Komoly figyelmeztetés lehet a Gartner legfrissebb jelentése azoknak, akik a céges működést biztosító rendszerek, gépek, szenzorok biztonságáért felelnek. Az amerikai piackutatónál ugyanis úgy látják, 2025-ben már teljesen elképzelhető forgatókönyv lesz az, ha egy ipari rendszer elleni internetes támadás közvetlenül veszélyezteti a területen dolgozók testi épségét.

Az ipari vezérlőrendszereket (OT/ICS – Operational Technology/Industrial Control Systems) ért támadások egyáltalán nem új keletűek, ám az utóbbi időben több olyan eset is történt, ami segíthet rávilágítani a terület kitettségére, és az ezekben rejlő komoly kockázatokra. Elég csak nemzeti vészhelyzetként kezelt Colonial Pipeline ügyét említeni, amely az USA üzemanyag-ellátási kapacitására mért súlyos csapást hosszú napokig.

A közműhálózatokat, gyártelepeket ért támadások számszerű elszaporodása mellett további problémát jelent, hogy a hekkerek mostanság már nem feltétlenül elégednek meg egy rendszer megzavarásával, leállításával. Sok esetben egyértelműen fizikai károkozás a cél.

A Gartner egyik vezető kutatási igazgatója ezért arra hívja fel az ilyen területen dolgozó felelősök figyelmét, hogy ne csupán a vállalati rendszerekben megtalálható információt védjék egy esetleges internetes akciótól, de alaposan vizsgálják meg azt is, miként tudják csökkenteni a berendezésekre, a környezetre és a munkatársakra leselkedő közvetlen fizikai veszélyeket.  

10 pontos védelem

A Gartner mindezeknek fényében összeállított egy tíz pontból álló intézkedési csomagot, amellyel az operációért felelős hálózatok biztonsága, ha nem is garantálható, de mindenképpen megerősíthető.

1. Felelősök és felelősségi körök definiálása

Fontos, hogy minden külön helyszínen, gyártási egységben dedikált munkatárs fogja össze a védelemmel kapcsolatos feladatokat, és ossza ki a különböző felelősségi köröket.

2. Dolgozói tréning, felkészítés

Minden érintettnél biztosítani kell, hogy megfelelő tájékoztatást kapjon a szerepét illető biztonsági kockázatokról. Ide tartozik a leggyakoribb támadási vektorok beazonosítása és az ezekben rejlő veszélyek hangsúlyozása, illetve hogy mi a teendő, ha valaki illegális tevékenységet észlel. Ezt már csak azért sem érdemes elhanyagolni, mivel a támadók leggyakrabban a munkatársak hanyagságát, tájékozatlanságát kihasználva tudnak sikeres akciót indítani. 

3. Incidenskezelés

Minden telephelyen kell lenni az adott létesítményre érvényes incidenskezelési forgatókönyvnek, ami négy fő fázisból áll. Ezek sorrendben a felkészülés; a felderítés, elemzés; az elszigetelés, felszámolás, helyreállítás; végezetül pedig az incidens utáni cselekvés.

4. Biztonsági mentés és visszaállítás

Gondoskodni kell a megfelelő biztonsági mentési, visszaállítási és katasztrófa utáni helyreállítási eljárásokról. Itt természetesen ügyelni kell rá, hogy a biztonsági mentéseket tartalmazó rendszerek fizikailag elkülönjenek az élesben működő berendezésektől, hálózattól. Fontos, hogy egy esetleges incidens esetén a biztonsági másolatokra támaszkodva a lehető leggyorsabban vissza lehessen állítani a normál működéshez szükséges állapotot.

5. Hordozható eszközök felügyelete

Nyilvánvaló támadási felületet jelentenek a különböző hordozható adattárolók és egyéb eszközök. Ezeket egy érvényes protokoll szerint szigorúan ellenőrizni kell minden esetben, amikor az OT hálózatára kell kapcsolódni velük.

6. Eszközök nyilvántartása

A biztonságért felelős személynek minden pillanatban rendelkezésére kell állnia egy olyan listának, amely az OT rendszer működését biztosító összes szoftveres és hardveres elemet a valóságnak megfelelően tartalmazza.

7. Hálózatok elszigetelése

Az OT-hálózatokat minden esetben fizikai és/vagy logikai módon kell szeparálni minden más rendszertől, beleértve a külső és az egyéb funkcióval bíró belső hálózatokat is. Az ezek között zajló kommunikációt pedig egy demilitarizált zónaként működő biztonságos átjáron keresztül kell biztosítani.

8. Naplózás és elemzés

A folyamatokat minden pillanatban automatizált naplózással kell felügyelni, kiegészítve mindezt a potenciális vagy valóságos biztonsági incidensek elemzését biztosító hatékony folyamatokkal. Szabályozni kell ezeknek a logok megőrzési idejét, illetve garantálni, hogy azok ne legyenek sem módosíthatók, sem letörölhetők arra nem jogosultak számára.

9. Standardizált konfiguráció

Szabványosított, biztonságos eljárásnak megfelelően kell az összes érintett rendszerelemet (végpontok, szerverek, hálózati eszközök stb.) konfigurálni. Ebbe például a végponti biztonságot erősítő malware-szűrők általános, minden veszélynek kitett eszközre kiterjedő telepítése is beletartozik.

10. Szabályozott frissítés

Csak a berendezés gyártója által jóváhagyott javítócsomagot szabad az egyes gépekre telepíteni. A minősítésen átesett frissítéseket pedig csak egy előre meghatározott gyakorisági ciklus szerint érdemes telepíteni.