Zu Beginn des Jahres 2023 ruft Daniel Bren, CEO & Co-Gründer von OTORIO, Unternehmen auf, ihre Ansätze in Bezug auf OT-Sicherheit auf den Prüfstand zu stellen. Ein effektiver Sicherheitsplan für die cyber-physischen Systeme und die entsprechenden OT-Sicherheitsexperten ist eine wichtige und zeitgemäßer Voraussetzung für einen möglichst störungsfreien Betrieb der Produktionsumgebung.
Jeden Tag berichten Medien, wie Advanced Persistent Threat (APT)-Angreifer (kriminelle und nationalstaatliche Proxys) weiterhin versuchen, Cyberangriffe auf kritische Infrastrukturen und die industrielle Fertigung durchzuführen. Im Jahr 2022 wurden wir Zeuge von APTs mit Ransomware, die zusammen mit nationalstaatlichen Organisationen, vielerorts den Geschäftsbetrieb beeinträchtigten, Betriebsumgebungen zerstörten und die Sicherheit der Lieferkette erheblich untergruben.
Daniel Bren von OTORIO führt aus:
„Unternehmen, die auf Betriebstechnologie angewiesen sind, müssen jetzt mehr denn je ihre OT-Umgebungen effektiv schützen, die betriebliche Stabilität aufrechterhalten und ihre Sicherheitslage für das kommende Jahr verbessern.
Im Folgenden finden sich vier Schritte, um den Betrieb eines Unternehmens im Jahr 2023 stabil zu halten. Erstens gilt es, das Bewusstsein für OT-Cybersicherheit bei den Inhabern der Geschäftseinheiten zu fördern. Zweitens ist ein risikobasierter Ansatz für die OT-Sicherheit erforderlich. Drittens ist sicherzustellen, dass die OT- und cyber-physischen Systeme regelmäßig Risiken bewerten und Schwachstellen reduzieren, um Sicherheitsverletzungen zu verhindern, die zu Ausfallzeiten und Ransomware-Erpressung führen. Und schließlich sollten Unternehmen die sich schnell entwickelnden gesetzlichen und organisatorischen Compliance-Anforderungen einhalten.
1. Das Bewusstsein der Eigentümer von Geschäftseinheiten für OT-Cybersicherheit schärfen
Das Bewusstsein für die OT-Cybersicherheit ist zwar von zentraler Bedeutung, doch wurde den Aufforderungen zum Handeln nicht genügend Aufmerksamkeit geschenkt. Bei der ICS-Sicherheit geht es nicht nur um Technologie, sondern auch um Geschäftskontinuität. Die erste Herausforderung, vor der Unternehmen stehen, besteht darin, den Inhabern der Geschäftseinheiten bewusst zu machen, dass sie nicht nur ein Budget für die OT-Sicherheit bereitstellen müssen, sondern auch aktive Partner bei der Risikominderung mit ihren IT- und OT-Sicherheitsexperten sein müssen.
Wie sollten die Geschäftsleitung und die Sicherheitsexperten ihre Kollegen aus den Geschäftsbereichen über die Auswirkungen und die Bedeutung der OT-Sicherheit informieren und aufklären? Ein gängiger Ansatz ist die Verwendung einer „Angststrategie“, um das Bewusstsein zu schärfen, aber damit kommt man nicht weit, vor allem, wenn man die Bemühungen seines Teams zur Risikominderung unterstützen will.
Die Entwicklung eines nachhaltigen OT-Sicherheitsbewusstseins bei Geschäftsinhabern erfordert daher einen anderen Ansatz.
2. Einen risikobasierten Ansatz für die OT-Sicherheit verwenden
Der zweite Neujahrsvorsatz besteht darin, einen risikobasierten Ansatz für die OT-Cybersicherheit zu verwenden, der zwei Elemente umfasst: die Identifizierung kritischer Risiken und die Festlegung einer hohen Priorität für diese Risiken. Ein risikobasierter Ansatz erfordert daher sowohl Fähigkeiten zur Risikobewertung als auch die Fähigkeit, schnell zu reagieren. Risikobewertungsfähigkeiten für die OT-Sicherheit umfassen mehrere einzigartige Kompetenzen, einschließlich der Bewertung der Sicherheitslage eines Unternehmens, aber dieses entscheidende Element ist für sich allein nicht ausreichend.
Die eigentliche Herausforderung besteht darin, die technischen Erkenntnisse über Sicherheitsrisiken und Schwachstellen mit ihren potenziellen finanziellen und betrieblichen Auswirkungen auf das Unternehmen in Beziehung zu setzen. Wie können Unternehmen nicht nur jedem OT-Sicherheitsbefund einen monetären Wert zuweisen, sondern auch jeder entsprechenden Risikominderung, die durch die Beseitigung von Sicherheitslücken erreicht wird, insbesondere von kritischen, hochprioritären Lücken?
Nach der verbesserten Risikobewertung folgt die Aufgabe, die ermittelten Risiken zu verwalten. Auch hier ist es für den Erfolg dieses Prozesses von entscheidender Bedeutung, flexibel zu sein. Er erfordert auch viele spezifische Fähigkeiten auf Seiten des Compliance-Programms Ihrer Organisation. Das Programm benötigt die Fähigkeit, die Kontrollen zu implementieren, und Ihr Unternehmen die Fähigkeit, kompensierende Kontrollen zu validieren und durchzuführen.
Noch einmal: Der Zweck eines risikobasierten Ansatzes besteht darin, Prioritäten zu ermitteln. Wenn Teams und Einzelpersonen vernünftigerweise fragen: „Warum tun wir das?“, werden klare und präzise Compliance-Berichte die Antworten liefern.
Zur Überwachung des Fortschritts und zur Berichterstattung der Compliance benötigt das risikobasierte Bewertungsprogramm beweisgestützte Reporting-Dashboards und Berichte zum internen Fortschritt. Diese richten sich an die Aufsichtsbehörden der oberen Führungsebene, die Geschäftspartner und alle anderen, die an den Compliance-Strategien des Programms beteiligt sind.
3. Konform bleiben
Aufgrund der Realität haben Aufsichtsbehörden auf der ganzen Welt damit begonnen, eine Governance für Cyberrisiken einzuführen und zu fordern. Dies erfordert von den Unternehmen, dass sie mit den Änderungen der Vorschriften Schritt halten. Unabhängig davon, ob sich neue Vorschriften auf das Geschäft auswirken oder Unternehmen bestehende Vorschriften stärker durchsetzen müssen, können sie es sich nicht leisten, solche neu erlassenen Gesetze mit geringer Priorität zu behandeln.
Unabhängig davon, ob es sich um einen nordamerikanischen Stromversorger oder einen in Europa ansässigen Industriehersteller handelt, dessen Produkte als essenziell gelten (z. B. Arzneimittel), werden im Jahr 2023 in den USA, Kanada und Europa weitere OT-Cybersicherheitsvorschriften in Kraft treten.
Wie bereits erwähnt, implementieren und verbessern Unternehmen weiterhin ihre unternehmensinternen Compliance-Richtlinien, um interne Risiken zu verringern. Diese unternehmensweiten Richtlinien helfen den Teams, über Themen wie Phishing-Risiken, sicheren Fernzugriff, autorisierten Zugriff und vieles mehr informiert und wachsam zu bleiben.
4. Auf Ransomware vorbereitet sein
Um die OT-Infrastruktur zu schützen und das Risiko von Cyberangriffen zu mindern, die zu Ransomware und Ausfallzeiten führen können, müssen Verantwortliche über die Sichtbarkeit der Anlagen hinausgehen. Was können sie tun, um sich auf diese Risiken vorzubereiten und die organisatorische OT-Sicherheit zu verbessern? Die Technologie spielt eine wichtige Rolle, aber sie reicht nicht aus.
Es ist wichtig, die erforderlichen operativen Sicherheitsprozesse und -fähigkeiten zu entwickeln. Die Wahl des richtigen Technologie- und Implementierungspartners kann den Entwicklungsprozess und die Fähigkeiten, die IT- und Betriebssicherheitsexperten entwickeln müssen, beschleunigen. Dies ist wichtig, da die Risiken unmittelbar bevorstehen und OT-Sicherheitsexperten schwer zu finden sind.
Hier sind drei wichtige Schritte:
1. Führen Sie regelmäßige, kontextbezogene Risikobewertungen durch. Machen Sie sich klar, welche Assets in Ihrem Unternehmen gefährdet sind und wie mögliche Schadensszenarien aussehen würden, wenn diese Vermögenswerte gefährdet wären.
2. Verbessern Sie die Zusammenarbeit zwischen IT- und OT-Fachleuten. Eine der größten Herausforderungen ist heute die notwendige Zusammenarbeit zwischen IT-Sicherheits- und Automatisierungsexperten vor Ort. Eine solche Zusammenarbeit ist der einzige Weg, um eine effiziente Risikominderung zu erreichen. Der Einsatz geeigneter industrietauglicher Technologie wird nicht nur den Betrieb automatisieren, sondern auch den Reifegrad und die Bereitschaft beschleunigen.
3. Vorgeschriebene Risikominderung. Aufgrund der einzigartigen Natur der Betriebsumgebung sind viele traditionelle IT-bezogene Praktiken (z. B. Patching und Non-Safe-Scannen) nicht mehr relevant. Durch die Nutzung der Leistungsfähigkeit bereichsübergreifender Datenanalysen lässt sich automatisch die optimale Vorgehensweise bestimmen. Unter Berücksichtigung aller relevanten Faktoren und verfügbarer Sicherheitskontrollen liefert diese Art von Analyse Empfehlungen für die nächsten Schritte und bietet verschiedenen Anwendern sichere, praktische Maßnahmen zur Minderung von Betriebsrisiken.“