Mission: (Im)possible az ipari kiberbiztonság?
„- A csapatodnak, Jim – persze, ha Te is jónak látod- az a feladata, hogy megvédje az ipari és technológiai infrastruktúrát a kibertámadásoktól, valamint biztosítsa a NIS2 és törvényi megfelelőséget.
– És mint mindig Jim, ha Te vagy a csapat bármely tagja bajba kerülne, a vállalat segítségére nem számíthattok! Ez a szalag öt másodpercen belül megsemmisíti önmagát!”
Akár így is zárulhatna egy OT kiberbiztonsággal kapcsolatos megbeszélés, amely során a vállalat menedzsmentje rátestálja a PLC, DCS, SCADA, MES vagy HISTORIAN eszközök és a technológiai hálózatok kiberbiztonsági feladatait az informatikai területre.
A technológiai rendszerek és infrastruktúrák (Operational Technology – OT) kiberbiztonsága optimista becslések szerint 15-20 évvel van elmaradva az informatikai környezetek kiberbiztonságától. Ennek számos okát a múltban érdemes keresni, mivel a PLC és SCADA architektúrák szigetüzemre készültek. A szigetüzem biztonságos volt, egészen addig, amíg a digitalizációs igények miatt el nem indult a hálózatba szervezésük, és a korábbi soros és egyéb lokális vagy direkt huzalozott kapcsolatokat fel nem váltotta az Ethernet és a TCP/IP.
Jelenleg a digitalizáció egyik legnagyobb veszélyét az ipari rendszerek kiberbiztonsági gyengesége jelenti, hiszen az ipari rendszerek esetében nem az adatbiztonság, hanem a termelési és gyártási folyamatok és az eszközök üzembiztonsága áll a fókuszban. Egy kibertámadás súlyosan kihathat a termelékenységre és az üzleti célok elérésére, mert egy zsarolóvírus vagy a jogosulatlan hozzáférés miatt megálló gyártási folyamat nagyon komoly termeléskiesést – ezzel együtt pedig jelentős anyagi veszteséget okozhat.
Az Európai Unió parlamentje elfogadta a kiberbiztonság uniós direktíváját (NIS2), és már folyamatban van a hazai jogi adaptáció, illetve törvényalkotás. Csaknem háromezer szervezet kerül 2024 októberétől a NIS2 hatálya alá, valamint megkezdődnek a hatósági ellenőrzések is. A NIS2 komolyan foglalkozik az ipari rendszerek és az OT kiberbiztonságával, így az érintett szervezeteknek meg kell kezdeniük a felkészülést a törvényi megfelelőség teljesítésére. A NIS2 a GDPR-hoz hasonlóan, de annál jóval magasabb hatósági bírsággal fenyegetheti azokat a szervezeteket, akik a NIS2 alapján adaptált törvényi előírásokat megsértik. A bírságmaximum a NIS2 esetében 10 millió euró, továbbá a direktíva bevezeti a vállalat vezetőjének személyes felelősségre vonását is, akit a hatóság akár el is tilthat a vezetői tevékenységtől.
Az OT kiberbiztonságának megerősítése nem egyszerű feladat. A hosszú életciklusú berendezések cseréje anyagi szempontból sok esetben nem megvalósítható, azonban a megfelelő védelmi intézkedésekkel elfogadható szintig csillapítható az OT rendszerek kiberbiztonsági kockázata.
Csapatunk tapasztalt, terepen edződött iparbiztonsági szakértőkből és az OT környezetek sérülékenységvizsgálatában jártas etikus hackerekből áll. Akkreditált iparbiztonsági vizsgálólaboratórium vagyunk. Megértjük az ipar működését, ismerjük a gyártási és termelési folyamatokat. OT területről érkező terepi szakemberek vagyunk, akik a hazai ipari kiberbiztonság fejlesztését tűzték ki célul maguk elé. Segítünk felmérni és megérteni az OT környezetek kockázatait, javaslatainkkal támogatjuk a védelemszervezést, a kiberbiztonsági funkciók implementálását és biztosítjuk a NIS2 vagy egyéb törvényi megfelelőséget.
Mi vagyunk az Alverad Technology Focus Kft., és biztonságosabbá tesszük a világot.