Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Vitaposzt - Hol legyen az ICS biztonság helye a szervezeten belül?

Facebook Tumblr Tweet Pinterest Tetszik
0
2020. január 04. - icscybersec

Az elmúlt időszakban többször is felmerült körülöttem a kérdés, hogy az IT és az ICS biztonság helyileg hova kéne, hogy tartozzon egy adott (ipari) szervezeten belül, ezért úgy határoztam, hogy egy posztban összefoglalom az ezzel a kérdéssel kapcsolatos gondolataimat, épp csak annyira, hogy elkezdődhessen egy diskurzus a témáról.

Kezdjük talán az IT biztonsági szakterülettel. Amennyire én látom, jellemzően két megközelítés létezik a szakmában azzal kapcsolatban, hogy az IT biztonsági szakemberek szervezetileg hova tartoznak. Az első szerint az IT vezető irányításával dolgoznak, ezek a szervezetek az IT biztonságot is főként az IT egy területeként fogják fel (mint az adatközponti üzemeltetést, alkalmazásfejlesztést vagy a felhasználók támogatását). Amennyire én ezt átlátom a saját tapasztalataim szerint, az ilyen szervezetekben az IT biztonság esetén a fő hangsúly a különböző biztonsági rendszerek (tűzfalak, spamszűrők, végpontvédelmi megoldások, stb.) üzemeltetésén van és az operatív feladatok jellemzően kisebb fontossággal léteznek. Ez (bár szerintem helytelen) nem annyira meglepő, hiszen az IT vezetők az esetek döntő többségében üzemeltetői és/vagy fejlesztői múlttal és tapasztalatokkal rendelkeznek, a biztonsági műveleti feladatok tőlük kicsit távolabb állnak. A másik megközelítés szerint az IT biztonsági szakterület a biztonsági vezetőhöz tartozik (együtt a fizikai, szervezeti/humán biztonsági és egyéb biztonsági témákkal). Az ilyen esetek talán még összetettebbek, mert az esetek döntő többségében a biztonsági vezetőnek fizikai biztonsági tapasztalatai vannak (jellemzően valamilyen rendvédelmi vagy katonai múlttal rendelkező emberek), viszont a logikai biztonság témáját általában kevésbé ismerik. Ilyen esetekben a műveleti feladatok erősebbek lehetnek, viszont az IT biztonsági rendszerek üzemeltetési kérdései nagyobb kihívásokat jelenthetnek és az IT üzemeltetőkkel történő együttműködés is komolyabb kihívásokat jelenthet.

Az ICS biztonság, mint szakterület a fentiekhez hasonlóan többnyire kétféle megvalósításban szokott létezni - legalábbis amennyire én ezt látom a szakmán belül. Az egyik szerint az ICS biztonságnak az IT biztonsághoz kell tartoznia (akik emellett érvelnek, többnyire az IT rendszerek és komponensek OT-n belüli térhódításával érvelnek), a másik szerint pedig az ICS biztonságnak az IT biztonsággal párhuzamosan kell léteznie, de az OT szakterületen belül, hiszen az ICS biztonság megfelelő minőségben történő megvalósításához és működtetéséhez elengedhetetlen az OT minél alaposabb ismerete.

Az én véleményem az, hogy ezek a megközelítések még mindig a régi, hierarchikus szervezeti felépítésekben gyökereznek, ami megakadályozza azt, hogy az ICS (és az IT) biztonság egy olyan szolgáltatása legyen az adott szervezetnek, ami átfogóan képes kezelni bármilyen irányból (legyen az fizikai, humán, IT vagy OT) irányból érkező fenyegetést. Kiemelten fontosnak tartom, hogy a különböző ipari szervezetek minél előbb számoljanak le a silós működési modellel a biztonság területén és kezdjenek megvalósítani egyfajta mátrix-szerű működést ebben a témában. Ehhez elsősorban megint a kommunikációra kell helyezni a hangsúlyt és komoly erőfeszítéseket kell tenni a többi szakterület kihívásainak és prioritásainak megismerésére.

Ki mit gondol erről a témáról?

5 komment
ICS biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr6015378856

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

logiman 2020.01.04. 13:57:31

Igazad van a mátrix megközelítéssel.

De ehhez a felsővezetői képzésen, tudatformáláson keresztül vezet az út. Addig, amíg egy vezérigazgató, avagy felette az IG/FB tagjai nem kaptak képzést az ICS-ek jelenkori komplex biztonsági kihívásairól és azok kezelésének korszerű, hatékony módozatairól, addig hiábavaló a változásban reménykedni. Ezért fókuszterületként szükséges kezelni a felsőoktatást és a vezetőképzést!
Válasz erre 

logiman 2020.01.04. 14:53:44

@logiman: Pontosítok: "...amíg egy vezérigazgató, avagy felette az IG/FB tagjai nem kaptak képzést az ICS-ek értékláncban betöltött szerepéről, a cég EBIDTA-t befolyásoló jelenkori komplex biztonsági kihívásairól..." Ez a megfogalmazás pontosabban fejezi ki azt a meggyőződésemet, hogy amíg a döntéshozók nem ismerik az ICS-ek core tevékenységekre gyakorolt hatását (mert nem képezték ki őket erre), addig döntéseikben nem is tudják értékén kezelni az ICS-ek biztonsági vonatkozásait sem.
Válasz erre 

icscybersec 2020.01.04. 15:49:32

Jogos a felvetés és a kiegészítés/pontosítás megint rámutat valamire, amivel én sem igazán szoktam foglalkozni. Itt a blogon első és másodsorban is az ICS rendszerek/eszközök logikai biztonsági kérdéseit boncolgatom, de nem lehet megfeledkezni a biztonság többi rétegéről (fizikai, humánerőforrás) sem. Az viszont, hogy egy-egy ipari folyamatirányítással foglalkozó/arra építkező szervezet legfelsőbb vezetését képezni kell, megint nem kérdés, de az én tapasztalatom az, hogy ezen a vezetői szinten már nem igazán hallgatnak azokra az egyszeri szakemberekre, akik házon belül értik és tudják, mik a valós kihívások a területen és mik a leginkább hatékony intézkedések. Éppen ezért a tulajdonosnak, illetve ahol van, a felügyeleti szervnek, hatóságnak kéne ezeket a tudatosító képzéseket kikényszeríteni. Szerintem.
Válasz erre 

logiman 2020.01.04. 20:56:12

@icscybersec: "Éppen ezért a tulajdonosnak, illetve ahol van, a felügyeleti szervnek, hatóságnak kéne ezeket a tudatosító képzéseket kikényszeríteni."

A "tulajdonos", "a felügyeleti szerv", a "hatóság" ugyanúgy emberekből áll, akik ha nem ismerik a jelenkor új és komplex biztonsági kihívásait, akkor megkövetelni sem fogják a maguk speciális eszközeivel (pl. törvény, rendelet, üzemi szabályzat) azok megfelelő kezelését.

Tehát képzés, képzés és képzés! Nyilván ehhez megfelelő tananyag (!) és elhivatott oktatók (!) is kellenek.

A rossz hír az, hogy mindez nem megy egyik pillanatról a másikra. Így hát éppen ideje lenne elkezdeni!
Válasz erre 

icscybersec 2020.01.05. 10:10:27

@logiman: Értem, amit mondasz, de akkor ez innentől ördögi kör - a szervezet vezetői nem ismerik eléggé a témát és annak súlyát, ezért nem érdekli őket (eléggé) és mivel nem érdekli őket eléggé, nem is kezdeményezik, hogy többet tudjanak meg róla...

Azt hiszem, ez a klasszikus fentről-lefelé vagy alulról építkezés kérdése, egy kicsit más szinten (mérnök-menedzsment viszonylat helyett menedzsment-tulajdonos/hatóság szinten). A képzés, a tanagyag és a képzett, ismert és szakmailag elismert oktatók nyilván nélkülözhetetlenek, de ha utána nincs kinek megtartani az oktatásokat (vagy akár csak előadásokat), akkor még messze vagyunk a sikertől. A kérdés igazán az, mivel lehet elérni, hogy a menedzsment és a tulajdonosi/szabályozói kör magáénak érezze a problémát?

Lehetséges, hogy az újabb, korábbiaknál is feszültebb amerikai-iráni viszony miatt várható (kiber-)támadások emlegetése ad egy esélyt arra, hogy ezek a szintek is felfigyeljenek a problémára?
Válasz erre 
süti beállítások módosítása