Néhány hónapja volt egy szombati posztom "Hogyan építsünk ICS biztonsági programot és csapatot?" címmel, amiben Dale Peterson gondolatai nyomán tettem fel a kérdést, hogy hogyan lehet fejleszteni az ICS biztonság jelenleg sajnos igen lesújtó helyzetét.
Az abban a poszban hivatkozott Dale Peterson cikk számos visszajelzést kapott különböző felületeken és igen sokan nehezményezték Dale azon megállapítását, hogy az IT (és az IT biztonság) győzött az IT-OT szembenállásban. Ezzel kapcsolatban két gondolatom van:
1. Szerintem az ICS biztonságot nem az IT és az OT vetélkedéseként kéne felfogni és kezelni. Sajnos itthon mind a mai napig elvétve lehet olyan vezetőt találni, aki képes lenne elvonatkoztatni a hazai nagyvállalatok és különsen közmű cégek esetén a silós működés és szervezeti struktúra rendszerétől, ezért az ICS biztonságot is csak fekete-fehéren tudják megítélni és múltjuk, tapasztalataik alapján döntik el, ha megkérdezik őket, hogy hova kéne tartoznia az ICS biztonságnak. Érdekes megfigyelni, hogy mind az IT, mind az OT menedzserek hajlamosak ezt az OT problémájának tekinteni és csak kevesen (jellemzően, bár nem kizárólag IT biztonsági háttérrel rendelkezők) ismerik fel, hogy a hatékony ICS biztonsági programhoz nagyon jó IT-OT-IT biztonsági hármas együttműködésre van szükség. Ahogy ma már nem lehet szigorú (és fizikai) elkülönítést alkalmazni az IT és az OT között, ugyanúgy nem lehet az ICS biztonságot csak az egyik vagy csak a másik szakterület feladatául szabni, mert igenis mindhárom területet értő és ismerő szakemberek nagyon magas színvonalú együttműködése adhat csak esélyt arra, hogy a folyamatvezérlő rendszereket és végső soron a fizikai folyamatokat meg lehessen védeni a kibertér felől érkező fenyegetésektől.
2. Jelenleg Magyarországon az IT és az IT biztonság területén is hatalmas hiány van a jól képzett és tapasztalt szakemberek terén, ez az ICS biztonság területén hatványozottan igaz. Ezen a szakember hiányon az IT-OT szembenállás hangoztatásával és minden irányból történő táplálásával nem lehet változtatni, igenis tudomásul kell venni, hogy ICS biztonsági szakember senkiből nem lesz úgy, hogy kilép valamelyik felsőoktatási intézményből a frissen megkapott diplomáját szorongatva (mondjuk az a kérdés is megérne egy posztot - talán néhány héten belül nekiülök és összerántom a gondolataimat a témában -, hogy miért csak diplomás mérnökökben gondolkodik a szakma?). Az általam ismert ICS biztonsági szakemberek pontosan 100%-a érkezett vagy az IT/IT biztonság vagy az OT területéről - én sem vagyok kivétel, jó néhány éves IT/IT biztonsági múlttal a hátam mögött kezdtem beletanulni az ICS biztonság szép, de időnként piszok nehéz és komoly buktatókat rejtő világába. Amíg az IT/IT biztonsági és OT mérnökök kölcsönös gyanakvással, nem pedig egymást segítő kollégaként tekintenek egymásra, ne várjuk, hogy lesz elég ICS biztonsági szakemberünk.
Ezt helyzetet tovább rontja, hogy akik értenek a témához, nem beszélnek róla, mintegy ülnek a munkahelyük elefántcsont tornyában és egyedül próbálnak javítani valamit a saját rendszereik biztonsági helyzetén. Nagyon nagy szükség van a SeConSys-hez hasonló kezdeményezésekre, ahol az ICS biztonságot értő és a területen tevékenykedő szakemberek tudnak találkozni és tapasztalatot cserélni, vagy akár csak megvitatni az elmúlt időszak eseményeit. Nagyon hasznosnak tartanám, ha a nagyobb hazai IT biztonsági rendezvények (ITBN, ISACA konferencia, Sec-TOUR, Hacktivity, stb.) tudnának a témának egy-egy (akár zárt körű, meghívásos) szekciót szervezni, mert sajnos az látszik, hogy az állam ebben a témában nem igazán aktív (legjobb esetben is csak elfogadja az alulról jövő kezdeményezéseket).
