Az elmúlt időszakban többször is felmerült körülöttem a kérdés, hogy az IT és az ICS biztonság helyileg hova kéne, hogy tartozzon egy adott (ipari) szervezeten belül, ezért úgy határoztam, hogy egy posztban összefoglalom az ezzel a kérdéssel kapcsolatos gondolataimat, épp csak annyira, hogy elkezdődhessen egy diskurzus a témáról.
Kezdjük talán az IT biztonsági szakterülettel. Amennyire én látom, jellemzően két megközelítés létezik a szakmában azzal kapcsolatban, hogy az IT biztonsági szakemberek szervezetileg hova tartoznak. Az első szerint az IT vezető irányításával dolgoznak, ezek a szervezetek az IT biztonságot is főként az IT egy területeként fogják fel (mint az adatközponti üzemeltetést, alkalmazásfejlesztést vagy a felhasználók támogatását). Amennyire én ezt átlátom a saját tapasztalataim szerint, az ilyen szervezetekben az IT biztonság esetén a fő hangsúly a különböző biztonsági rendszerek (tűzfalak, spamszűrők, végpontvédelmi megoldások, stb.) üzemeltetésén van és az operatív feladatok jellemzően kisebb fontossággal léteznek. Ez (bár szerintem helytelen) nem annyira meglepő, hiszen az IT vezetők az esetek döntő többségében üzemeltetői és/vagy fejlesztői múlttal és tapasztalatokkal rendelkeznek, a biztonsági műveleti feladatok tőlük kicsit távolabb állnak. A másik megközelítés szerint az IT biztonsági szakterület a biztonsági vezetőhöz tartozik (együtt a fizikai, szervezeti/humán biztonsági és egyéb biztonsági témákkal). Az ilyen esetek talán még összetettebbek, mert az esetek döntő többségében a biztonsági vezetőnek fizikai biztonsági tapasztalatai vannak (jellemzően valamilyen rendvédelmi vagy katonai múlttal rendelkező emberek), viszont a logikai biztonság témáját általában kevésbé ismerik. Ilyen esetekben a műveleti feladatok erősebbek lehetnek, viszont az IT biztonsági rendszerek üzemeltetési kérdései nagyobb kihívásokat jelenthetnek és az IT üzemeltetőkkel történő együttműködés is komolyabb kihívásokat jelenthet.
Az ICS biztonság, mint szakterület a fentiekhez hasonlóan többnyire kétféle megvalósításban szokott létezni - legalábbis amennyire én ezt látom a szakmán belül. Az egyik szerint az ICS biztonságnak az IT biztonsághoz kell tartoznia (akik emellett érvelnek, többnyire az IT rendszerek és komponensek OT-n belüli térhódításával érvelnek), a másik szerint pedig az ICS biztonságnak az IT biztonsággal párhuzamosan kell léteznie, de az OT szakterületen belül, hiszen az ICS biztonság megfelelő minőségben történő megvalósításához és működtetéséhez elengedhetetlen az OT minél alaposabb ismerete.
Az én véleményem az, hogy ezek a megközelítések még mindig a régi, hierarchikus szervezeti felépítésekben gyökereznek, ami megakadályozza azt, hogy az ICS (és az IT) biztonság egy olyan szolgáltatása legyen az adott szervezetnek, ami átfogóan képes kezelni bármilyen irányból (legyen az fizikai, humán, IT vagy OT) irányból érkező fenyegetést. Kiemelten fontosnak tartom, hogy a különböző ipari szervezetek minél előbb számoljanak le a silós működési modellel a biztonság területén és kezdjenek megvalósítani egyfajta mátrix-szerű működést ebben a témában. Ehhez elsősorban megint a kommunikációra kell helyezni a hangsúlyt és komoly erőfeszítéseket kell tenni a többi szakterület kihívásainak és prioritásainak megismerésére.
Ki mit gondol erről a témáról?