A biztonsági közösség legtöbb tagja elismeri, hogy szükség van egy javított biztonsági kultúra szükségességére – vagyis rendszerszintű vállalati tudatosságra, mérésre és a kiberbiztonság javítása érdekében végzett monitorozásra az általános kockázat csökkentése érdekében. Csak nézd Kim Zetter Black Hat USA 2022 vitaindítója, amely kulcsfontosságú biztonsági fejlesztéseket igényelt a kritikus infrastruktúra egészében.
Sokszor a hatékony biztonság gátja nem feltétlenül technikai, hanem inkább kulturális probléma. Sokan gyakran tévesen azonosítják a felhasználói oktatást és képzést a biztonsági kultúra kialakítása. A felhasználói oktatás a problémákkal és kötelezettségekkel kapcsolatos információk megosztásáról szól, míg a biztonsági kultúra a biztonságot támogató viselkedésbeli változásokról szól.
Biztonsági kultúra kialakítása a felhasználói tudatosság révén
Bár a felhasználói tudatosság és a biztonsági kultúra kialakítása különböző gyakorlatok, amelyeknek különböző kihívásai vannak, mégis közös vonásuk: Komoly odafigyelést és támogatást igényelnek. Ezt szem előtt tartva ez a két gyakorlat valójában kiegészíti egymást.
Fontolja meg a következőket: Bár sok vita folyik a CISO jelentési struktúráiról, a biztonsági kultúra irányításához szükséges támogatás nem függ ettől a hierarchiától; ez a felhasználói viselkedés általánosan elfogadott üzleti műveletek révén történő módosításától függ. Ez a holisztikus üzleti folyamatmódosítás az oka annak, hogy a biztonsági kultúrát felülről lefelé kell vezérelni.
A felhasználói tudatosságot be kell építeni a szervezet biztonsági eszközei közé, és ugyanolyan következetesen kell végbemennie, mint a rendszerekben a kompromisszumra utaló jelek keresésének. A felhasználói tudatosság nem helyettesíti a biztonsági kultúra létrehozását, és nem azonos azzal – inkább minden hatékony biztonsági kultúra szükséges eleme.
Felszállás a fedélzetre
A biztonsági kultúra kialakításának tulajdonjogát és támogatását a testület szintjén kell vezérelni. Ez azért van így, mert bár sok kizsákmányolás és támadás nem több, mint egy újabb biztonsági figyelmeztetés, amelyet kezelni kell, egy ügyes ellenfél belekeverésekor komoly kockázatok merülnek fel. Ahogy mindig mondom: Amatőrök feltörik a rendszereket; a szakemberek feltörik az embereket. Az ember hackelése biztonsági kockázati kategóriaként nagy sikert arat, és meghaladja a technológiai biztosítékokat.
A trükk az, hogy megvédjük az emberi kezelőt az emberi természet csapdáitól a viselkedés ellenőrzésével és formálásával. Ez gyakran megkívánja a megrögzött üzleti gyakorlat kritikus gondolkodását. A szükséges változtatások megvalósításának támogatása nagymértékben függ a felülről lefelé irányuló befolyástól.
Biztonsági kultúra az OT környezetekben
Az OT-környezetek még jelentősebb kihívások előtt állnak biztonsági kultúrájuk vizsgálata és ápolása terén. Nemcsak az üzleti felhasználók játszanak fontos szerepet, hanem az OT mérnökei is ugyanolyan létfontosságúak a biztonsági események megelőzésében és reagálásában.
Az IT és az OT kapcsolata Ez az a hely, ahol a holisztikus biztonsági kultúra létrehozásához felülről lefelé irányuló támogatásra van szükség ahhoz, hogy kritikusan tekintsünk az általános üzleti és működési folyamatokra. Azok a dolgok, amelyek megtorpedózhatják a biztonsági erőfeszítések megerősítésére irányuló legkomolyabb kísérleteket, éppoly gyanútlanok lehetnek, mint az egyes helyszínekre vonatkozó költségvetések alkalmazásának elszámolási folyamata vagy a biztonságért való tulajdonjog észlelése.
Noha ezek a példák a jéghegy csúcsát jelentik, fontos egy holisztikus és folyamatos folyamatjavító programot létrehozni a szervezeten belül, hogy továbbra is felmerüljön a kérdés: „Hogyan lehetne javítani a biztonsági kultúránkat?”
Biztonsági kultúra informatikai környezetben
Az OT-vel ellentétben az informatikában jól meghatározott a technológiák iránti igény felismerése. Például az eszközkészlet és a láthatóság egy árucikk-készlet az IT számára. Számos vagyonkezelési szállító közül lehet választani, és egy képzett IT-csapat gyorsan átveheti ezeket az eszközöket. A technológia kiválasztásának folyamatát egy IT-központú folyamat befolyásolhatja. Találhatók olyan kulturális változások, amelyek jobban illeszkednek a kiválasztáshoz kiegészítő termékek az OT oldalon.
Az eszközleltár, a sebezhetőség és a kockázatkezelés nagyobb kihívást jelent az OT-ben a technológia és a topológia természete miatt. A személyzet jellemzően mérnökök, akik a folyamatra szakosodtak, és nem feltétlenül az eszközre (rendszerekre) és a mozgó molekulák működésével való kölcsönhatásra. Az OT-eszközök tulajdonosai más küldetéspontúak, mint az IT-tulajdonosok, és képzésük nem feltétlenül tartalmazza a biztonságot. A biztonsági kultúra kialakítása során figyelembe kell venni ezeket a különböző gondolkodásmódokat, és egymáshoz viszonyítható taktikákat kell alkalmazni a viselkedés megváltoztatására.
Kultúrák keverése: IT és OT
A kockázatalapú megközelítés segíti az IT- és OT-szakembereket azáltal, hogy szabványosítja az olyan kulcsfontosságú mutatókat, mint az élet, egészség, biztonság, nem is beszélve a termelési kapacitásra és a hatékonyságra gyakorolt hatásról. Ennek a megközelítésnek magában kell foglalnia a maximális tolerálható állásidőt (MTD) és az átlagos helyreállítási időt (MTR).
Ez választ ad arra, hogy a személyzetnek miért kell törődnie a biztonsággal. A szervezetek lehetőséget akarnak adni a kollektív csapatnak a sikerre. Miközben a feladatok csoportok közötti kiosztására vonatkozó üzleti folyamatokat vizsgáljuk, finom változások válhatnak nyilvánvalóvá, ha biztonsági lencsén keresztül nézzük. Míg a rendszer tulajdonjogának meg kell osztódnia az eredendő, működési igények miatt, az informatikai/biztonsági/OT-csapatoknak egymás után kell dolgozniuk a kritikus sérülékenységek, a potenciális biztonsági események és az incidensekre adott válaszok/helyreállítások kezelése érdekében. A sebesség és a hatékonyság a legfontosabb.
Ez csak két szempont a biztonsági kultúra kialakításában, de kiváló példa arra, hogy miért van több a viselkedés megváltoztatása, mint az egyszerű információmegosztás. A biztonsági kultúra megteremtése létfontosságú minden szervezet számára a biztonsági technológiai beruházások növelése érdekében, de elengedhetetlen az OT-üzemeltetők túléléséhez a gyors ütemű incidens válaszadási folyamatban.
