Immár 14 éve, hogy a Stuxnet nyilvánosságra kerülése után szélesebb szakmai körben ismertté vált az ICS/OT rendszerek kiberbiztonsági témája. Nem sokkal később (talán 2013-ban lehetett) már egy ISACA Budapest Chapter konferencián volt előadás a témából, Gélák Robi tartott egy kifejezett jó "Bevezetés a SCADA-biztonság világába"-szintű előadást, aztán ezt nagyritkán egy-egy másik kolléga (Krasznay Csaba, Hirsch Gábor és még néhányan) követtek. Ezek ellenére 2018 végéig, a SeConSys elindulásáig nem igazán került be az ICS/OT biztonság témája a magyar szakmai közösség érdeklődésének homlokterébe, a SeConSys kézikönyv, majd a 2020 februárjában megjelent, az Internet magyar szegletében publikusan elérhető ICS/OT rendszereket és eszközöket kutató BlackCell whitepaper sem keltett komolyabb hullámokat. Így jutottunk el 2024-ig, amikor az Európai Unió NIS2 direktívájának várható magyarországi implementációja megint lehetőséget ad számos gyártó, integrátor és tanácsadó cég számára, hogy megpróbálják eladni a megoldásaikat és szolgálatásaikat az ipari folyamatirányítási rendszereket használó szervezeteknek.
A mai poszt témája azonban nem ez (ezt a témát majd egy kicsit később szeretném kicsit körbejárni), hanem az, hogy miért nem értik a magyar információ- és IT biztonsági szakma tapasztalt, ismert és elismert művelői (tisztelet a ritka kivételeknek) azokat a különbségeket, amik az információbiztonság/IT biztonság és az ICS/OT kiberbiztonság között a legalapvetőbbek? A kérdés akkor merült fel bennem, amikor még idén év elején láttam Kocsis Tamás előadását az ISACA Budapest második szerdai programján és végighallgattam az előadás utáni kérdéseket és válaszokat is. Maga az előadás szerintem egészen jó volt, ami viszont feltűnt, hogy mind az előadás, mind a kérdések sé a válaszok azt mutatják, hogy a hallgatóság nagy része érezhetően nem találkozott még olyan rendszerekkel, ahol nem csak adatokra, hanem a fizikai valóságra is hatással lehet egy-egy biztonsági incidens.
Ezt pedig azért is nagyon érdekesnek tartom, mert ha így van, az felvet egy űjabb kérdést: ezek az információ-/IT biztonsági területeken dolgozó kollégák vajon soha nem auditáltak még informatikai géptermet? Ha pedig auditáltak, akkor soha nem jutottak el odáig, hogy feltegyenek kérdéseket a rack-szekrények hőmérsékletét monitorozó, a légkondícionálást és a szünetmentes tápegységeket vezérlő rendszerek működésével és biztonságával kapcsolatban?
Szóval mostanában erősen az (is) jár a fejemben, hogy vajon mit kéne tenni annak érdekében, hogy a hazai szakma képviselőit legalább a legalapvetőbb ICS/OT biztonsági ismereteknél egy kicsit többet át lehessen adni és ezen a területen is tudatosabbak legyenek a kollégák?
