Carros de metrô presos em um túnel. Blackouts de eletricidade. Uma barragem violada. Telecomunicações atoladas. Essas e outras conseqüências potenciais de violações críticas de segurança da infraestrutura podem, na melhor das hipóteses, causar inconvenientes; Na pior das hipóteses, eles podem levar à morte ou destruição em uma escala chocante. As quedas de energia na Ucrânia em 2015 e 2016 representam dois desses casos em questão. Essa nova vulnerabilidade decorre de mudanças fundamentais na infraestrutura crítica dos sistemas de tecnologia das organizações. Tais organizações - prestadores de cuidados de saúde, serviços públicos, produtores de produtos químicos, fabricantes, agências de defesa, socorristas, bancos, sistemas de transporte - possuíam e operavam há muito tempo dois tipos de sistemas de tecnologia. Seus sistemas de TI executam funções básicas de escritório, como e-mail, folha de pagamento e sistemas de recursos humanos; Enquanto seus sistemas de tecnologia operacional (OT) controlam equipamentos físicos e pessoal essenciais para cumprir sua missão, como gerar e transmitir energia. Mas agora, os sistemas OT são executados nas mesmas plataformas de software e hardware comumente conhecidas que os sistemas de TI. Esses sistemas são bem compreendidos pelos hackers e, portanto, são significativamente menos seguros. É a crescente demanda por acesso contínuo à informação - acessado que depende do uso de tecnologias digitais "inteligentes", incluindo sensores, câmeras e wearables. Por exemplo, um utilitário reúne dados on -line sobre falta de energia de medidores inteligentes, para que possa identificar rapidamente os locais e restaurar a energia aos clientes. Um proprietário ajusta remotamente o termostato em sua residência para diminuir a temperatura enquanto ela está de férias. Um médico vê o uso de insulina dos pacientes em um computador de escritório. As empresas monitoram remotamente o status e a localização de trens, ônibus e caminhões; o fluxo de petróleo e gás através de oleodutos; ou consumo de água ou eletricidade para gerenciar esses serviços de maneira eficaz e eficiente. Quando os clientes de três utilitários de energia ucranianos perderam energia por causa de um incidente cibernético, esses utilitários conseguiram voltar às operações manuais para restaurar a energia. Isso não seria possível em vários outros países, onde as operações manuais não existem mais. Quando um hospital em Los Angeles experimentou um ataque de ransomware, que trancou os sistemas hospitalares e os tornou indisponíveis, o hospital perdeu temporariamente informações sobre os medicamentos prescritos para os pacientes. Felizmente, ninguém morreu por receber o medicamento errado ou não receber o medicamento certo. Todos esses dispositivos precisam ser projetados, implementados e implantados de maneiras que os tornem menos vulneráveis a ataques. Quando os atacantes atingem os sistemas que usam essas tecnologias, sendo inconveniente ou irritado pode constituir o mínimo de nossas preocupações. e tecnologia (NIST). Vamos dar uma olhada mais de perto.
In today’s hyperconnected world, such infrastructure is more vulnerable than ever to cybersecurity threats, whether from nation states with bad intentions, criminal organizations, or individuals. This new vulnerability stems from fundamental changes in the critical infrastructure of organizations’ technology systems. Such organizations—health care providers, utilities, chemical producers, manufacturers, defense agencies, first responders, banks, transportation systems—have long owned and operated two types of technology systems. Their IT systems run basic office functions, such as e-mail, payroll, and human resources systems; while their operational technology (OT) systems control physical equipment and personnel essential for carrying out their mission, such as generating and transmitting power.
In the past, OT consisted of standalone systems that used little-known proprietary protocols—their very obscurity made them secure. But now, OT systems run on the same commonly known software and hardware platforms as IT systems. These systems are well understood by hackers and are therefore significantly less secure.
Unprecedented Exposure
What has led to this convergence of OT and IT? It’s the growing demand for seamless access to information—access that hinges on the use of “smart” digital technologies, including sensors, cameras, and wearables. For instance, a utility gathers online data on power outages from smart meters so it can swiftly identify problem locations and restore power to customers. A homeowner remotely adjusts the thermostat at her residence to lower the temperature while she’s on vacation. A doctor views patients’ insulin use on an office computer. Companies remotely monitor the status and location of trains, buses, and trucks; the flow of oil and gas through pipelines; or water or electricity consumption to manage these services effectively and efficiently.
While the technologies in these examples improve our lives and infuse efficiencies into our economy, they can also make us more vulnerable. When customers of three Ukrainian power utilities lost power because of a cyber incident, those utilities were able to fall back on manual operations to restore power. This would not be possible in a number of other countries, where manual operations no longer exist. When a hospital in Los Angeles experienced a ransomware attack, which locked up the hospital systems and made them unavailable, the hospital temporarily lost information about medications prescribed to patients. Fortunately, no one died from receiving the wrong medication or not receiving the right medication.
As the number of interconnected devices continues to increase, the number of potential access points for hackers to disrupt critical infrastructure grows as well. All of these devices need to be designed, implemented, and deployed in ways that make them less vulnerable to attacks.
In short, our dependence on technology is now critical and increasing exponentially. When attackers strike the systems that use those technologies, being inconvenienced or annoyed may constitute the very least of our worries.
Understanding the Challenges
Today’s high levels of interconnectivity and exposure have also spawned serious challenges for critical infrastructure organizations, as we recently explained to the US presidential Commission on Enhancing National Cybersecurity in a report submitted to the National Institute of Standards and Technology (NIST). Let’s take a closer look.
A necessidade de garantir a infraestrutura digital futura enquanto ainda está evoluindo
Cidades inteligentes, medicamentos habilitados para tecnologia e carros sem motorista têm uma promessa maravilhosa de vidas melhores, mais seguras e produtivas para todos nós. Mas, para construir a infraestrutura digital necessária para cumprir essa promessa, as organizações críticas de infraestrutura devem antecipar necessidades futuras. É semelhante a construir um avião sem saber até que ponto ele terá que voar e quantas pessoas ele levará. Para tornar as coisas ainda mais difíceis, os sistemas de OT das organizações de infraestrutura críticos consistem em tecnologias mais antigas que foram projetadas e implementadas antes da segurança cibernética estar no radar de qualquer pessoa. Como esses sistemas são críticos, eles freqüentemente não podem ser levados offline para redesenhar e reparar. Além disso, a substituição de que a base instalada é cara e demorada. Você pode imaginar desligar a eletricidade do seu bairro por seis meses para fazer uma atualização? Além disso, requer experiência especializada que é escassa globalmente. O déficit global da experiência em segurança cibernética está bem documentada. Encontrar aqueles que sabem como protegê -lo e os sistemas OT exigidos pela infraestrutura crítica é ainda mais difícil. A diferença de prioridades é pronunciada: os sistemas OT devem, em primeiro lugar, estarem seguros e disponíveis, enquanto os sistemas de TI devem, em primeiro lugar, proteger a confidencialidade dos dados que processam e armazenam. As pessoas que gastam suas carreiras nela ou em ambientes de OT são motivadas por essas prioridades muito diferentes, geralmente têm origens educacionais diferentes e, como resultado, têm mentalidades muito diferentes. Encontrar pessoas que podem praticar o AT e a segurança cibernética não é pouca coisa, enquanto o treinamento cruzado é difícil, caro e nem sempre bem-sucedido. Fazer isso corretamente requer uma variedade de conhecimentos especializados que organizações menores não podem pagar. Grandes organizações críticas de infraestrutura com recursos pesados podem contratar seus próprios especialistas e criar programas sofisticados de segurança cibernética. Os menores (como agências de resposta a emergências e utilitários de água) precisam gerenciar os mesmos riscos com significativamente menos recursos. Portanto, não é de surpreender que empresas de transporte, serviços públicos, prestadores de serviços de saúde, provedores de serviços financeiros e inúmeros outros setores dependam de vários parceiros para entregar qualquer coisa, desde software e hardware até serviços legais ou de consultoria. Isso inclui os componentes de hardware e software da infraestrutura crítica e a multidão de dispositivos inteligentes. As empresas que se fundem são integradas com muito mais força do que no passado, incluindo interconectar os sistemas um do outro e trocar informações altamente sensíveis. Para tornar as coisas mais complicadas, os fornecedores têm seus próprios fornecedores, subestimadores e assim por diante. Isso fornece um número quase infinito de pontos adicionais que podem ser comprometidos. Enquanto os fabricantes de TI tradicionais lidam com ameaças cibernéticas há 20 a 30 anos, o dispositivo inteligente e os fabricantes de sistemas críticos de infraestrutura foram introduzidos apenas recentemente no problema. A escassez de força de trabalho de segurança cibernética discutida anteriormente tem um impacto significativo na capacidade dos fornecedores de proteger seus dispositivos, incluindo a garantia de suas próprias cadeias de suprimentos. Os fornecedores que costumavam fazer dispositivos de hardware operados manualmente e que agora fazem com que os dispositivos inteligentes acionados por software tenham que aprender sobre segurança cibernética rapidamente. Ou seja, os atores de ameaças se movem no tempo da Internet, enquanto as pessoas pensam, analisam e agonizam sobre decisões. As organizações devem agir agora para mitigar os desafios de segurança cibernética que eles enfrentam hoje. Desenvolvemos várias recomendações para contribuir com uma ação coletiva eficaz.
Some of the technologies that the infrastructure will have to support have not yet been invented. It’s akin to building an airplane without knowing how far it will have to fly and how many people it will carry. To make matters even more difficult, critical infrastructure organizations’ OT systems consist of older technologies that were designed and implemented before cybersecurity was on anyone’s radar. Because these systems are critical, they frequently cannot be taken offline for redesign and repair. What’s more, replacing that installed base is costly and time consuming. Can you imagine shutting down the electricity to your neighborhood for six months to do an upgrade?
Cybersecurity Talent Deficit
Ensuring that smart devices are designed, implemented, and maintained with security in mind is not easy. Furthermore, it requires specialized expertise that is in short supply globally. The global deficit of cybersecurity expertise is well documented. Finding those who know how to secure both IT and OT systems required by critical infrastructure is even more difficult.
Although the technology underlying the two types of systems is now the same, securing both types entails different priorities and different approaches. The difference in priorities is pronounced: OT systems must first and foremost be safe and available, while IT systems must first and foremost protect the confidentiality of the data that they process and store. People who spend their careers in IT or OT environments are driven by these very different priorities, usually have different educational backgrounds, and, as a result, have very different mindsets. Finding people who can practice both OT and IT cybersecurity is no small feat, while cross-training is difficult, costly, and not always successful.
Resource Disparity Between Large and Small Organizations
Cybersecurity is a complex discipline comprising multiple knowledge areas. Doing it right requires a variety of specialized expertise that smaller organizations cannot afford. Large critical infrastructure organizations with hefty resources can hire their own experts and set up sophisticated cybersecurity programs. Smaller ones (like emergency response agencies and water utilities) have to manage the same risks with significantly fewer resources.
Reliance on Third Parties to Deliver Critical Capabilities Securely
The laws of economics drive businesses to focus on core competencies and outsource the rest. So it’s not surprising that transportation companies, utilities, health care providers, financial services providers, and countless other industries rely on numerous partners to deliver anything from software and hardware to legal or consulting services. That includes the hardware and software components of critical infrastructure and the multitude of smart devices. Companies that merge are integrated much more tightly than in the past, including interconnecting each other’s systems and exchanging highly sensitive information. To make matters more complicated, suppliers have their own suppliers, subsuppliers, and so forth.
The supply chain has thus become a supply network—long, extended, complex, multidimensional, and multinational. This provides an almost infinite number of additional points that can be compromised. While traditional IT manufacturers have been dealing with cyberthreats for 20 to 30 years, smart device and critical infrastructure systems manufacturers have only recently been introduced to the problem. The cybersecurity workforce shortage discussed earlier has a significant impact on suppliers’ ability to secure their devices, including securing their own supply chains. Suppliers that used to make manually operated hardware devices and that now make software-driven smart devices have to learn about cybersecurity quickly.
Taking Action: Our Recommendations to the Presidential Commission
Internet time advances much more swiftly than people time. That is, threat actors move in internet time, while people think, analyze, and agonize over decisions. Organizations must act now to mitigate the cybersecurity challenges facing them today. We’ve developed several recommendations for contributing to effective, collective action.
It/OT Desenvolvimento de segurança cibernética é um exemplo. Embora os programas de desenvolvimento da força de trabalho de segurança cibernética financiados pelo governo federal sejam uma etapa na direção certa, eles se concentram no treinamento geral de segurança cibernética, não em ambientes de TI/OT. Portanto, eles não atendem totalmente às necessidades de organizações críticas de infraestrutura em setores como fabricação, transporte e serviços públicos - ou seus ecossistemas de fornecedores. Para ajudar a fechar a lacuna, as organizações podem apoiar a criação de uma gama mais ampla de abordagens educacionais, incluindo diplomas universitários, programas de aprendizagem e treinamento de segurança de TI/OT para funcionários existentes. Organizações com menos experiência em segurança cibernética ou equipes menores de segurança cibernética podem aprender com as experiências de seus colegas mais experientes. As organizações maiores também devem incentivar seus especialistas a participar de associações do setor, parcerias público-privadas e organizações regionais, que oferecem oportunidades para formalizar a orientação cruzada e a transferência de conhecimento. As organizações menores devem incentivar a participação semelhante. No curto prazo, esses grupos de trabalho tiram um tempo dos empregos do dia das pessoas. Mas no mundo interconectado de hoje, as organizações se beneficiarão a longo prazo, porque a transferência de conhecimento melhorará a segurança da infraestrutura que as conecta. Como nos programas de segurança e qualidade, esses esforços exigirão mudanças transformadoras em larga escala. As organizações não podem apenas confiar na adoção de soluções de tecnologia de segurança cibernética. Em vez disso, eles devem estabelecer os incentivos corretos, gerenciamento de desempenho, treinamento, processos, procedimentos e outros sistemas, para arrancar a mentalidade, o comportamento e as práticas que exige a segurança cibernética. Isso inclui o uso de tecnologias existentes de maneira eficaz e aplicar novas políticas. Em um nível diário mais detalhado, os executivos precisam liderar pelo exemplo, demonstrando o pensamento, as ações e os valores que desejam que outros em toda a organização imitem. A maioria das categorias na estrutura de segurança cibernética do NIST é não técnica, apoiando esse fato. De fato, recomendamos as seguintes práticas, inspiradas em nosso trabalho com o MIT, o Fórum Econômico Mundial e as empresas em todo o mundo, como cruciais para tecer a segurança cibernética na cultura e no planejamento estratégico de uma organização:
Cross-organizational mentoring and knowledge transfer is another recommendation. Organizations with less cybersecurity experience or smaller cybersecurity teams can learn from the experiences of their more seasoned peers. Larger organizations should also encourage their experts to participate in industry associations, public-private partnerships, and regional organizations, which all provide opportunities for formalizing cross-organizational mentoring and knowledge transfer. Smaller organizations should encourage similar participation. In the short term, such working groups take time away from people’s day jobs. But in today’s interconnected world, organizations will benefit in the long run, because the knowledge transfer will improve the security of the infrastructure that connects them.
Embedding Cybersecurity into Organizational Culture and Strategy
In addition to the recommendations described above, critical infrastructure organizations must weave cybersecurity into their very culture and strategy planning. As with safety and quality programs, these efforts will call for large-scale, transformative change. Organizations can’t just rely on adopting cybersecurity technology solutions. Instead, they must set up the right incentives, performance management, training, processes, procedures, and other systems, to ingrain the mindset, behavior, and practices that cybersecurity requires. This includes using existing technologies effectively and enforcing new policies. On a more detailed, day-to-day level, executives need to lead by example, demonstrating the thinking, actions, and values that they want others throughout their organization to emulate.
In short, the most effective way to increase cybersecurity resilience is by changing the way people use technology—not by adding technology to compensate for technologies that are not being properly used. Most of the categories in NIST’s Cybersecurity Framework are nontechnical, supporting this fact. Indeed, we recommend the following practices, inspired by our work with MIT, the World Economic Forum, and companies around the world, as crucial for weaving cybersecurity into an organization’s culture and strategic planning:
- Empower seus principais líderes de segurança cibernética, dando -lhes autoridade, orçamento e acesso regular ao Conselho de Remoção de Diretores. Externamente. Empresa. Todos na organização entenderão o que significa segurança cibernética; Por que isso importa para a organização deles, a sociedade em geral, seus empregos e suas famílias; E como eles, em seu trabalho cotidiano e interações, podem fazer a diferença em garantir a infraestrutura crítica de toda a nação. Trabalho duro? Certamente. Mas nenhuma organização crítica de infraestrutura pode se dar ao luxo de evitar. o Fórum Econômico Mundial
- Acquire appropriate expert support—internally and externally.
- Define your cyber-risk tolerance consistently with your business strategy and risk appetite.
- Support cybersecurity investments that maximize business impact.
- Require reports containing achievable information that supports effective, prioritized decision making.
- Establish clear communications and accountability to encourage collaboration across the enterprise.
- Support cybersecurity collaboration and information sharing with third parties, including customers, suppliers, business partners, and competitors.
In the end, organizations that integrate cybersecurity into their culture and strategic planning will be the most resilient. Everyone in the organization will understand what cybersecurity means; why it matters to their organization, society at large, their jobs, and their families; and how they, in their everyday work and interactions, can make a difference in securing the entire nation’s critical infrastructure. Hard work? Most certainly. But no critical infrastructure organization can afford to shy away from it.
This article was originally published by the World Economic Forum .
