Table of Contents
A közművek emberek millióinak adnak létfontosságú szolgáltatásokat, de egyre összetettebbé váló és digitálisan átalakuló energetikai infrastruktúrájukban a kiberbiztonsági kockázatok is mind nagyobbak. Ha az energiaszektor szereplői eddig vártak volna kibervédelmük megerősítésével, akkor erre sürgeti őket immár a szigorodó uniós szabályozás is.
(Vendégszerzőnk, Flóra Zsolt, a Siemens Zrt. digitális üzletfejlesztési menedzsere)
Miközben a közművek az energia termelését, átvitelét és elosztását támogató műveleti technológiát (OT) egyre szorosabban az informatikai rendszerekhez (IT) kapcsoló üzleti modellekre térnek át, kritikus infrastruktúrájuk sérülékenyebbé válik a kibertámadásokkal szemben – állapította meg jelentésében (Caught in the Crosshairs: Are Utilities Keeping Up with the Industrial Cyber Threat?) a Siemens és a Ponemon Institute.
A tanulmány alapjául szolgáló, globális felmérésben az energiaszektor több mint 1700 kiberbiztonsági szakembere vett részt, és 56 százalékuk arról számolt be, hogy vállalata évente legalább egy leállást vagy adatvesztést szenved el, a szervezetek negyedét pedig már olyan nagyszabású kibertámadás is érte, amely hátterében gyakran valamely nemzetállam áll.
A digitálisan átalakuló kritikus infrastruktúrák elleni kibertámadások rendkívül súlyos pénzügyi, környezeti és infrastrukturális károkat okozhatnak. De míg a megkérdezett szakemberek többsége (64 százaléka) az ilyen kifinomult támadásokat tartja a legnagyobb biztonsági kihívásnak, vállalatának felkészültségét csupán 42 százalékuk értékelte magasra, és mindössze 31 százalékuk jelentette ki, hogy egy ilyen támadást nagyon gyorsan meg tudnának fékezni.
NIS 2: frissített irányelv szigorít a megfelelés követelményein
Ha a pusztító erejű kibertámadások növekvő kockázata önmagában nem hatna kellő ösztönző erővel, az energiaszektor szereplőit a szigorodó uniós szabályozás is kibervédelmük frissítésére sürgeti. Az Európai Tanács tavaly novemberben elfogadott NIS 2 irányelvét ugyanis a tagállamok 2024 végéig beépítik törvényeikbe.
A hálózat- és információs rendszerek biztonságáról szóló, hatályos NIS irányelvből eredő jogszabályok alkották a kiberbiztonságra vonatkozó, uniós szintű szabályozás első elemeit, és 2016 óta sok tagállamban jelentős változást hoztak a kiberbiztonsággal kapcsolatos gondolkodásmódban, intézményi és szabályozási megközelítésben. Hálózatba kapcsolt társadalmunk egyre gyorsabb digitális átalakulása, valamint a kiberbűnözés világszintű felerősödése miatt azonban időszerűvé vált a jogszabályok frissítése.
A NIS 2 irányelv ezért az eddiginél több – a gazdaság és a társadalom számára kritikus fontosságú – ágazat közép- és nagyvállalataira terjed ki, a már jelenleg is szabályozott bank-, energia-, szállítmányozási és távközlési szektor szervezetein túl többek között a nyilvános elektronikus hírközlési és a digitális szolgáltatások, a szennyvíz- és hulladékgazdálkodás, a gyártóipar, a postai és futárszolgálatok, valamint a közigazgatás szereplőire, központi és regionális szinten egyaránt. A frissített irányelv például az egészségügyi ágazatot is az eddiginél szélesebben fedi le, hatálya kiterjed az orvostechnikai eszközök gyártóira is.
Kibővíti és szigorítja továbbá a NIS 2 a vállalatokra vonatkozó kiberbiztonsági követelményeket is, részletesebben foglalkozik például az ellátási láncok és a beszállítói kapcsolatok biztonságával, és bevezeti a megfelelést elmulasztó vállalatok felső vezetésének felelősségre vonását. Az irányelv egyszerűsíti a kötelező jelentéstétel módját, ugyanakkor szigorúbb felügyeleti intézkedéseket és végrehajtási követelményeket vezet be a nemzeti hatóságok számára, és megcélozza a szankciórendszerek harmonizálását a tagállamokban.
A NIS 2 emellett jogharmóniát teremt az olyan ágazatspecifikus szabályozással is, mint a pénzügyi szolgáltatók és a kritikus fontosságú entitások digitális működési állóképességére vonatkozó DORA törvénnyel és CER irányelvvel, valamint az EU-CyCLONe hálózat létrehozásával megteremti a tagállamok közötti együttműködés kereteit a nagy kiterjedésű kiberbiztonsági incidensek összehangolt kezeléséhez.
A törvényi megfelelés bővülő és szigorodó követelményeinek teljesítésében a Siemens szolgáltatásaival és megoldásaival sokrétűen támogatja az átviteli és az elosztó rendszereket működtető operátorokat, valamint a NIS 2 hatálya alá tartozó szektorok más szereplőit a biztonsági kockázatok felülvizsgálatától és ajánlások megfogalmazásától kezdve a kiberfenyegetések észlelésére és a támadások kivédésére szolgáló, legfejlettebb megoldások szállításán át a nemzetközi kiberhelyzet nyomon követéséig, valamint belső és külső biztonsági oktatásokig. A meglévő és a frissített irányelv hatálya alá tartozó szervezeteknek szállított megoldások különösen nagy hangsúlyt helyeznek például a biztonsági információk és események kezelésére (SIEM), valamint a kockázatok elemzésére (OT Companion).
Eseménykezelés szolgáltatásként és sérülékenységfigyelő OT-társ
A kritikus fontosságú infrastruktúrák hatékony védelméhez az energiaszektor szereplőinek a technológia, a folyamatok és az emberek, a munkaerő szintjén egyszerre többféle képességet is szükséges fejleszteniük, hogy egyrészt felmérjék és megértsék a működést, az erőforrásokat és a folyamatokat érintő biztonsági kockázatokat, kialakítsák a megfelelő védelmet, és időben észleljék a biztonsági eseményeket, másrészt kidolgozzák az incidensben érintett rendszerek és a szolgáltatások helyreállításához szükséges üzletmenet-folytonossági tervet és intézkedéseket.
Többféle megközelítés – például behatolás-észlelő és -megelőző IDS és IPS rendszerek – közül, illetve ezek kombinációjából is választhatnak a vállalatok, informatikai oldalon azonban a legátfogóbb megoldást a biztonsági információk és események kezelésére szolgáló SIEM (Security Information and Event Management) rendszerben fogják megtalálni, amilyet a Siemens is kínál IoT alkalmazásainak széles portfóliójában.
A SIEM rendszerrel – amelyet lokálisan is telepíthetnek vagy a felhőben, szolgáltatásként is használhatnak – az energetikai szektor szereplői összegyűjthetik és összesíthetik, elemezhetik a keletkező syslog naplóadatokat teljes informatikai infrastruktúrájukban. Minthogy folyamatosan rálátnak a biztonsági helyzetre, és riasztást kapnak az észlelt anomáliákról vagy incidensekről, az eseményeket azonnal megválaszolhatják, mielőtt azok befolyásolhatnák a rendes működéshez szükséges funkciókat.
A Siemens SIEM megoldása mindezt több mint 200 definiált szabállyal is megkönnyíti, amelyekkel a vállalatok például a többszörös sikertelen bejelentkezést, IP-címek jogosulatlan elérését, konfigurációk módosítását és más, rendellenességre utaló hálózati történéseket észlelhetnek. A felhőben, as-a-service modellben szolgáltatásként bevezethető SIEM megoldás további előnye, hogy rugalmasabban skálázható, az adatforrásokkal könnyebben összekapcsolható, és igény szerint további képességeket hozzáadó alkalmazásokkal is egyszerűbben bővíthető.
Egy másik felhőalapú IoT alkalmazás többek között az OT Companion, amely átláthatóvá teszi az energetikai szektorban jellemzően sok szállító változatos és többgenerációs eszközeiből és szoftvereiből felépülő OT környezetet. Az alkalmazással az iparág szereplői például korszerűsíthetik és kiterjeszthetik a sérülékenységmonitorozást és a biztonsági javítások felügyeletét, így az előírt vagy ajánlott folyamatokat is hathatósabban támogathatják, amelyek a kiberbiztonsági előírásokban meghatározott követelmények teljesítéséhez, a törvényi megfeleléshez szükségesek.
Akcióterv folyamatos monitorozáshoz, észleléshez és válaszadáshoz
Kritikus infrastruktúrájuk erős kibervédelméhez az energetikai szektor szereplőinek fel kell készülniük hálózataik folyamatos monitorozására, a szabályos működéstől eltérést mutató rendellenességek lehető legkorábbi észlelésére, valamint a biztonsági események azonnali, módszeres lereagálására.
A vállalatoknak ehhez szükségük lesz egy kollektív védelmi keretrendszerre, amelyen keresztül a hatóságokkal meg tudják osztani a törvényben előírt információkat, valamint olyan rendszerekre is, amelyekben vagy nem kezelnek érzékeny adatokat, vagy azokat más módon védik, illetve névtelenítik, és be kell vezetniük a fenyegetések észlelésére szolgáló, dinamikusan frissíthető technológiákat. Fel kell készülniük arra is, hogy mindezt a vonatkozó szabványokkal, irányelvekkel és törvényi előírásokkal összhangban végezzék el, és eközben minden intézkedésüket, fejlesztésüket megfelelően dokumentálják.
Tanácsos ezért, hogy a vállalatok – miután a szervezeten belül minden érintett felet megnyertek a kezdeményezésnek, és a vonatkozó szabványokat, törvényi előírásokat is azonosították – egy audittal, a biztonsági állapot felmérésével induljanak, majd a feltérképezett sérülékenységek, hiányosságok és kockázatok alapján dolgozzák ki a problémák felszámolásához, a kibervédelem megerősítéséhez szükséges akciótervet.
A közművek hosszú távon is hatékony és eredményes kibervédelméhez ugyanilyen fontos, hogy a szektor szereplői hálózataik és rendszereik, OT és IT környezetük minden további bővítésekor és fejlesztésekor eleve betervezzék és beépítsék a biztonságot, és ezt az átfogó megközelítést következetesen alkalmazzák, megőrizve operatív és üzleti működésük folytonosságát.
(A cikk megírásában közreműködött Ludman Levente.)
