Operativni center kibernetske varnosti za kritično infrastrukturo v sektorju elektroenergetike
Kibernetska varnost je bistvenega pomena za kritično infrastrukturo.
Kibernetska varnost postaja eden ključnih vidikov sistemov kritične infrastrukture, saj z uporabo informacijske tehnologije, komunikacijskih protokolov ter integracij med informacijsko in operativno tehnologijo upravljamo fizične in kibernetske strateške vire, katerih odpovedi bi lahko ogrozile širše poslovanje delovnih organizacij, delovanje države in življenje ljudi. Prav zato so ti sistemi ene glavnih tarč sofisticiranih kibernetskih napadov ter so vse bolj izpostavljeni vdorom, grožnjam in tveganjem, ki imajo politične motive ali predstavljajo gospodarski kriminal. Zato je pomembno, da z upoštevanjem vseh elementov kibernetske varnosti na celovit in sistematičen način omejimo, nadzorujemo in upravljamo kibernetska tveganja, hkrati pa zagotovimo kar najvišjo stopnjo razpoložljivosti kritične infrastrukture.
Sektorski varnostni operativni center ključen za varovanje sistemov kritične infrastrukture
Sistemi kritične infrastrukture so ranljivi tako dolgo, dokler elementi kibernetske varnosti niso neposredno vpeti v jedro njihovega delovanja. Ključna izziva, s katerima se soočimo, sta omejevanje zunanjih in notranjih groženj ter okrevanje po napadih. Zahtevata, da tveganja obvladujemo centralno ter da nenehno varujemo vse informacijske in infrastrukturne vire. Kibernetsko varnost je tako treba udejanjati na ravni 24/7 in s tem zagotoviti visoko stopnjo odpornosti sistema ter neprekinjeno delovanje. Vpeljati moramo strateški in sistematičen pristop, ki podpira vse tri stebre kibernetske varnosti – tehnologijo, procese in ljudi. To najučinkoviteje omogoči varnostni operativni center (VOC). V njem zaposlujemo visoko usposobljene varnostne analitike, ki dosledno obvladujejo vse vire, tako z informacijske kot operativne tehnološke ravni, z uporabo najsodobnejših tehnologij, kot sta sistem za upravljanje varnostnih informacij in dogodkov (SIEM) ter sistem za avtomatizacijo, orkestriranje in odzivanje na kibernetska tveganja (SOAR). Te tehnologije so tesno vpete v procese odzivanja na kibernetske incidente in kulturo varnosti na vseh organizacijskih ravneh.
Inteligenca tveganj ter avtomatizacija zaznavanja kibernetskih napadov in odzivov nanje v integriranih sistemih IT-OT
V sodobnih IT-sistemih, ki se selijo v oblak ter podpirajo neprekinjeno informatizacijo in avtomatizacijo poslovanja v kontekstu industrije 4.0, ter predvsem v sistemih kritične infrastrukture imamo opravka z množičnimi podatki in obsežnim omrežnim prometom med povezanimi napravami. Nemogoče si je zamisliti zaznavanje anomalij in potencialnih incidentov v takšni količini podatkov brez avtomatiziranih pristopov, ki temeljijo na tehnikah strojnega učenja in umetne inteligence. V varnostnem operativnem centru uporabljamo tovrstno tehnologijo, da povečamo učinkovitost in uspešnost zaznavanja groženj in incidentov, zmanjšamo število lažno negativnih in lažno pozitivnih primerov, pridobivamo znanje o novih oblikah napadov ter razbremenimo varnostne analitike reševanja preprostih in ponavljajočih se problemov, zato se lahko ti prednostno posvetijo zahtevnejšemu forenzičnemu delu.
Avtomatizacija zaznavanja incidentov je tudi osnova za proces samodejnega odzivanja na incidente, ki poskrbi, da odpravimo vzroke in posledice incidenta, blokiramo nadaljnje morebitne incidente istega tipa, zagotovimo neprekinjeno delovanje sistema, upravljamo infrastrukturne vire ter spremljamo in izboljšamo ključne indikatorje učinkovitosti. Takšna avtomatizacija izboljša proces inteligence tveganj in ga dvigne na višjo taktično raven. To pomeni, da se zavedamo širše varnostne slike v našem sistemu, na spletu ter z vidika aktualnih motivov, taktik in vektorjev vdorov napadalcev. Postanemo lahko proaktivni, s čimer smo zmožni o varnostnih problemih, tveganjih in ranljivostih razmišljati vnaprej ter nismo omejeni zgolj na tiste od njih, ki se dejansko zgodijo. Ob zaznanih tveganjih na ta način pravilno in pravočasno ukrepamo, še preden preidejo v napade in incidente.
Vloga INFORMATIKE pri vzpostavitvi sektorskega VOC za kibernetsko varnost
INFORMATIKA je eden ključnih ponudnikov in razvijalcev informacijskih rešitev in storitev za slovenske elektrodistribucijske družbe. Hkrati je neodvisni poslovni subjekt, ki ni neposredni deležnik v procesih v reguliranem energetskem sistemu. Kot takšna ima INFORMATIKA zelo dobre kompetence in izkušnje za vzpostavitev in delovanje skupnega operativnega centra kibernetske varnosti za elektroenergetski sektor v Sloveniji.
V sektorski VOC je že vključena prva elektrodistribucijska družba, za katero se izvajajo storitve zaznavanja in odzivanja na incidente, ostale se bodo vključevale postopoma, VOC pa je odprt tudi za druga podjetja.