Relate as chamadas para ação urgente para enfrentar a ameaça cibernética à infraestrutura crítica

Instituição de caridade global de segurança, Lloyd’s Register Foundation lançou hoje um relatório chamado Segurança cibernética operacional para a Internet das coisas industrial:desafios e oportunidades. Ele destaca uma ameaça iminente de ataques cibernéticos à infraestrutura crítica, dada a crescente dependência da Internet das Coisas (IoT), afirma Robert Hannigan, presidente executivo internacional da BlueVoyant e Sadie Creese, professora de segurança cibernética, Departamento de Ciência da Computação, Universidade de Oxford.

O relatório enfoca especificamente os riscos inerentes à IoT Industrial (IIoT), tornando-se rapidamente uma parte central das infraestruturas globais críticas, em todos os setores, incluindo energia, transporte, ambiente construído e infraestrutura física e manufatura. A segurança é particularmente crítica em ambientes IIoT e, portanto, é essencial entender como fornecer infraestruturas seguras e resilientes.

A IIoT também agrava os desafios de segurança que já existem. O relatório visa priorizar ações, identificando os principais riscos emergentes e lacunas de capacidade para as quais o ritmo atual de mudança na segurança cibernética operacional não será suficiente. Nesses ambientes, as consequências da falha podem ser sistêmicas, e o relatório apela para a adoção urgente da comunidade IIoT de princípios orientadores para aumentar a resiliência a ataques cibernéticos.

O relatório observa as diferentes perspectivas dos responsáveis ​​pelo gerenciamento de riscos na indústria, que inclui operações e membros do conselho, empresas e reguladores, equipes de compras e segurança cibernética, e fornece uma visão geral útil para aumentar a conscientização cibernética para todos.

A principal descoberta do relatório é que o ritmo atual de mudança não corresponderá ao rápido surgimento de novas ameaças à segurança para ambientes IIoT. As capacidades atuais, aponta o relatório, ou não são escaláveis, não foram testadas ou simplesmente ainda não existem. O relatório também aponta para a aproximação do ponto de inflexão para a recuperação de ataques cibernéticos e os desafios de mentalidade, regulamentação e seguro que podem criar práticas de segurança preventivas.

Embora a regulamentação, os requisitos dos provedores de seguro cibernético e a adoção de uma mentalidade de segurança cibernética dentro das organizações possam impulsionar o progresso no sentido de preencher as lacunas de capacidade operacional e desenvolver controles de risco que se traduzam efetivamente na IIoT, há novos desafios urgentes a enfrentar.

O gerenciamento de riscos de segurança cibernética para sistemas tradicionais já enfrenta muitos desafios. Isso inclui a dificuldade absoluta de tentar mapear as relações complicadas entre os sistemas técnicos e humanos e os desafios da comunicação entre diferentes comunidades onde as estruturas para a compreensão do risco são fundamentalmente diferentes.

Muitos desses desafios existentes permanecerão e serão exacerbados, e novos surgirão, à medida que as abordagens de gerenciamento de risco forem traduzidas na IIoT, criando lacunas de capacidade importantes.

Além de explorar esses desafios à medida que a IIoT se expande, o relatório expande as descobertas acionáveis, incluindo:

1. Sempre considere as consequências dos danos ao planejar como gerenciar os riscos
2. Considere como os controles de segurança podem falhar à medida que você aumenta o uso de dispositivos IoT
3. Use técnicas que possam fornecer uma avaliação contínua de sua posição (quase em tempo real) em vez de avaliações periódicas
4. Considere como suas cadeias de suprimentos estão usando a IoT:considere a falha em manter a segurança cibernética como um risco para seus planos de gerenciamento de riscos de segurança
5. Investir em processos de prontidão forense
6. Inclua uma consideração de cenários futuros em suas avaliações de risco
7. Investir em treinamento para a equipe sobre os padrões e boas práticas de IoT
8. Colabore para estabelecer um protocolo de interface de dispositivo para compartilhar informações de monitoramento de segurança

Os autores são Robert Hannigan, presidente executivo internacional da BlueVoyant e Sadie Creese, professor de segurança cibernética do Departamento de Ciência da Computação da Universidade de Oxford.

Sobre os autores

Robert Hannigan, presidente executivo internacional da BlueVoyant , O ex-diretor do GCHQ, estabelecimento de segurança do Reino Unido, e coautor do relatório, afirma:“Nos últimos anos, vimos um aumento nos ataques deliberados direcionados a infraestruturas críticas em todo o mundo. Como a adoção da IoT no setor industrial continua a crescer, ações e orientações claras são necessárias. Nosso relatório enquadra o contexto da IIoT, os problemas iminentes que a infraestrutura principal enfrenta à medida que cada vez mais dependem de sistemas conectados e as possíveis soluções para proteção contra incidentes cibernéticos. ”

Sadie Creese, professora de segurança cibernética, Departamento de Ciência da Computação da Universidade de Oxford e co-autora, acrescenta:“Precisamos construir infraestruturas resilientes que garantam a segurança para a rede conectada em constante expansão de 'coisas'. Há claramente uma necessidade urgente de pesquisas adicionais para compreender e evidenciar o desempenho do controle de risco; explorar modelos de passivos, aspectos práticos e implicações para os mercados de IoT; e desenvolver cooperação internacional para construir confiança na cadeia de abastecimento da IIoT. ”