Poznaj przyczyny zagrożenia bezpieczeństwa przemysłowych systemów sterowania

16-08-2018, 17:45

Firmy z sektora przemysłowego i energetycznego, jak również przedsiębiorstwa transportowe i logistyczne, wskazują trzy czynniki, które zagrażają bezpieczeństwu ich sieci: niedobory kadrowe, niedoinwestowanie ze strony kierownictwa wyższego szczebla oraz czynnik ludzki. Tak przynajmniej wynika z jednego z ostatnich badań.

W zależności od branży organizacje różnie oceniają szkody wyrządzone ich firmom w związku z cyberzagrożeniami. W przypadku firm sektora transportowego i logistycznego, które rozwijają swoją działalność w oparciu o model usług, najbardziej negatywnym skutkiem jest utrata zaufania klientów (75%). Jednak większość przedsiębiorstw sektora produkcyjnego (66%) i energetycznego (73%) najbardziej obawia się obniżenia jakości produkcji na skutek cyberataku.    

Badanie Kaspersky Lab wykazało, że mimo częstotliwości i destrukcyjności ataków na sieci przemysłowych systemów sterowania (ICS) jedynie 52% firm ustanowiło środki reagowania na wypadek takiego incydentu. W porównaniu z takimi organizacjami ochrona sieci korporacyjnych jest na dojrzalszym poziomie: większość korporacji (77%) wdrożyła środki reagowania na wypadek incydentów mających wpływ na technologię informatyczną.  

Istnieje kilka przyczyn tej sytuacji, wspólnych dla organizacji przemysłowych dążących do zabezpieczenia swoich sieci ICS.

Niewystarczające zasoby i umiejętności

Zadanie ochrony sieci przemysłowych często spada na osoby odpowiedzialne za korporacyjne bezpieczeństwo informacyjne. W 40% organizacji produkcyjnych ochrona systemów kontroli przemysłowej należy do zadań specjalistów ds. korporacyjnego bezpieczeństwa IT. W przypadku przedsiębiorstw transportowych i logistycznych ponad połowa respondentów (58%) potwierdza, że nad bezpieczeństwem ICS czuwa wyspecjalizowany zespół powołany do zwalczania zagrożeń, który pracuje w pełnym wymiarze godzin.       

Organizacje przemysłowe, szczególnie te realizujące złożone procesy technologiczne, potrzebują wysoce wyspecjalizowanych, wykwalifikowanych pracowników w celu wypełnienia istniejącej luki. Na przykład w sektorze energetycznym, w którym krytyczna infrastruktura kraju jest zarządzana przy pomocy przemysłowych systemów sterowania, głównym wyzwaniem w zakresie zarządzania ochroną (61%) jest zaangażowanie pracowników posiadających odpowiednie umiejętności.  

Brak zaangażowania kierownictwa

W wielu przedsiębiorstwach bezpieczeństwo IT stanowi priorytet dla kierownictwa wyższego szczebla, jednak w ponad połowie (54%) przedsiębiorstw produkcyjnych kierownictwo w niewielkim stopniu – jeśli w ogóle – angażuje się w kwestie ochrony systemów ICS, co prowadzi do niedoinwestowania. W rzeczywistości dwie trzecie (66%) przedsiębiorstw nie ustala budżetu na ochronę infrastruktury krytycznej. Takie podejście nie zmienia się nawet w przypadku groźby incydentu — 17% organizacji sektora produkcyjnego nie uważa tego za wystarczający powód do inwestowania w bezpieczeństwo ICS.  

Czynnik ludzki jako odwieczny problem 

Skutki błędów pracowników stanowią istotne zagrożenie dla połowy organizacji wszystkich sektorów (49%). Nie jest to żadną niespodzianką, zwłaszcza że – zaraz po szkodliwym oprogramowaniu i ransomware – jest to najczęstsza przyczyna incydentów naruszenia bezpieczeństwa w systemach kontroli przemysłowej (27%). Na szczęście firmy są świadome problemu i próbują go rozwiązać poprzez szkolenia personelu i ustanawianie reguł zachowania w obiektach infrastruktury krytycznej. 82% organizacji wdrożyło już szkolenie dla pracowników, wykonawców oraz sprzedawców.      

Niezależnie od tego, jakich konsekwencji najbardziej obawiają się organizacje przemysłowe, jedynym sposobem na uniemożliwienie lub ograniczenie skutku ataku jest wdrożenie solidnych środków i procedur bezpieczeństwa dla sieci przemysłowych. Monitorowanie i niezwłoczna reakcja na incydenty mające wpływ na sieci ICS powinny stanowić kluczowe priorytety bezpieczeństwa IT, wraz z wyposażeniem personelu w odpowiednią wiedzę i narzędzia umożliwiające zminimalizowanie zagrożeń dla ich działalności.    

Źródło: Kaspersky Lab Polska


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.