Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Újra kell gondolni az ICS rendszerek méretezését

2020. április 18. - icscybersec

Az ICS kiberbiztonság egyik legrégebbi akadályát a különböző ICS rendszerek és berendezések végtelenül behatárolt performancia-tartalékai jelentik. Itt nem csak arra kell gondolni, hogy nem lehet mindazokat a klienseket telepíteni egy ICS rendszer elemeire, amiket a nagyvállalati IT rendszerek esetén már régen megszoktunk (végpontvédelmi megoldás, DLP, eszközgazdálkodási rendszerek és sok egyéb kliens) és amiknek a száma ma már akár tucatnyi is lehet egy-egy irodai, jellemzően Windows-alapú operációs rendszert futtató operációs rendszeren, de időnként olyan extrém esetek is megtörténnek, amikor egy adott ICS berendezésben felfedezett sérülékenységet nem azért nem javított a gyártó, mert nem akarta, hanem mert egyszerűen nem volt kapacitása az eszköznek (nem volt elég code space) a patch telepítéséhez! Hasonló helyzetet én személyesen is megéltem már, amikor egy gyártó az elavult és a fejlesztő által már nem támogatott webszerver problémájára azt a választ adta, hogy érti, mire gondolunk, de az eszközben használt processzor nem képes újabb generációs, akár valamilyen lightweight webszervert futtatni, a CPU cseréje pedig egy erősebb modellre csak CPU architektúra-váltással oldható meg, ami a berendezés teljes újratervezését és újraépítését is jelentené.

A másik oldalon viszont lassan már megszokottá válnak az ICS rendszerek és az ipari szervezetek elleni kibertámadásokról szóló hírek és mind gyakrabban merülnek fel azok a javaslatok, hogy az ICS rendszerek elmeire és az ICS célberendezésekre is kerüljenek telepítésre a nagyvállalati IT-ban már megszokottakhoz hasonló biztonsági megoldások.

Az Ipar 4.0 és az IIoT térnyerésével a fenti kihívások mind jobban fogják követelni a különböző ipari szervezetek döntéshozóinak figyelmét. Az én véleményem szerint a gyártóknak (közösen az ICS rendszerek és berendezések felhasználóival) minél gyorsabban fel kell ismerniük, hogy az új rendszerek és berendezések tervezésénél már a különböző biztonsági funkciókat (patch-elés, végpontvédelmi megoldások, stb.) és azok performancia-igényét is bele kell tervezniük az eszközök teljesítmény-igényeibe. Előbb vagy utóbb (én nagyon remélem, hogy minél előbb), az ICS rendszereket és eszközöket üzletkritikus folyamataikban használó vállalatok fel fogják ismerni, hogy a nagyvállalati IT rendszerek biztonságával kapcsolatban már másfél-két évtizede csiszolgatott szabályzataiknak és eljárásaiknak ki kell alakítani az OT-re vonatkozó párjait (figyelembe véve az OT rendszerek sajátosságait) és akkor nagyon gyorsan meg fog jelenni az igény olyan ICS rendszerekre és berendezésekre, amik képesek a jelenlegi üzembiztonsági követelményeknek megfelelni úgy, hogy közben már egyes biztonsági megoldások és funkciók is zavartalanul működnek rajtuk (nem tartom lehetetlennek, hogy akkor már kizárólag ilyen működés lesz elfogadható az új idők új követelményeit felismerő és elfogadó szervezetek számára).

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr7615622598

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

logiman 2020.04.18. 21:41:48

Igen. Már "csak" csinálni kéne...
süti beállítások módosítása