Autor: Bob Yeager
Pod wieloma względami transformacja cyfrowa jest mieczem obosiecznym dla przemysłu energetycznego i wodnego.
Z jednej strony niesamowite osiągnięcia technologiczne – w tym zbieżność technologii informatycznych i technologii operacyjnych (OT), ulepszona łączność, usprawniony dostęp do większych zbiorów danych i wiele innych - zrewolucjonizowały zdolność przedsiębiorstw użyteczności publicznej i gmin do optymalizacji działalności, bezpiecznego zarządzania rozproszonymi zasobami energetycznymi i dalszego generowania niezawodnej, taniej energii oraz wytwarzania czystej wody.
Z drugiej strony, gdy dostawcy energii i wody przekształcają swoje metody działania, aby wykorzystać powyższe korzyści, stają się coraz bardziej podatni na ataki i zagrożenia związane z cyberbezpieczeństwem – co jest szczególnie prawdziwe, jeśli nie mają odpowiedniego podejścia lub partnera, który może ich chronić.
Obecnie rośnie liczba cyberataków na infrastrukturę krytyczną. Amerykańska Agencja Ochrony Środowiska wydała Protokół ustaleń podkreślając potrzebę audytu praktyk bezpieczeństwa lokalnych systemów wodnych, natomiast Dragos – lider cyberbezpieczeństwa w przemyśle – ostatnio zgłosił wzrost liczby przypadków w sektorze energetycznym.
A wraz z wzrostem ataków rosną również koszty. W rzeczywistości przewiduje się, że globalne coroczne ataki i zagrożenia cyberbezpieczeństwa będą kosztować świat 8 bln USD w 2023 r., co jest wzrostem z 3 bilionów dolarów w 2015 r. i oczekuje się, że wzrośnie do 10,5 biliona dolarów do 2025 roku.
Z powodu bardziej rozproszonych zasobów energetycznych, takich jak farmy wiatrowe, instalacje słoneczne i mikrosieci dostarczające energię odnawialną do sieci zasilającej krytyczną infrastrukturę, istnieje jeszcze większy potencjał hakerów do zdalnego zakłócania przepływu energii elektrycznej. Departament Energii USA stwierdził w raporcie z października, że rejestratory DER „stanowią nowe wyzwania w zakresie cyberbezpieczeństwa dla sieci elektrycznej” i powinny być zaprojektowane z myślą o bezpieczeństwie jako „podstawowym składniku”.
Dlatego w miarę jak hakerzy stają się dziś mądrzejsi, używają bardziej zaawansowanych technik i – w wielu przypadkach – ewoluują i wprowadzają innowacje szybciej niż firmy, które atakują, ważne staje się pytanie: Co firmy mogą zrobić, aby ich odeprzeć?
Podejście oparte na ryzyku cyberataków
Niezależnie od branży przyjęcie podejścia opartego na ryzyku może pomóc w zidentyfikowaniu potencjalnych luk w zabezpieczeniach i chronić firmę przed nimi teraz i w przyszłości. Podejście oparte na ryzyku nie ma na celu ochrony przed wszystkimi zagrożeniami, ale identyfikowanie potencjalnych luk w zabezpieczeniach i podejmowanie strategicznych decyzji w oparciu o prawdopodobieństwo i wpływ każdej takiej luki.
Wzmacniając swoje wysiłki w zakresie cyberbezpieczeństwa, należy rozważyć te najlepsze praktyki, aby upewnić się, że dane podejście jest holistyczne i stale ewoluuje:
Ocena ryzyka
Oceny ryzyka zapewniają firmie krytyczne informacje, które pomagają zmniejszyć ryzyko z góry. Przeprowadzając ocenę, określa się przygotowanie kluczowych elementów cyberbezpieczeństwa – w tym zabezpieczeń sieci, zarządzania danymi, ochrony obwodowej i nie tylko – oraz ustala się lepsze zrozumienie ogólnej postawy bezpieczeństwa systemu.
Uszczelnianie dostępu do systemu.
Środki bezpieczeństwa mogą być uciążliwe i mogą sprawić, że ograniczenie bezpieczeństwo będzie kuszące, ale atakujący właśnie na to liczą. Zapewnienie ściśle zabezpieczonego dostępu do systemu dzięki zapewnieniu pracownikom sumiennych zasad bezpieczeństwa, ciągłej oceny zagrożeń i pomocy w budowaniu właściwej kultury bezpieczeństwa wewnętrznych.
Ustalanie ścisłych zasad.
Nawet najbardziej wyrafinowane, bezpieczne środki mogą się okazać bezużyteczne z powodu błędu ludzkiego. Dlatego ważne jest, aby edukować i wzmacniać pozycję pracowników dzięki silnej polityce administracyjnej, która zmniejsza ryzyko związane z inżynierią społeczną, phishingiem i powiązanymi atakami.
Aktualizowanie systemu sterowania.
Przestoje są kosztowne i należy ich unikać w miarę możliwości. Zastosowanie poprawek i aktualizacji systemu w odpowiednim czasie pozwala zminimalizować czas przestojów, eliminując jednocześnie ryzyko posiadania niezabezpieczonych serwerów i stacji roboczych.
Wykraczanie poza ochronę obwodową.
Atakujący często zakładają, że ochrona obwodowa jest na miejscu i dlatego używają wspólnych protokołów i znanych portów usług w celu naruszenia komponentów systemu sterowania. Aby stawić czoła atakom ukierunkowanym, należy kontrolować obwód systemu i chronić wszelkie potencjalne punkty wejścia, wdrażając konfigurowalne, adaptowalne zapory sieciowe i nieustannie skanując luki w zabezpieczeniach.
Utrzymanie zdalnego dostępu w właściwych rękach.
Prawie wszystkie systemy sterowania są wdrażane z pewnymi rodzajami zdalnych połączeń, ale to, że zdalny dostęp jest normą, nie czyni go bezpieczną praktyką. W systemach, w których konieczny jest dostęp zdalny, należy upewnić się, że jest on monitorowany i zaimplementowany w sposób bezpieczny. Można nawet rozważyć wiele warstw uwierzytelnienia w celu zwiększenia bezpieczeństwa.
Poznanie systemu sterowania.
Po opracowaniu i wdrożeniu podejścia do cyberbezpieczeństwa opartego na ryzyku, należy upewnić się, że stale monitorowane jest ryzyko i jak najszybciej identyfikowane potencjalne ataki i zagrożenia. Najlepszym podejściem do cyberbezpieczeństwa jest takie, które stale ewoluuje i dostosowuje się.
W przypadku przedsiębiorstw energetycznych lub komunalnych przedsiębiorstw użyteczności publicznej, które chcą wprowadzać innowacje i dotrzymywać kroku konkurentom, transformacja cyfrowa nie jest już „miłą ciekawostką”, jest koniecznością. I chociaż istnieje ryzyko, nie powinno ono powstrzymywać firm przed czerpaniem korzyści, takich jak wzmocniona współpraca i innowacje wśród ich pracowników, przełomowe usprawnienia operacyjne i inne.
Ponadto w stale ewoluującym krajobrazie cyberbezpieczeństwa powyższe najlepsze praktyki są tylko punktem wyjścia. Aby naprawdę zoptymalizować swoje procesy i podejście do ich ochrony, firmy energetyczne i wodne automatyzują obecnie i bezproblemowo integrują w swoich zakładach wiodące w branży rozwiązania w zakresie cyberbezpieczeństwa, takie jak System kontroli Ovation™ firmy Emerson który jest oznaczony i certyfikowany jako Kwalifikowana technologia antyterrorystyczna przez Departament Bezpieczeństwa Wewnętrznego USA.
Niezależnie od tego, gdzie firma wdraża cyberbezpieczeństwo, ważne jest, aby pamiętać, że zawsze istnieją możliwości poprawy, ewolucji i lepszego przygotowania się do kolejnego potencjalnego ataku lub zagrożenia czającego się za rogiem.
To, że atak jeszcze się nie wydarzył, nie oznacza, że go nie będzie. Dlatego warto poświęcić trochę czasu na opracowanie właściwego podejścia i współpracę z właściwym partnerem. Jutro podziękujesz sobie.
Nowe technologie zapowiadają bezprecedensową poprawę operacji biznesowych. Firma Emerson pomaga klientom poruszać się po złożonej ścieżce, aby osiągnąć wyznaczone cele.
Poznaj rewolucyjne pomysły, inspiracje i spostrzeżenia liderów firmy Emerson w dziedzinie automatyki przemysłowej, komfortu w domu i nie tylko.
