Сообщите о призывах к немедленным действиям для устранения киберугроз для критически важной инфраструктуры

Благотворительный фонд глобальной безопасности, Lloyd’s Register Foundation сегодня выпустила отчет под названием «Оперативная кибербезопасность для промышленного Интернета вещей:проблемы и возможности». Это подчеркивает нависшую угрозу критически важной инфраструктуре со стороны кибератак, учитывая растущую зависимость от Интернета вещей (IoT), говорит Роберт Ханниган, исполнительный председатель международного совета BlueVoyant . и Сэди Криз, профессор кибербезопасности, факультет компьютерных наук Оксфордского университета.

В отчете особое внимание уделяется рискам, присущим промышленному Интернету вещей (IIoT), который быстро становится основной частью важнейших глобальных инфраструктур во всех секторах, включая энергетику, транспорт, искусственную среду и физическую инфраструктуру, а также производство. Безопасность особенно важна в средах IIoT, поэтому важно понимать, как создавать безопасные и отказоустойчивые инфраструктуры.

Интернет вещей также усугубляет проблемы безопасности, которые уже существуют. Отчет направлен на определение приоритетности действий путем определения ключевых возникающих рисков и пробелов в возможностях, для устранения которых текущие темпы изменений в операционной кибербезопасности будут недостаточными. В таких условиях последствия сбоя могут быть системными, и в отчете содержится призыв к безотлагательному принятию сообществом Интернета вещей руководящих принципов для повышения устойчивости к кибератакам.

В отчете отмечаются различные точки зрения лиц, ответственных за управление рисками в отрасли, включая представителей производственного персонала и членов правления, компании и регулирующие органы, отдел закупок и кибербезопасности, а также содержится полезный обзор, позволяющий повысить осведомленность о кибербезопасности для всех.

Основной вывод отчета заключается в том, что текущие темпы изменений не будут соответствовать быстрому появлению новых угроз безопасности для сред IIoT. В отчете указывается, что текущие возможности либо не масштабируются, не тестировались, либо просто еще не существуют. В отчете также указывается на приближающийся переломный момент для восстановления после кибератак, а также на проблемы для мышления, регулирования и страхования, которые могут помочь в создании превентивных методов безопасности.

Несмотря на то, что регулирование, требования поставщиков киберстрахования и внедрение концепции кибербезопасности в организациях могут способствовать прогрессу в устранении пробелов в операционных возможностях и разработке средств контроля рисков, которые эффективно переводятся в IIoT, существуют новые, неотложные проблемы, которые необходимо решить. / P>

Управление рисками кибербезопасности традиционных систем уже сталкивается с множеством проблем. К ним относятся явная сложность попыток отобразить сложные взаимоотношения между техническими и человеческими системами, а также проблемы коммуникации между различными сообществами, в которых основы понимания риска фундаментально различаются.

Многие из этих существующих проблем останутся и будут усугубляться, а также возникнут новые, поскольку подходы к управлению рисками переводятся в IIoT, создавая ключевые пробелы в возможностях.

Помимо изучения этих проблем по мере развития Интернета вещей, в отчете приводятся важные выводы, в том числе:

1. Всегда учитывайте последствия вреда при планировании управления рисками.
2. Подумайте, как средства контроля безопасности могут дать сбой по мере увеличения использования устройств Интернета вещей.
3. Используйте методы, которые могут предоставить вам непрерывную оценку вашего положения (почти в реальном времени), в отличие от периодических оценок.
4. Подумайте, как ваши цепочки поставок используют Интернет вещей:рассматривайте их неспособность поддерживать кибербезопасность как риск для ваших планов управления рисками безопасности.
5. Инвестируйте в процессы готовности к судебной экспертизе.
6. Включите рассмотрение будущих сценариев в свои оценки рисков.
7. Инвестируйте в обучение персонала стандартам и передовой практике Интернета вещей.
8. Сотрудничайте, чтобы установить протокол интерфейса устройства для обмена информацией мониторинга безопасности.

Авторы - Роберт Ханниган, международный исполнительный председатель BlueVoyant, и Сэди Криз, профессор кибербезопасности факультета компьютерных наук Оксфордского университета.

Об авторах

Роберт Ханниган, исполнительный международный председатель BlueVoyant , бывший директор GCHQ, службы безопасности Великобритании и соавтор отчета, говорит:«За последние несколько лет мы стали свидетелями роста числа преднамеренных атак, направленных на критически важные инфраструктуры по всему миру. Поскольку внедрение Интернета вещей в промышленном секторе продолжает расти, необходимы четкие действия и рекомендации. В нашем отчете описывается контекст IIoT, неминуемые проблемы, с которыми сталкивается основная инфраструктура, поскольку они все больше полагаются на подключенные системы, и возможные решения для защиты от киберинцидентов ».

Сэди Криз, профессор кибербезопасности факультета компьютерных наук Оксфордского университета и соавтор, добавляет:«Нам необходимо создавать устойчивые инфраструктуры, которые гарантируют безопасность постоянно расширяющейся связанной сети« вещей ». Совершенно очевидно, что существует острая необходимость в дальнейших исследованиях, чтобы понять и подтвердить эффективность управления рисками; изучить модели ответственности, практические аспекты и последствия для рынков Интернета вещей; и развивать международное сотрудничество для укрепления доверия к цепочке поставок IIoT ».