Wielkiej Brytanii Narodowe Centrum Cyberbezpieczeństwa (NCSC) połączyło siły ze swoimi partnerami z Five Eyes i innymi agencjami z Unii Europejskiej (UE), aby opublikować nowy przewodnik mający na celu pomoc organom infrastruktury krytycznej krajowej (CNI) i innym podmiotom, które opierają się na technologia operacyjna (OT) domagają się większego bezpieczeństwa produktów przy podejmowaniu decyzji o zakupie.
Z operatorami CNI pod niemal ciągłe zagrożenie ze strony złośliwych aktorów – wielu z nich pracuje na zlecenie wrogie agencje wywiadowcze – NCSC stwierdziło, iż jego celem jest zapewnienie jasnych wskazówek dotyczących wyboru produktów i producentów, którzy przestrzegają zasad bezpiecznego projektowania, zapewniając swoim własnym systemom solidne podstawy i minimalizując ryzyko stwarzane przez cyberataki.
Historycznie rzecz biorąc, takie komponenty nie były opracowywane z myślą o bezpieczeństwie jako priorytetu – lub w wielu przypadkach w ogóle – nie dając cyberprzestępcom otwartego okna na dostęp do ich zasobów technologicznych, które staje się znacznie szersze w miarę łączenia coraz większej liczby komponentów OT z szerszymi systemami IT .
Co więcej, takie komponenty są często ściśle ukierunkowane, ponieważ udany kompromis można łatwo odtworzyć wśród wielu ofiar.
„Ponieważ cyberprzestępcy w coraz większym stopniu atakują technologię operacyjną na całym świecie, dla operatorów infrastruktury krytycznej nigdy nie było tak istotne zapewnienie bezpieczeństwa wykorzystywanych przez nich systemów” – powiedział Jonathan Ellison, dyrektor NCSC ds. odporności narodowej i technologii przyszłości.
„Ten nowy przewodnik zawiera praktyczne porady dla organizacji, jak przy podejmowaniu decyzji o zakupie nadawać priorytet produktom OT, które są bezpieczne z założenia, pomagając w ten sposób łagodzić bardzo realne zagrożenia cybernetyczne, przed którymi stoją.
„Zdecydowanie doradzam brytyjskim operatorom systemów OT, aby postępowali zgodnie z tymi wytycznymi, aby stworzyć mocne podstawy ich odporności cybernetycznej i wysłać producentom sygnał, iż bezpieczeństwo to coś więcej niż tylko dodatkowa funkcja produktów, ale wymóg, na który istnieje popyt”.
Wskazówki, tj oficjalnie do pobrania ze strony internetowej amerykańskiego odpowiednika NCSC, CISA, określa 12 kwestii związanych z bezpieczeństwem, które użytkownicy OT powinni uwzględnić w swoim procesie zakupowym, zarówno aby pomóc się bronić, jak i zmusić producentów do lepszej pracy.
Czynniki, na które kupujący powinni zwrócić uwagę – a odpowiedź na te pytania zawsze powinna brzmieć „tak” – są następujące:
- Czy produkt obsługuje kontrolowanie i śledzenie modyfikacji ustawień konfiguracyjnych i logiki inżynierskiej?
- Czy produkt bazowy obsługuje rejestrowanie wszystkich działań, w tym zmian w konfiguracji, bezpieczeństwa i zdarzeń związanych z bezpieczeństwem, przy użyciu otwartych formatów standardowych?
- Czy produkt wykorzystuje otwarte standardy do obsługi bezpiecznych funkcjonalności i usług oraz do migracji ustawień konfiguracyjnych i logiki inżynierskiej?
- Czy produkt daje właścicielom i operatorom pełną autonomię w stosunku do niego, w tym możliwość prowadzenia konserwacji i wprowadzania innych zmian, a także minimalizuje zależność od dostawcy?
- Czy produkt chroni integralność i poufność danych, usług i funkcji, w tym ustawień konfiguracyjnych i logiki inżynierskiej, zarówno w stanie spoczynku, jak i podczas przesyłania?
- Czy produkt jest dostarczany w sposób bezpieczny „od razu po wyjęciu z pudełka”, ograniczając obszary ataku i odciążając właścicieli, włączając wszystkie funkcje bezpieczeństwa we wszystkich wersjach, eliminując hasła domyślne i zezwalając na hasła złożone, z domyślnie wyłączonymi starszymi protokołami, a nie eksponując zewnętrzne interfejsy i dając użytkownikom możliwość przywrócenia ich do pierwotnego stanu?
- Czy produkt obsługuje bezpieczną uwierzytelnioną komunikację, która „głośno” zawodzi, ale pozwala na kontynuację krytycznych procesów i która nie wymaga znacznych umiejętności cybernetycznych?
- Czy produkt jest wyposażony w bezpieczne mechanizmy zabezpieczające, które chronią go przed zagrożeniami wysyłającymi złośliwe polecenia, chronią dostępność podstawowych funkcji i minimalizują wpływ incydentu na szersze systemy?
- Czy podstawowa wersja produktu odpowiednio chroni przed nieautoryzowanym dostępem dzięki takich środków, jak uwierzytelnianie wieloczynnikowe lub kontrola dostępu oparta na rolach?
- Czy produkt ma pełny, szczegółowy model zagrożeń, który określa, w jaki sposób może zostać naruszony, oraz środki mające na celu ograniczenie takich scenariuszy?
- Czy producent produktu posiada program ujawniania i zarządzania lukami w zabezpieczeniach, obejmujący testowanie, wsparcie i zarządzanie oraz bezpłatne łatanie?
- Czy produkt ma dobrze udokumentowany i prosty proces instalowania poprawek i aktualizacji, który umożliwia użytkownikom bezpłatne przejście do obsługiwanego systemu operacyjnego, jeżeli oryginalny nie jest już obsługiwany?
Cyberpasy bezpieczeństwa
Dyrektor CISA Jen Easterly, piszę dzisiajporównał obecną sytuację z okresem tuż przed naciskiem opinii publicznej, który zmusił producentów samochodów do rozpoczęcia montowania w wyposażeniu standardowym elementów bezpieczeństwa, takich jak pasy bezpieczeństwa, hamulce przeciwblokujące itp. W USA oburzenie w związku z ofiarami śmiertelnymi na drogach pod chmurami wywołało publikację 60 lat temu przełomowego tekstu pt. Niebezpieczne przy każdej prędkościprzez rzecznika konsumentów i polityka Ralpha Nadera.
„Nie mamy problemu z bezpieczeństwem cybernetycznym; mamy problem z jakością oprogramowania” – powiedział Easterly. „Jesteśmy w tej chwili w punkcie zwrotnym – gdy zagraniczni przeciwnicy masowo wykorzystują wadliwe oprogramowanie – gdzie to rozpoznanie prowadzi do wspólnego zapotrzebowania na lepsze bezpieczeństwo.
„Tak jak reformy bezpieczeństwa samochodowego odniosły sukces tylko wtedy, gdy społeczeństwo zażądało bezpieczniejszych samochodów jako podstawowego standardu, tak branża systemu będzie traktować priorytetowo bezpieczny projekt tylko wtedy, gdy… zażądamy go jako podstawy funkcjonującego, bezpiecznego ekosystemu cyfrowego.
„Inicjatywa Secure-by-design wspiera to zapotrzebowanie, dostarczając klientom kluczowych pytań, które należy zadać dostawcom na temat ich systemu – podobnie jak kampanie dotyczące bezpieczeństwa publicznego uczyły naród, jak oceniać funkcje bezpieczeństwa swoich samochodów. Wzmacniając pozycję użytkowników, naszym celem jest wywołanie wstrząsającej zmiany w bezpieczeństwie oprogramowania”.
