A múltkori bejegyzésem, ami az IT/IT biztonsági és OT szakterületek közötti, finoman fogalmazva sem ideális viszonyokat boncolgatta, elég gyorsan vetett néhány hullámot, bizonyítva, hogy létező és komoly problémáról van szó.
Mivel a probléma felvetése szerintem csak egy (első) lépés az úton, megpróbálok adni néhány ötletet, hogyan lehetne javítani ezen a nem éppen jó helyzeten.
1. Kommunikáció (tudom, tudom, elég bullshit-nek fog tűnni, esélyes, hogy néhány kollégám ezért a bekezdésért meg akar majd dobálni, de bármennyire is közhelynek hangzik, innen kell indulni): Nem lehet megúszni azt, hogy az IT/IT biztonsági és OT szakterületek a nem létező vagy éppen csak érintőleges kapcsolatok helyett sokkal szorosabb szakmai együttműködést építsenek ki. Ebben beletartozik egymás feladatainak és napi kihívásainak, problémáinak valamilyen szintű ismerete is - személy szerint úgy gondolom, hogy kerüljön bármennyi időbe és energiában, mindenképp fontos, hogy a jobb szakmai együttműködés egy jobb személyes kapcsolatra épüljön, ezért pedig szükséges, hogy az IT/IT biztonsági és OT mérnökök időnként igenis üljenek le beszélgetni. Ha pedig ez a beszélgetés néha túlmutat a szakmai témákon, az sem baj.
2. Képzések: Elsősorban és leginkább azokra az alapozó képzésekre gondolok, amelyek keretében mind az OT, mind az IT (elsősorban IT biztonsági) mérnökök betekintést nyerhetnek az ICS biztonság világába (ilyenek pl. az Idaho National Labs és az ENCS - erről később fogok írni - képzései illetve a SANS ICS 410-es tanfolyama). Tudom, hogy ezeknek a tanfolyamoknak az ára meglehetősen magas, de fel kell tenni a kérdést az érintett szervezetek felelős vezetőinek: meg tudják egyáltalán becsülni (), hogy egy komolyabb ICS biztonsági incidens (mint például a Norsk Hydro vagy a TSMC elleni támadások) mekkora anyagi veszteséget eredményezhet a cégük számára? Ehhez hasonlítva még mindig soknak tűnik évente 1-2 ember számára fejenként 3000-5000 Eurót ilyen tanfolyamokra költeni (főleg, ha ezek az emberek utána a megszerzett tudást át is tudják adni a kollégáiknak)?
3. Információcsere: Részben a kommunikációhoz is tartozik, de tapasztalataim szerint jelenleg gyakorlatilag nulla információcsere van az OT és az IT biztonsági területek között. Ez pedig azt is jelenti, hogy még ha egy adott cél IT biztonsági szakterülete folytat is fenyegetés-elemzést és gyűjt információkat különböző forrásokból, ezek az információk szinte biztosan nem jutnak el az ICS rendszerek és eszközök üzemeltetéséért felelős szakemberekhez.
A fentiekben megfogalmazott feladatok/célok nyilván csak egy kis szeletét fedik le annak, amit tenni lehetne és kéne egy jobb IT-OT együttműködésért, de ha ezek mentén elkezd fejlődni egy szervezet, már az is hatalmas változásokat eredményezhet.
