Enamik turvakogukonna liikmeid tunnistab vajadust täiustatud turbekultuuri järele – see tähendab ettevõtte süsteemset teadlikkust, mõõtmist ja jälgimist küberturvalisuse parandamiseks, et vähendada üldist riski. Lihtsalt vaata Kim Zetteri Black Hat USA 2022 peaettekanne, mis nõudis üliolulisi turvatäiustusi kogu kriitilises infrastruktuuris.
Sageli ei ole tõhusa turvalisuse takistus tingimata tehniline, vaid pigem kultuuriline probleem. Paljud võrdsustavad kasutajate harimise ja koolituse sageli ekslikult turvakultuuri loomine. Kasutajakoolitus seisneb teabe jagamises probleemide ja kohustuste kohta – turvakultuur aga käitumise muutmises turvalisuse toetamisel.
Turvakultuuri loomine kasutajate teadlikkuse kaudu
Kuigi kasutajateadlikkus ja turvakultuuri kujundamine on erinevad harjutused, millel on erinevad väljakutsed, jagab neid üks ühine joon: Nad nõuavad tõsist tähelepanu ja toetust. Seda silmas pidades täiendavad need kaks harjutust üksteist.
Mõelge sellele: kuigi CISO aruandlusstruktuuride üle on palju arutelusid, ei sõltu turvakultuuri juhtimiseks vajalik toetus sellest hierarhiast; see sõltub kasutaja käitumise muutmisest üldtunnustatud äritegevuse kaudu. See terviklik äriprotsesside muudatus on põhjus, miks turvakultuuri tuleb juhtida ülalt alla.
Kasutajate teadlikkus peaks sisalduma organisatsiooni turvatööriistades ja toimuma sama järjekindlalt kui süsteemidest kompromissimärkide otsimine. Kasutajateadlikkus ei asenda turvakultuuri loomist ega ole samaväärne sellega – pigem on see iga tõhusa turvakultuuri vajalik komponent.
Pardale saamine
Omavastutust ja turvakultuuri loomise toetamist tuleb juhtida juhatuse tasandil. Selle põhjuseks on asjaolu, et kuigi paljud ekspluateerimised ja rünnakud pole muud kui järjekordsed turvahoiatused, mida tuleb hallata, tekivad oskusliku vastase sekkumisel tõsised ohud. Nagu ma alati ütlen: Amatöörid häkivad süsteemid; spetsialistid häkivad inimesi. Inimese häkkimine kui turvariski kategooria on väga edukas ja ületab tehnoloogilised kaitsemeetmed.
Trikk on kaitsta inimkäitlejat inimloomuse lõkse eest, kontrollides ja kujundades käitumist. See nõuab sageli juurdunud äritavade kriitilist mõtlemist. Vajalike muudatuste elluviimise toetamine sõltub suuresti ülalt-alla mõjust.
Turvakultuur OT keskkondades
OT-keskkondadel on oma turvakultuuri uurimisel ja kasvatamisel veelgi olulisemad väljakutsed. Mitte ainult ärikasutajad ei mängi olulist rolli, vaid ka OT-insenerid on turvasündmuste ennetamiseks ja neile reageerimiseks sama olulised.
IT ja OT suhe See on koht, kus tervikliku turbekultuuri loomine vajab ülalt-alla toetust, et vaadata kriitiliselt üldist äri- ja tegevusprotsesse. Asjad, mis võivad torpedeerida kõige tõsisemad katsed turvaalaste jõupingutuste toetamiseks, võivad olla sama pahaaimatud kui raamatupidamisprotsess eelarvete rakendamisel üksikutes asukohtades või arusaam turvalisuse omandiõigusest.
Kuigi need näited on jäämäe tipp, on oluline luua organisatsioonis terviklik ja pidev protsesside täiustamise programm, et jätkuvalt küsida: "Kuidas saaks meie turvakultuuri parandada?"
Turvakultuur IT-keskkondades
Erinevalt OT-st on IT-s tehnoloogiate vajaduse äratundmine hästi määratletud. Näiteks varade laoseisu ja nähtavus on IT jaoks kaubatoode komplekt. Valida saab paljude varahalduse tarnijate hulgast ja kvalifitseeritud IT-meeskond saab need tööriistad kiiresti kasutusele võtta. Tehnoloogia valiku protsessi võib mõjutada IT-keskne protsess. Võib leida kultuurilisi muutusi, mis sobiksid paremini valikuga täiendavad tooted OT poolel.
Varade inventeerimine, haavatavus ja riskijuhtimine on OT-s tehnoloogia ja topoloogia olemuse tõttu keerulisemad. Töötajad on tavaliselt insenerid, kes on spetsialiseerunud protsessile, mitte aga tingimata tööriistale (süsteemidele), kuidas nad suhtlevad liikuvate molekulide toimingutega. OT varade omanikel on IT-omanikest erinev missioonifookus ja nende koolitus ei pruugi hõlmata turvalisust. Turvakultuuri loomisel tuleb neid erinevaid mõtteviise arvesse võtta ja käitumise muutmiseks kasutada suhtelisi taktikaid.
Kultuuride segamine: IT ja OT
Riskipõhine lähenemine aitab IT- ja OT-spetsialiste standardiseerida põhinäitajaid, nagu elu, tervis, ohutus, rääkimata mõjust tootmisvõimsusele ja tõhususele. See lähenemisviis peaks hõlmama ka maksimaalset talutavat seisakuaega (MTD) ja keskmist taastumisaega (MTR).
See annab vastused sellele, miks peaksid töötajad turvalisusest hoolima. Organisatsioonid tahavad anda kollektiivsele meeskonnale eduvõimaluse. Vaadates äriprotsesse ülesannete määramiseks rühmadele, võivad läbi turvaobjektiivi vaadates ilmneda peened muudatused. Kuigi süsteemi omandiõigus peab jääma loomupäraste, operatiivselt juhitud vajaduste tõttu kaheks, peavad IT-/turva-/OT-meeskonnad kõik kriitiliste haavatavuste, võimalike turbesündmuste ja intsidentidele reageerimise/taastamise lahendamiseks töötama lukus. Kiirus ja tõhusus on esmatähtsad.
Need on vaid kaks turvakultuuri loomise aspekti, kuid on suurepärane näide sellest, miks käitumise muutmine on midagi enamat kui lihtne teabe jagamine. Turvakultuuri loomine on iga organisatsiooni jaoks ülioluline turvatehnoloogiainvesteeringute suurendamiseks, kuid see on hädavajalik OT-operaatori ellujäämiseks kiires rikkumistele reageerimise protsessis.
