Az elmúlt években, talán már egy évtizede is egy olyan, egyre gyorsuló világban élünk, ahol már nem csak az IT, hanem az OT rendszerek fejlesztése és teljes életciklusa egyre gyorsabb üteművé vált. Ez magával vonta azt is, hogy a biztonsági követelmények megfogalmazására, majd betartására egyre kevesebb idő és energia jutott és ennek ma már az ICS rendszerek világában is egyre nyilvánvalóbb jelei vannak - elég csak megnézni az évről-évre egyre nagyobb számban publikált, ICS rendszereket érintő sérülékenységeket és a különböző ipari, gyakran közmű cégeket érő, mind súlyosabb kibertámadásokat.
A kérdés, hogy mit is lehet tenni azért, hogy a jelenlegi helyzet ne romoljon tovább, hanem lehetőség szerint inkább javuljon. Erről írt Isiah Jones egy 26 oldalas publikációt, ami a SANS Reading Room-ban jelent meg.
Írásában Isiah Jones külön fejezetet szentel az ICS rendszerek széles körének bemutatásának, megemlítve DCS (Distributed Control Systems), PCS (Process Control Systems), SCADA (Supervisory Control And Data Acquisition), BMS/BCS (Building Management Systems/Building Control Systems) és safety (Safety Instrumented Systems, SIS) mellett ECS (Energy vagy Electric Control Systems) rendszereket és PLC (Programmable Logic Controller), RTU (Remote Terminal Unit), IED (Intelligent Electronic Device) és sok más egyéb berendezést is, valamint megemlíti az ipari környezetekben is egyre gyakoribb IoT és IIoT eszközöket is. Külön szóba kerülnek a 4. ipari forradalom által elhozott változások is és az utóbbi években egyre komolyabb szerepet játszó, TCP/IP hálózatokon kommunikáló orvosi berendezések is.
Egy-egy fejezet foglalkozik a neves gyártók (pl. Siemens, Schneider, Rockwell, stb.) és az ICS világában névről nem igazán ismert, de legalább ennyire meghatározó OEM gyártókkal, integrátorokkal, az ICS rendszerek és eszközök tulajdonosaival és üzemeltetőivel és végül, de nem utolsósorban az ICS kiberbiztonsági közösséggel, akik az elmúlt kb. 10 évben egy elkötelezett és globális közösséget építettek fel, képzettek és tapasztaltak (bár döntő többségük az IT biztonság világából érkezett), azonban létszámuk és képességeik még nem érik el azt a szintet, amit az ICS világ többi szereplője a saját területén fel tud mutatni. Isiah szerint a gyártóknak (legyenek bár a nagy gyártók egyike vagy egy OEM), integrátoroknak és az ICS rendszerek tulajdonosainak és üzemeltetőinek fel kell ismerniük, hogy nem csak hallgatniuk érdemes az ICS kiberbiztonsági szakemberek tanácsaira, de helyesen tennék, ha minden, az ICS rendszerekkel kapcsolatba kerülő szervezet (legyen gyártó, integrátor vagy végfelhasználó) el kéne kezdjen saját ICS biztonsági csoportot építeni, akiknek a képességeire (és gyakran szervezet- és rendszer-specifikus tudására) építve az ICS rendszerekkel kapcsolatos minden döntésben és feladatban szerepet kell biztosítani.
Az ezek után következő fejezetek (szám szerint öt) három szabványt mutatnak be röviden. Az NIST SP 800-160 a biztonsági fókuszú rendszertervezéssel, az ISA/IEC 62443 különböző fejezetei a biztonságos ICS rendszerek fejlesztését, rendszer- illetve eszköz és komponens-szintű képességeit foglalják össze, az IEC 61511 pedig a safety rendszerek biztonsági képességeiről szól.
Akit esetleg érdekel Isiah Jones dolgozata a témában, megtalálja a SANS Reading Room-ban: https://www.sans.org/reading-room/whitepapers/ICS/ics-ot-systems-security-engineering-dead-39485
