Wdrożenie systemu zarządzania bezpieczeństwem, zgodnie z wymogami przepisów o cyberbezpieczeństwie może się wydawać sformalizowaniem zadań w działach odpowiadających za techniczną obsługę systemów IT i OT. Wyobraźmy sobie jednak sytuację, kiedy stanie praca oczyszczalni albo zatrzyma się dostawa wody do mieszkańców miasta. W praktyce, wiele taki zdarzeń jest utożsamiana z awariami technicznymi. Rzadko myśli się o takich sytuacjach, których źródłem jest niewłaściwa konfiguracja systemu – czy atak ransomware. Dla wielu osób administrujących systemami praca nad spisaniem procedur czy prowadzenie rejestrów zdarzeń to uciążliwy obowiązek, bo najważniejsze jest, żeby „praca szła”, reszta to uciążliwa papierkologia. Kiedy na konsoli do zarządzania miga czerwona lampka, uruchamia się ciąg zdarzeń skoncentrowanych na ustaleniu przyczyny, naprawieniu sytuacji. Pytanie o to, czy wypełniono zgłoszenie do CSIRTu albo udokumentowano analizę powłamaniową, w takim momencie jest źródłem frustracji, złości lub po prostu bezradności w obliczu liczby działań, które powinny być zrealizowane równocześnie. Dlatego właśnie kluczowe jest odpowiednie zorganizowanie tych działań.
Nie wystarczy dorobić kilku procedur dotyczących zarządzania incydentami
Wymogi bezpieczeństwa sformułowane w przepisach opierają się na standardach ISO 27001 (bezpieczeństwo informacji) i ISO 22301 (ciągłość działania). Jednak przedsiębiorstwa wod-kan, które w przeważającej części opierają się na automatyce przemysłowej, mogą potrzebować wesprzeć się również standardami wynikającymi z IEC 62443 czy NIST. Żeby mówić o dobrym przygotowaniu trzeba zacząć od podstaw. Nie wystarczy dorobić kilku procedur dotyczących zarządzania incydentami. Konieczne jest przede wszystkim ponowne przejrzenie topologii sieci, stosowanych rozwiązań technicznych oraz sposobu, w jaki wykorzystuje się systemy. Bez tego trudno jest w pełni korzystać z wyników pracy związanej z szacowaniem ryzyka czy dobrze przygotować plany ciągłości i odtworzenia po katastrofie.
Dodatkowo różne standardy bezpieczeństwa, żeby nie dublować dokumentacji, powinny być naniesione na jeden podstawowy schemat organizacji bezpieczeństwa. Jak w wielu innych sytuacjach praktyka czyni mistrza, dlatego pierwsze kroki związane z dostosowywaniem swoich działań często wymagają wsparcia doradców zewnętrznych. Najbardziej problematyczne jest szacowanie ryzyka. Na ogół jest wykonywane dla potrzeb biznesowych, ochrony danych osobowych i jeszcze – cyberbezpieczeństwa, co przy braku centralizacji tych procesów powoduje wygenerowanie trzech zupełnie niepowiązanych ze sobą obszarów i związanych z nimi dokumentów, co bardzo utrudnia zarządzanie bezpieczeństwem. Drugim obszarem, gdzie pojawia się kumulacja jest zarządzanie incydentami, gdzie zbiegają się kwestie BHP, ppoż, środowiskowe, ochrony danych osobowych, cyberbezpieczeństwa i – u niektórych przedsiębiorców – zarządzania kryzysowego w infrastrukturze krytycznej.
Dla działów technicznych istotne są dwa aspekty – minimalizacja objętości procedur i jasne sformułowanie ich treści. Często popełnianym błędem jest stworzenie zapisów, z których wynika obowiązek określonego działania w razie wystąpienia incydentu cyberbezpieczeństwa, bez zidentyfikowania i nazwania konkretnych zdarzeń, które mieszczą się w tym pojęciu. Kiedy przestanie działać system, łatwiej jest znaleźć odpowiednie procedury jeżeli wiadomo czy odnoszą się one do awarii zasilania czy przejęcia kontroli nad urządzeniem. Oszczędza to czas jaki ma osoba reagująca na taką sytuację, bo nie musi się zastanawiać jak wpasować stan faktyczny do ogólnych pojęć często przepisywanych wprost z ustawy o krajowym systemie cyberbezpieczeństwa.
Dostępność wykwalifikowanych ludzi
Największym wyzwaniem, bez względu na branżę, jest zawsze dostępność odpowiednio wykwalifikowanych ludzi. Nie można oczekiwać, że ktoś odpowiedzialny za sieć IT świetnie odnajdzie się w tematach dotyczących OT. Tak samo, jak oczekiwać od administratora systemu, że ma taką samą wiedzę o sposobie jego zabezpieczenia jak specjaliści zespołów reagowania na incydenty cyberbezpieczeństwa. Dlatego wdrażając wymogi ustawy, konieczne jest ustalenie na ile dodanie obowiązków związanych z cyberbezpieczeństwem w istniejących strukturach pozwoli na faktyczne, skuteczne realizowanie tych zadań. Dobra ma tylko 24 godziny, a czas pracy na ogół zamyka się w 5 dniowych ramach, po 8 godzin.
Wyzwania w tym zakresie są bolączką nie tylko szefów działów technicznych, ale również kadry zarządzającej. To na niej spoczywa odpowiedzialność za zapewnienie odpowiednich zasobów potrzebnych do ochrony przedsiębiorstwa. Podejmowanie decyzji menadżerskich nie jest łatwe. Żeby mieć pewność, czy inwestycja w zaawansowany sprzęt techniczny jest potrzebna i da zakładany efekt, potrzebne są często szersze analizy co do skuteczności takich środków bezpieczeństwa. Rozwiązania alternatywne często obejmują delegacje zadań na zewnątrz – do podmiotów świadczących usługi cyberbezpieczeństwa. Braki w technicznych zabezpieczeniach częściowo można uzupełnić dobrą procedurą lub zabezpieczeniem fizycznym (ogrodzenie z monitoringiem, drzwi antywłamaniowe itp.).
Jak spokojnie spać podejmując tego typu decyzje?
Przede wszystkim opierając je na dobrze przygotowanej analizie ryzyk i planie postępowania z ryzykiem. Jest to możliwe, jeżeli przedsiębiorstwo zbiera i analizuje dane o sytuacjach, które miały miejsca w przeszłości. Dlatego „papiery”, które są zmorą w czasie walki z incydentem, są najważniejszym narzędziem działań korekcyjnych i prewencyjnych po zakończeniu tego zdarzenia. Szczególnie istotne jest, żeby ich opracowywanie jak najbardziej zoptymalizować, nie obciążając nadmiernie osób technicznych tymi działaniami. Strategia „wszystko może się przydać” zabija operacyjnie struktury. Żeby temu zapobiec zanim wystąpi incydent trzeba ustalić, jakie informacje w zależności od rodzaju zdarzenia są naprawdę niezbędne, a które będą miłym dodatkiem. Wracamy więc znowu do dobrze przeprowadzonej analizy systemów i zoptymalizowanej dokumentacji wspierającej wykonywanie tych działań. Zoptymalizowanej, czyli napisanej w taki sposób, że jasno z niej wynika – kto, co, jak i kiedy ma zrobić.