. Aktor ancaman dengan cepat menyedari potensi keuntungan kewangan yang dikaitkan dengan campur tangan dalam sektor ini, mendorong kerajaan dan entiti swasta untuk memperhebatkan perbincangan mereka tentang keselamatan perkhidmatan penting.

Infrastruktur kritikal dan serangan trend

Menurut Ian Bramson, persekitaran ancaman sedang berkembang. Serangan menjadi lebih canggih apabila pelakon yang disokong negara dan bebas telah mengalihkan tumpuan mereka daripada persekitaran bermaklumat kepada operasi.

Walaupun terdapat contoh lain pada masa lalu—seperti Stuxnet pada tahun 2010—serangan seperti yang berlaku kepada Colonial Pipeline telah menjadi tanda amaran bahawa sektor awam dan swasta harus mengukuhkan keselamatan mereka untuk sistem sedemikian. Pada masa yang sama, mereka telah menarik minat penjenayah siber, kerana mereka telah menunjukkan potensi hasil daripada melaksanakan serangan berskala besar dan memberi kesan sedemikian.

"Terdapat banyak pelakon ancaman yang kini berkata, 'Tunggu, tunggu, saya boleh menutup saluran paip minyak,'" jelas Bramson. Memandangkan serangan telah menjadi lebih canggih dan konflik Ukraine meningkatkan serangan dalam sistem OT, semakin ramai orang jahat mendapat tempat dan menerima pakai jenis serangan ini. Persoalan sebenar untuk pakar siber pada masa ini ialah “Adakah mereka akan menyesuaikan diri lebih cepat daripada yang kita boleh berkembang?"

Jurang pengetahuan kepimpinan

Pada pendapat Bramson, pembuat keputusan peringkat lembaga belum lagi mempunyai corak yang teratur untuk menangani kebimbangan ini. Mereka masih memikirkan siapa yang bertanggungjawab terhadap struktur keselamatan persekitaran teknologi operasi (OT) organisasi mereka. Ini disebabkan oleh kekurangan pengetahuan tentang cara pasukan dan dasar teknologi maklumat (IT) dan OT berinteraksi dalam organisasi mereka. Salah faham ini menyukarkan untuk menentukan siapa yang bertanggungjawab untuk setiap kawasan, siapa yang harus bertanggungjawab atas kesilapan, dan cara struktur berfungsi.

Walaupun kedua-dua profesional IT dan OT terlibat dalam keselamatan, peranan mereka berbeza. Walaupun pasukan IT menumpukan pada kawalan data berdasarkan dasar keselamatan maklumat (kebolehpercayaan, integriti dan ketersediaan) dan pencegahan pelanggaran data, pasukan OT bertanggungjawab untuk keselamatan fizikal kawalan dalam persekitaran. Mereka ditugaskan untuk memastikan operasi kekal aktif dan tidak terjejas.

Sebarang pelanggaran rangkaian OT boleh memberi kesan kepada infrastruktur kritikal, mengganggu perkhidmatan awam, menjejaskan ekonomi global dan membahayakan nyawa manusia. Ini menjadi cabaran apabila penekanan diberikan kepada IT—dan pemimpin peringkat lembaga sering tidak mempunyai pandangan yang jelas tentang nuansa ini.

Menterjemah risiko OT dan IT untuk lembaga pengarah

Pendekatan Bramson apabila menjelaskan risiko ini kepada ahli lembaga pengarah ialah bercakap dalam bahasa mereka. "Apabila pemimpin siber pergi ke lembaga pengarah, mereka memberikan banyak maklumat teknikal," jelasnya. “Dan ia adalah maklumat yang tidak difahami oleh lembaga itu.”

Sebaliknya, beliau mencadangkan CISO dan pakar siber lain:

• Terangkan konsep siber seperti yang mereka lakukan kepada orang biasa. Di sisi OT, sebagai contoh, mereka harus menjelaskan dengan jelas bahawa ancaman kepada OT bukan hanya tentang mencuri data. Dalam kes ini, orang jahat cuba mengganggu operasi yang boleh memberi kesan ketara terhadap keselamatan fizikal kemudahan dan keselamatan pekerja dan ahli masyarakat secara amnya.
• Tunjukkan kesan ke atas hasil syarikat dan risiko perniagaan. Sebagai contoh, pemimpin siber di stesen janakuasa ingin menekankan bagaimana serangan siber boleh memberi kesan kepada keupayaan kemudahan untuk menjana kuasa dan mengagihkannya dengan selamat.
• Tunjukkan apa yang mereka lakukan untuk mengesan dan bertindak balas terhadap insiden. Nyatakan bagaimana tindakan dan dasar tersebut boleh meminimumkan kesan serangan.

Mendekati papan

Bramson percaya pendekatan terbaik untuk berunding dengan lembaga pengarah adalah untuk memastikan ia mudah. Dia mencadangkan bermula dengan membingkai perbualan di sekitar soalan asas ini:

1. Adakah kita tahu apa yang perlu kita lindungi?
2. Adakah kita tahu di mana lubang itu? Adakah kita tahu bagaimana pelakon jahat boleh masuk?
3. Bolehkah kita melihat jika seseorang telah melanggar sistem?
4. Adakah kita mempunyai rancangan untuk mengeluarkan seseorang yang telah melanggar sistem daripadanya?

Menurut Bramson: "Meletakkan isu itu ke dalam istilah mudah tersebut boleh membantu pemimpin peringkat lembaga memahami soalan yang betul, supaya pakar siber boleh mendorong perbualan yang betul."