Как операция "Епична ярост" извади наяве слабости в енергийната сигурност

Инструментите, използвани от доставчиците на информационни технологии (ИТ) за предотвратяване на кибератаки, често работят зле в защитата на оперативните технологии (ОТ) - въпреки това много компании ги използват за тази цел.

Администрацията на Тръмп продължава да твърди, че Съединените щати и Иран са близо до финализиране на мирно споразумение, което би могло да отвори отново Ормузкия проток. Дори и да бъде постигнато споразумение, операция „Епична ярост“ хвърля нова светлина върху заплахите, които Иран може да представлява за критичната инфраструктура на САЩ, пише в анализа за TNI журналистът Петер Сичиу.

Ирански хакери извършиха атака с Pay2Key срещу американски здравни организации по-рано тази година, последвана от отделна атака, която изтри данни от гиганта в областта на медицинските изделия Stryker. Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) също издаде предупреждение, че свързани с Иран лица са насочени към американските водни и енергийни системи.

Неотдавнашно проучване, проведено за доставчика на киберсигурност Tosi, установи, че ръководителите в оперативните технологии (ОТ) в американската нефтена и газова индустрия вярват, че могат да открият кибератака в рамките на критичните първи 24 часа. Въпреки това, дори ако проникването бъде открито, проучването заключи, че повечето нямат инструменти за съответна реакция.

Въпреки че 87% от анкетираните оператори са заявили, че са уверени, че могат да идентифицират нарушение на ОТ в рамките на 24 часа, повече от половината признават, че разчитат предимно на традиционни инструменти за ИТ сигурност, които осигуряват ограничена видимост в ОТ средите. Само 16% от анкетираните са заявили, че използват непрекъснато наблюдение на ОТ като основен метод за откриване.

Докладът допълнително подчертава, че опасенията и разходите за киберсигурност са се увеличили бързо, откакто Съединените щати започнаха операция "Епична ярост" срещу Иран на 28 февруари. Иран, който е инвестирал значителни ресурси в кибервойна, реагира асиметрично срещу Съединените щати; Почти всички анкетирани оператори заявиха, че са одобрили или преразглеждат неочаквани инвестиции в OT сигурност от началото на войната. Над 95% очакват бюджетите за киберсигурност да нараснат през следващата година.

Въпреки скока в разходите,

проучването също така предупреждава, че организационните и оперативните предизвикателства продължават да забавят напредъка. Много респонденти определиха разделението между ИТ и OT екипите като най-голямата пречка за подобряване на киберсигурността, докато опасенията за оперативния риск остават значителни.

"Последиците от операция "Епична ярост" разкриха огромна „празнина в доверието“ в нефтения и газовия сектор: 87% от операторите вярват, че могат да открият нарушение в рамките на 24 часа, но само 16% разполагат с необходимия OT-ориентиран мониторинг, за да го направят. Тази свръх увереност произтича от зависимостта от ИТ-центрични инструменти, които са слепи за индустриалните протоколи и аномалиите във физическите процеси на сложна атака", обясни Деймън Смоул, член на борда на директорите на доставчика на киберсигурност Xcape, Inc.

Смоул каза пред The ​​National Interest по имейл, че сближаването на OT и IT е било от полза за бизнес аспектите на критичната инфраструктура; Тази интеграция позволи атаките да бъдат стартирани в световен мащаб.

„Преди това сближаване, противникът трябваше да прескочи ограда и да бъде посрещнат от охранител с пистолет и куче“, каза Смол. „Сега нашите врагове дори не е нужно да са в една и съща часова зона. Традиционните ИТ мерки не са ефективни в света на OT.“

Въпреки че това проучване е специфично за американския петролен и газов сектор, то е подобна история във всички индустрии. Големи и малки предприятия, държавни ведомства и агенции, както и ръководители от висшето ръководство, не вярват, че ще бъдат мишена.

Дахвид Шлос, главен оперативен директор на Suzu Labs, каза пред The ​​National Interest, че нивото на доверие от 87 процента не е изненадващо, но добави, че то трябва да се разглежда като „малко обезпокоително“, тъй като показва опасно мислене.

"Не защото параноята е добра, а заради това, което според мен е огромна празнина във видимостта, при която организациите си мислят, че са в безопасност, защото са внедрили традиционни инструменти за ИТ мониторинг в OT среди, които изобщо не са били създадени да се справят с това", каза Шлос. "Въпреки че непрекъснатото наблюдение е добро и може да помогне за намаляване на щетите, то ни казва, че нещо не е наред, само когато вече е твърде късно; не решава по-големия проблем: заключването на вратата."

Шлос допълнително предположи, че производителите на OT/ICS произвеждат хардуер и софтуер от години, на които просто липсва основна устойчивост срещу необичаен трафик.

Тъй като един-единствен деформиран пакет може да причини кинетичен срив в реалния свят, този страх и ограничение водят до разводнени одити за сигурност, които пропускат по-критичните рискове и пропуски.“

В секторите на ИТ, ОТ и киберсигурността отговорът често е бил непрекъснато наблюдение, а не коригиране на екосистемата на устройствата. Това се влошава от различните стандарти, използването на остарели системи и невъзможността за актуализиране на софтуера и хардуера.

Затварянето на тази пропаст ще изисква по-голямо наблюдение, както и подобрена сигурност в мрежите.