7月14日、Nozomi Networks 'OT サイバーセキュリティ・ストラテジスト、ダニエル・ジャブランスキーは、政府と業界の専門家のコホートを主催し、「サイバー要塞の構築」について議論した:重要インフラにおける備えと回復力 "について議論した。このウェビナーでは、理論的あるいは理想主義的な希望リストではなく、具体的かつ実践的な提言が専門家から出された。パネリストは、OT 、ICSの所有者および運営者が、業務を中断させる可能性のあるサイバーインシデントを防止する能力の過去、現在、未来に焦点を当て、それぞれの経験と専門知識を共有した。
MITREのCyber Infrastructure Protection Innovation Centerのディレクターであるマーク・ブリストウ氏が指摘するように、チェスの盤面はしばしば、ブギーマン(内部脆弱性)とニンジャ(外部脅威要因)で市松模様になっている。ブギーマンに焦点を当てすぎると、組織の全体的なリスク状況を軽減する可能性が低いCVEを列挙することになり、必要なベンダーパッチや適切なアップデートがない可能性がある。一方、重要インフラを標的とする脅威行為者に過度に焦点を当てると、ある組織や場所で発生し得る真の被害レベルについて、効果ベースではなく手段ベースの評価を行うことになりかねない。
さらに、偶発的な状況や内部関係者のシナリオには、特別な注意が必要です。実際、OT のエンドユーザー調査の回答者は、制御システムのセキュリティ侵害において最も一般的な脅威要因として、「内部関係者の過失」を挙げています。
ペアリングthreat intelligence 、アクセス・ポイントと悪用可能な脆弱性、そして過失がもたらす潜在的な影響は、それぞれの目的のために構築された環境とそのミッションによって独立したものである。幸いなことに、潜在的な影響の深刻さを軽減する方法はたくさんある。
難問に挑む
供給、配送、監督のあらゆる部分をデジタル化したオペレーションは、ダウンタイムをほとんど許容しない、非常に破壊的なターゲットであり続けるだろう。米国家安全保障局(NSA)の制御システムサイバーセキュリティ担当シニアテクニカルエグゼクティブ、マイケル・ドランスフィールド氏は、自動化の進展、可視性の欠如、複雑でジャストインタイムなサプライチェーンが、潜在的な影響の深刻さを悪化させていると指摘する。
既知の脆弱性の捕捉や既存の能力によってリスクを計算する方法はいくつかあるが、これらの変数によって標的にされる可能性を決定することはできない。何を守ることが重要かは、あなたのミッションにとって一体何が問題なのかによって変わってくる。
この目的を念頭に置くことから始めると、セキュリティ態勢は、その使命を遂行するために使用される最も重要な機器、プロセス、システムをどの程度優先的に保護するかによって評価することができる。この目標を達成することで、有用なセキュリティツール、深層防衛戦略、ゼロトラストの概念を導入するための、より実践的なロードマップを確立することができる。
文化的ギャップへの対応
OT 、ICSの世界では、産業用サイバーセキュリティの専門職への明確な道はほとんどない。一方、運用環境を理解するために必要な暗黙知は着実に減少している。重要インフラにおける人材格差は、募集要員を充足する能力にとどまらず、制御プロセスと非企業セキュリティ仕様の両方に関するトレーニング、教育、意識向上という課題にまで及んでいる。
重要インフラ部門全体でサイバーセキュリティを推進するためには、セキュリティツールと同様に人材への投資も重要である。トレーニング、専門能力開発、演習やシミュレーション、実習、労働力の再教育、学費援助、実地でのサイロ潰しなどは、才能の格差に対処するための現実的なアプローチであるが、これは、世界で増え続ける有能な脅威行為者と比較するとリスクにもなり得る。
ガートナーが最近発表した2022年から23年にかけてのサイバーセキュリティ予測には、「2025年までに、脅威行為者はオペレーション・テクノロジー環境を武器化し、人的被害を引き起こすことに成功するだろう」と記されている。Cybersecurity Manufacturing Innovation InstituteのCOO兼CISOであるケン・ファウラー氏は、サイバーセキュリティをプロセスや安全性の会話に完全に統合し、C-suiteの緊密な会議から離れるという文化的なシフトに伴う課題について説明した。
上記の調査では、OT のエンドユーザーの大多数が、公共の安全を守ることが制御システムのサイバーセキュリティの最優先事項であると回答している。機械とプロセスの機能安全監視は、業務全体で最も重要である。サイバーセキュリティのシナリオを安全要件と体制に結びつけることは、このような実践における文化的な変化を生み出す第一歩である。
情報に基づいた意思決定
OT/ICS の決定論的で目的に特化した性質は、これまで2つとして同じ攻撃がないことを実証し、その結果、リスク計算のための標準化されたデータが不足している。同時に、管理すべき公式、非公式、自主的な基準やコンプライアンス体制も無数に存在する。その結果、ウェビナーでは、このような課題にもかかわらず、リスクとセキュリティ管理について、より多くの情報に基づいた意思決定を行うことに焦点が当てられた。
シュナイダーエレクトリックのエネルギー管理部門最高製品セキュリティ責任者であるメーガン・サムフォード氏は、より多くの情報に基づいた意思決定を行うための3つの重要なポイント、すなわち信頼の重要性、標準化されたアプローチの必要性、そして産業制御システム向けのインシデントコマンドシステムのような確立された関与モデルについて述べた。
米国エネルギー省のサイバーセキュリティ・エネルギーセキュリティ・緊急対応局長であるPuesh Kumar氏も、クリーンエネルギーシステムや気候変動という課題に取り組むための配備のような新しい開発に対して、サイバーセキュリティの決定を積極的に行うことができることを強調した。多くの技術や再生可能エネルギー・システム、グリーン・エネルギー・システムには、後付けでポイント・ソリューションを追加するのではなく、設計によってセキュリティを組み込む可能性があります。同じことが、多くのIoT 、ビッグデータ・プロジェクトの統合や超接続性についても言える。
情報に基づいた意思決定
拡大するサイバーセキュリティの課題を単一の業界だけで解決することは不可能である。一方、資産所有者は、採用される技術の爆発的増加、サプライチェーンでのインシデント、脅威の拡大に対応することが課題となっている。今後の研究、協力、信頼構築、標準化の機会である。以下は、重要インフラ全体にわたって概説された上位3つの機会である:
- コミュニティの信頼構築: メーカー、再販業者、インテグレーター、エンドユーザー、コンサルタント、セキュリティプロバイダー間の関係は、品質管理が必要であり、サイバーセキュリティに対する現実的で証拠に基づく期待は、信頼を評価し維持するために必要である。
- 広範でシンプルなキャンペーン: 信頼構築に取り組む利害関係者のコミュニティからの協調的な働きかけは、サイバー衛生キャンペーンのような広範なキャンペーンを推進する上で、制御システムの所有者やオペレータに可能な限りインターネット接続を削除するよう促したり、未発明のデバイスや「シャドー」技術の数を減らすことを強調したりするのに大いに役立つ。
- セキュアな製品設計とアーキテクチャー: 設計によるセキュリティーを備えた製品の開発、製品のライフサイクル全体を考慮し、レガシーシステムと新しいデバイスや技術の両方を組み込んだセキュアなアーキテクチャーに対する新たな緊急性が生じている。特に、サイバーインフォームド・エンジニアリング戦略の主要項目は、このような戦略の策定に役立つ。