Sokszor, sokan teszik fel a kérdést, hogy miért olyan nagyon más az OT (vagy ICS) biztonság, mint az IT biztonság, miért nem lehet egyszerűen ugyanazokat a megoldásokat és eljárásokat alkalmazni az ICS biztonság területén, amikkel már évtizedes tapasztalatokkal rendelkeznek az IT biztonsági szakemberek? A mai posztban ezt fogjuk röviden áttekinteni.
Talán a legfontosabb kérdés és egyben a legfontosabb különbség: mi a tevékenység célja az IT és az OT esetén? Az IT elsősorban adatokkal dolgozik, míg az OT rendszerek jellemzően fizikai folyamatok irányításáért felelősek. Ebből adódik az eltérő biztonsági szempontrendszer is. Az IT rendszerek esetén az információ/IT biztonságból ismerős CIA (Confidentiality, Integrity, Availability vagy magyarul BSR, Bizalmasság, Sértetlenség, Rendelkezésre állás) hármas adja a biztonsági szempontokat, az OT esetén viszont nem csak a CIS/BSR sorrendje változik (jellemzően fordul a sorrend és a rendelkezésre állás a legfontosabb, utána következik a sértetlenség és a bizalmasság a legtöbb esetben a legkevésbé fontos), de megjelenik két, ezeknél sokkal fontosabb biztonsági szempont, a safety (az OT rendszerek által vezérelt fizikai folyamatokkal kapcsolatba kerülő emberek életének és testi épségének a védelme) az elsődleges és a megbízhatóság (reliability) is jellemzően legalább annyira fontos, mint a rendelkezésre állás.
Jelentős különbség van az IT és OT rendszerek üzemeltetési körülményeiben is. Míg az IT rendszerek jellemzően stabil környezeti körülmények között, informatikai géptermekben, stabil klimatizálás és jól kontrollált hőmérsékleti és páratartalom mellett üzemelnek, addig az OT rendszerek működésében gyakorlatilag bármilyen, esetenként kifejezetten zord körülmények között (pl. összeszerelő üzemekben, villamosipari vagy viziközmű alállomásokon, szennyvíztelepeken vagy akár olajfúró tornyokon, a tenger közepén) is működőképesek kell, hogy maradjanak. Emiatt születtek meg az ún. ruggedized eszközök, amiket kifejezetten a mostoha környezeti körülmények között üzemelő OT rendszerekhez fejlesztettek.
Ezeknek a követelményeknek megfelelően különbözek az alkalmazott hardver eszközök és szoftverek az IT és OT rendszerek között. Az IT rendszerek esetén a megszokott hardvereket, szoftvereket és a szabványos IT protokollokat használják - ezek mind jól dokumentáltak és szinte minden dokumentáció szabadon elérhető. Az OT rendszerek esetében gyakran külön szabadalmaztatott, kizárólag az adott gyártóra jellemző egyedi hardver- és szoftver-megoldások, sokszor pedig a gyártó saját protokolljaira épülő rendszerek a jellemzőek, amiknél erősen korlátozott lehet a dokumentációhoz való hozzáférés is. Ennek egyébként egyik következménye lehet, hogy míg az IT rendszerek közötti együttműködés többnyire biztosított és legrosszabb esetben is egy nem túl bonyolult egyedi interfész-fejlesztéssel biztosítható, addig az OT rendszerek közötti kompatibilitási probléma sokkal gyakrabban és sokkal jelentősebb problémát okozhat.
A következő (és talán az egyik legnagyobb kihívást jelentő) különbség az IT és OT rendszereket tervező és üzemeltető mérnökök gondolkodásában található. Az IT-s mérnökök gondolkodásának középpontjában a hálózat illetve az alkalmazások állnak. Ezzel szemben az OT-s mérnökök gondolkodása az irányított fizikai folyamatokra illetve az azokkal kapcsolatban lévő, ipari folyamatirányításban kulcsfontosságú hardvere. Az OT rendszerek tervezésbe esetében a LAN hálózatok nagyon sokáig nem számítottak szempontnak - részben ebből is adódik a mai OT biztonsági kihívások egy jelentős része.
Egy újabb látványos különség az IT és OT rendszerek életciklusa. Napjainkban a legtöbb IT rendszert 3-5 évre tervezik és ennyi idő után már a lecserélése a feladat és ezeknél a rendszereknél igen gyakori karbantartási ablakok vannak (elég csak a Microsoft Windows-alapú rendszerek havi hibajavítási ciklusára gondolni, ami biztosan újraindítással jár). Ezzel szemben az OT rendszerek életciklusa minimálisan 10, de inkább 15-20 év és én már hallottam nem olyan régen 24-25 éves élettartamra tervezett rendszerekről illetve berendezésekről is, ráadásul ezt az élettartamot sokkal ritkább (nem ritkán évente vagy több évente egyszer esedékes) karbantartásokkal kell teljesíteni.
Ezeken kívül még számos kisebb-nagyobb különbség van az IT és OT rendszerek között, de talán azoknak, akik csak most ismerkednek az OT (ICS) kiberbiztonság világával, bevezetésnek elég lehet - ha van rá igény, akár folytathatom is ennek a témának a boncolgatását.
