Главная Новости

| Ось Блог |

Опубликовано: 19.08.2023

Консультанты и специалисты, разрабатывающие и внедряющие решения для видеонаблюдения и безопасности для промышленности и критической инфраструктуры, сталкиваются с особыми трудностями. Физическая защита таких «основных объектов» (как к ним все чаще относится законодательство), конечно, имеет первостепенное значение, но сегодня они также сталкиваются с необходимостью поддержки защиты от атак в цифровой сфере. Кроме того, все участники цепочки создания стоимости должны ориентироваться в изменяющейся нормативно-правовой среде, если необходимо поддерживать соответствие. В конечном счете, кибербезопасность — это общая ответственность всех, кто участвует в разработке, спецификации, поставке и использовании решения для наблюдения. Здесь мы рассмотрим некоторые вопросы.

Мир, в котором почти вся отрасль имеет решающее значение

Нарушение основных служб страны, включая энерго- и водоснабжение, медицинское обслуживание, вмешательство в производство и т. д., было целью агрессоров в конфликтах на протяжении всей истории.

До цифровой эпохи атаки, конечно же, были чисто физическими. Но повсеместное применение подключенных технологий во всех сферах жизни в последние десятилетия создало возможности для злоумышленников использовать как физические, так и цифровые средства для нарушения работы жизненно важных для общества услуг.

Не секрет, что количество и изощренность кибератак растет, и что они осуществляются более широким кругом злоумышленников. Независимо от того, являются ли фанатичные хакеры злонамеренными, хорошо организованными киберпреступниками, стремящимися к финансовой выгоде, или спонсируемыми государством субъектами, стремящимися подорвать общество противника, кибератаки происходят во многих формах и из разных источников.

Учитывая сильно взаимосвязанный характер глобальных цепочек поставок, расширилась и широта тех секторов промышленности, которые в настоящее время определяются как основные предприятия. Всего два-три года назад многие люди не считали производство и поставку полупроводников критически важными. Но проблемы с поставками во время пандемии показали, насколько важны чипы для многих, если не для большинства, современных промышленных процессов.

Было показано, что «эффект бабочки», когда небольшой сбой в одной системе может оказать большое влияние на другую систему в будущем, применим к глобально интегрированной цепочке поставок технологий.

Проблема кибербезопасности для регуляторов

Столкнувшись с таким быстро меняющимся ландшафтом кибербезопасности, правительства и регулирующие органы, что неудивительно, изо всех сил стараются не отставать. Их ответ заключается во все большем изменении способов регулирования кибербезопасности.

В более широком смысле, вместо определения того, что поставщики основных услуг должны реализовать в отношении кибербезопасности, тенденция в регулировании заключается в том, чтобы возложить на поставщиков ответственность за демонстрацию наличия у них необходимых мер для поддержания кибербезопасности.

Это изменение имеет серьезные последствия не только для самих поставщиков, но и для каждой стороны, предоставляющей экспертные знания и решения в рамках основной цепочки поставок организаций. Вся цепочка создания стоимости — вверх и вниз по течению — будет находиться под пристальным вниманием.

NIS2 как пример развивающейся регуляторной среды

Правила кибербезопасности различаются по всему миру. От US NIST Cyber ​​Security Framework до предлагаемого Закона ЕС о киберустойчивости региональные и национальные регуляторы определяют то, что они считают наиболее эффективным подходом к защите основных услуг от кибератак.

Директива NIS2, которая вступила в силу в январе этого года, и государства-члены ЕС должны ввести ее в действие до октября 2024 года, является полезным примером, чтобы подчеркнуть последствия нового правила для важных организаций.

NIS2 — это ответ на меняющийся ландшафт угроз, направленный на повышение общего уровня кибербезопасности в ЕС и устранение пробелов, возникших в исходной директиве NIS. Директива направлена ​​на создание «культуры безопасности в секторах, жизненно важных для нашей экономики и общества и в значительной степени зависящих от информационно-коммуникационных технологий (ИКТ), таких как энергетика, транспорт, водоснабжение, банковское дело, инфраструктура финансового рынка, здравоохранение и цифровая инфраструктура.

Это наглядный пример того, как регулирующие органы осознают зависимость каждого сектора от технологий и то, как киберпреступники постоянно ищут и используют любые уязвимости.

В соответствии с директивой государства-члены ЕС будут назначать те предприятия и организации, которые являются операторами основных услуг, и эти организации должны будут принимать соответствующие меры безопасности и информировать соответствующие национальные органы о любых серьезных инцидентах в области кибербезопасности.

Кроме того, ключевые поставщики цифровых услуг, таких как услуги облачных вычислений, также должны будут соблюдать требования безопасности и отчетности в соответствии с директивой. Расширение за пределы основных поставщиков услуг во всю технологическую цепочку поставок очевидно.

Решения для наблюдения как часть основной цепочки создания стоимости организации

Как уже упоминалось, защита основных услуг всегда была приоритетом. Физические меры — периметр, контроль доступа и физическая охрана (охрана) — были усилены технологиями с передовыми решениями для видеонаблюдения на каждом важном объекте обслуживания. Все более взаимосвязанный характер этих решений, конечно, также поставил их на передний край кибератак и под пристальным вниманием меняющегося регулирования.

Архитекторы, инженеры и консультанты, разрабатывающие и определяющие решения для видеонаблюдения, несут значительную ответственность. Обеспечение того, чтобы решения для видеонаблюдения были разработаны не только с учетом сегодняшних требований физической и кибербезопасности, но и для адаптации к меняющимся вызовам, имеет важное значение для соблюдения нормативных требований.

Для этого требуется «системное мышление». Консультанты должны рассматривать решение безопасности в целом, а не набор отдельных устройств, и должны учитывать взаимосвязь между аппаратным и программным обеспечением самого решения, а также его интеграцию в более широкую инфраструктуру основного поставщика услуг. Разработка решения, внедрение, интеграция и обслуживание — все это играет важную роль в обеспечении кибербезопасности и признает, что любое решение со временем будет развиваться. Решение, которое остается статичным, в конечном итоге подвергается уязвимостям.

Последствия для разработчиков решений для мониторинга

Те, кто разрабатывает и разрабатывает решения, обязаны учитывать потенциально более широкие риски, связанные с техническими предложениями, которые они рекомендуют. В то время как решения должны быть в первую очередь ориентированы на удовлетворение определенных эксплуатационных требований, в настоящее время также важны положения об ИТ и кибербезопасности. Сегодняшние спецификации должны быть приведены в соответствие с такими нормами, как директива NIS2, чтобы способствовать соблюдению организационных требований.

Поэтому консультанты должны быть уверены, что продукты любого поставщика соответствуют политикам безопасности отдельных клиентов, включая любые соответствующие правила, применимые к организации клиента. Крайне важно провести соответствующую комплексную проверку подхода к кибербезопасности любого поставщика, которого они рекомендуют.

Консультанты также должны стремиться определять политики и процессы для рекомендуемых ими поставщиков технологий, а также технические возможности, которые они предоставляют. Такие функции, как безопасная загрузка, подписанное микропрограммное обеспечение, компоненты безопасности, обеспечивающие автоматическую и безопасную идентификацию устройства, и доверенный платформенный модуль (TPM) устраняют риски, которые они представляют сегодня, и должны быть указаны.

Спецификации также должны включать важные сторонние сертификаты, такие как ISO27001, политики уязвимостей, предупреждения безопасности и четко определенную модель разработки безопасности.

Наконец, следует включить подход к управлению жизненным циклом. Использование инструментов управления устройствами и решениями, а также задокументированной стратегии микропрограмм снижает риск будущих атак и защищает клиентов в будущем. Эти функции позволяют клиентам максимально безопасно эксплуатировать свои системы и устройства на протяжении всего их жизненного цикла.

В совокупности эти политики и процессы демонстрируют зрелость организации в области кибербезопасности и ее способность адаптироваться к постоянно меняющемуся ландшафту угроз.

Смена ролей в меняющейся среде

Для любой страны важность сведения к минимуму возможных перебоев в работе основных служб очевидна и не может быть переоценена. По крайней мере, сбой почти сразу приведет к экономическим последствиям. Это может быстро обернуться значительными социальными проблемами и потенциальным риском для здоровья и жизни человека.

Независимо от того, откуда исходит угроза, защита основных служб и организаций, которые их предоставляют, имеет жизненно важное значение. Регулирующие органы во всем мире признали это, и что угрозы исходят как из физической, так и из цифровой сферы.

Однако они также признали, что угрозы кибератак развиваются так быстро, что любая попытка определить меры кибербезопасности устаревает до того, как они будут опубликованы. Таким образом, подход к регулированию изменился, и поставщики основных услуг должны продемонстрировать, что у них есть технологии, процессы и ресурсы для противодействия угрозам.

В результате все, кто участвует в основной цепочке создания ценности организации, должны ответить на этот вызов, включая тех, кто разрабатывает и определяет решения для видеонаблюдения. Снижение рисков киберугроз является общей ответственностью. Хотя наш бизнес зависит от этого, последствия для общества могут быть гораздо большими.