Γεφυρώνοντας τις ανάγκες κυβερνοασφάλειας συστημάτων ΙΤ/ΟΤ στη βιομηχανία

Τοποθέτηση Δρος Μαρίας Μποζούδη, Senior Advisor, Τομέας Βιομηχανίας, Ανάπτυξης, Τεχνολογίας & Καινοτομίας του ΣΕΒ, στο αφιέρωμα του περιοδικού NetFax

Μια από τις μεγαλύτερες προκλήσεις του ψηφιακού μετασχηματισμού αφορά την ασφάλεια των επιχειρησιακών τεχνολογιών (OT) που εξυπηρετούν 24/7 τις ανάγκες της φυσικής διαδικασίας παραγωγής.  Σήμερα, τα ίδια βιομηχανικά συστήματα που αναπτύχθηκαν για να λειτουργούν ανεξάρτητα και αυτόνομα, σε στεγανά περιβάλλοντα, είναι προσβάσιμα με απομακρυσμένους τρόπους, και αλληλεπιδρούν με συστήματα ΙΤ, τα οποία μπορεί να περιλαμβάνουν χιλιάδες Η/Υ και συσκευές ΙοΤ, και εκατοντάδες εφαρμογές. Η αλληλεπίδραση αυτή γεννά κινδύνους, καθώς οι συνήθεις πρακτικές ασφάλειας ΙΤ δεν είναι πάντα συμβατές με τη φύση των συστημάτων ΟΤ. Για παράδειγμα, είναι δύσκολο να εφαρμοστούν αυτοματοποιημένες αξιολογήσεις κινδύνου, έλεγχοι ασφαλείας ή διαγνωστικά anti-virus χωρίς διακοπή εργασιών, ενώ τα patches ΟΤ απαιτούν συγκατάθεση του κατασκευαστή.

Με 6 στις 10 επιχειρήσεις παγκοσμίως να οδηγείται σε αύξηση τιμών έπειτα από μια κυβερνοεπίθεση, και μέχρι 60% πιθανότητα να επηρεαστούν συνεργάτες, πελάτες και προμηθευτές από ένα περιστατικό, βήματα για τον ασφαλή συγκερασμό των συστημάτων ΙΤ/ΟΤ είναι απαραίτητα για την ανθεκτικότητα και ανταγωνιστικότητα της ελληνικής βιομηχανίας. Με την πρόσφατη έκδοση Οδηγού Κυβερνοασφάλειας, ο ΣΕΒ προτείνει στις ελληνικές επιχειρήσεις διαδικασίες και πρακτικές για να ενισχύσουν την ετοιμότητα των IT/OT συστημάτων τους στην εποχή Ι4.0, και να καρπωθούν ωφέλειες σε επίπεδο επιχειρησιακής συνέχειας, κόστους αντιμετώπισης επιθέσεων, χρόνου διακοπής εργασιών για ανάκαμψη, και αναβάθμισης της εταιρικής τους φήμης.

Είναι γεγονός πως η διασύνδεση ΙΤ/ΟΤ αυξάνει την έκθεση των ΟΤ σε απειλές, μεγεθύνοντας τους κινδύνους για κοστοβόρες διακοπές σε βιομηχανικές εργασίες και για πλήγματα σε κρίσιμες υποδομές. Ενδεικτικά, το 2021 αναφέρθηκαν 64 OT περιστατικά κυβερνοασφάλειας, αυξημένα κατά 140% σε σχέση με το 2020. Περίπου 35% αυτών είχαν φυσικές συνέπειες, με εκτιμώμενες ζημίες ανά περιστατικό $140εκατ.

Ποιες είναι, λοιπόν, οι προκλήσεις για την αναβάθμιση της κυβερνοασφάλειας ΟΤ; Πρώτον, πρόκειται για παλαιά συστήματα, που συχνά μετρούν κάποιες δεκαετίες ζωής και διαθέτουν γνωστά τρωτά σημεία. Μάλιστα σε κάποια συστήματα ΟΤ παλαιότερης γενιάς δεν υφίσταται καν κατασκευαστική πρόβλεψη για ελέγχους κυβερνοασφάλειας. Δεύτερον, υπάρχουν συχνά ασαφείς ρόλοι μεταξύ των ομάδων ΟΤ και ΙΤ για θέματα διακυβέρνησης της κυβερνοασφάλειας, δημιουργώντας σύγχυση ως προς τις σχετικές αρμοδιότητες και ευθύνες. Τρίτον, παρατηρείται ελλιπής ευαισθητοποίηση της Διοίκησης γύρω από τις επιπτώσεις των κυβερνοκινδύνων στα συστήματα ΟΤ, με αποτέλεσμα να μην προτεραιοποιείται υψηλά η ασφάλειά τους. Τέταρτον, σημειώνεται ανεπάρκεια έμπειρων ή/και αμφιδέξιων στελεχών στην κυβερνοασφάλεια και τους αυτοματισμούς, που μπορούν να προσεγγίσουν ολοκληρωμένα την κυβερνοασφάλεια ΙΤ/ΟΤ.

Υπάρχουν λύσεις και καλές πρακτικές; Σε βιομηχανίες που επιτυγχάνουν υψηλά επίπεδα κυβερνοασφάλειας ΟΤ, βλέπουμε ότι οι σχετικές ευθύνες εντάσσονται στις αρμοδιότητες CISO/CIO. Τείνουν, επίσης, να δημιουργούν τοπικά κέντρα ασφαλείας λειτουργιών (SOCs) και δικτύων (NOCs), που επιτρέπουν, μεταξύ άλλων, την ορατότητα της αρχιτεκτονικής και της κατάστασης των συστημάτων ΙΤ και ΟΤ, ακόμη και σε πραγματικό χρόνο. Επιπλέον, επενδύουν σε αυτοματισμούς και προγνωστικούς ελέγχους, πχ μέσω εφαρμογών ψηφιακών διδύμων, ενώ παρακολουθούν συστηματικά τα οικονομικά κόστη που συνδέονται με τους κινδύνους κυβερνοασφάλειας, με τακτικές αναφορές στη Διοίκηση. Τέλος, πραγματοποιούν αξιολογήσεις κυβερνοασφάλειας σύμφωνα με τις υποχρεώσεις συμμόρφωσης στον κλάδο όπου δραστηριοποιούνται, και δίνουν κίνητρα και ευκαιρίες εξειδικευμένης κατάρτισης στα αρμόδια στελέχη.

Βήματα προς τις παραπάνω κατευθύνσεις είναι καθοριστικά για την ασφαλή ψηφιακή μετάβαση της ελληνικής βιομηχανίας, και την πλοήγηση των επιχειρήσεων στο σύνθετο περιβάλλον ευκαιριών και απειλών της ψηφιακής εποχής.