Πώς να διορθώσετε την ανασφαλή επιχειρησιακή τεχνολογία που απειλεί την παγκόσμια οικονομία

Πώς να διορθώσετε την ανασφαλή επιχειρησιακή τεχνολογία που απειλεί την παγκόσμια οικονομία

November 26, 2022 0 Von admin

Ρίξτε μια ματιά στις συνεδρίες κατ‘ απαίτηση από τη Σύνοδο Κορυφής Low-Code/No-Code για να μάθετε πώς να καινοτομείτε με επιτυχία και να επιτύχετε αποτελεσματικότητα, αναβαθμίζοντας και κλιμακώνοντας τους πολίτες προγραμματιστές. Παρακολουθήσετε τώρα.


Σήμερα, με την αχαλίνωτη εξάπλωση του εγκλήματος στον κυβερνοχώρο, γίνεται τεράστιος όγκος εργασίας για την προστασία των δικτύων υπολογιστών μας — για την ασφάλεια των bits και των byte μας. Ταυτόχρονα, ωστόσο, δεν γίνεται σχεδόν αρκετή δουλειά για να διασφαλίσουμε τα άτομά μας — συγκεκριμένα, τη σκληρή φυσική υποδομή που διοικεί την παγκόσμια οικονομία.

Τα έθνη γεμίζουν τώρα με πλατφόρμες επιχειρησιακής τεχνολογίας (OT) που έχουν ουσιαστικά μηχανογραφήσει ολόκληρες τις φυσικές υποδομές τους, είτε πρόκειται για κτίρια και γέφυρες, τρένα και αυτοκίνητα είτε για βιομηχανικό εξοπλισμό και γραμμές συναρμολόγησης που κρατούν τις οικονομίες σε βουή. Αλλά η ιδέα ότι ένα νοσοκομειακό κρεβάτι μπορεί να παραβιαστεί – ή ένα αεροπλάνο ή μια γέφυρα – εξακολουθεί να είναι μια πολύ νέα ιδέα. Πρέπει να αρχίσουμε να παίρνουμε τέτοιες απειλές πολύ σοβαρά γιατί μπορεί να προκαλέσουν καταστροφικές ζημιές.

Φανταστείτε, για παράδειγμα, μια επίθεση σε μια μεγάλη μονάδα παραγωγής ηλεκτρικής ενέργειας που αφήνει τις βορειοανατολικές ΗΠΑ χωρίς θερμότητα κατά τη διάρκεια ενός ιδιαίτερα βάναυσου κρύου. Σκεφτείτε την τεράστια ταλαιπωρία – ακόμη και θάνατο – που θα προκαλούσε αυτού του είδους η επίθεση καθώς τα σπίτια σκοτεινιάζουν, οι επιχειρήσεις αποκόπτονται από τους πελάτες, τα νοσοκομεία δυσκολεύονται να λειτουργήσουν και τα αεροδρόμια κλείνουν.

Ο ιός Stuxnet, ο οποίος εμφανίστηκε πριν από περισσότερο από μια δεκαετία, ήταν η πρώτη ένδειξη ότι η φυσική υποδομή θα μπορούσε να αποτελέσει πρωταρχικό στόχο για τις κυβερνοαπειλές. Το Stuxnet ήταν ένα κακόβουλο σκουλήκι που μόλυνε το λογισμικό τουλάχιστον 14 βιομηχανικών χώρων στο Ιράν, συμπεριλαμβανομένου ενός εργοστασίου εμπλουτισμού ουρανίου.

Εκδήλωση

Ευφυής Σύνοδος Ασφάλειας

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου στις 8 Δεκεμβρίου. Εγγραφείτε για το δωρεάν πάσο σας σήμερα.

Κάνε εγγραφή τώρα

Ο ιός Stuxnet έχει από τότε μεταλλαχθεί και εξαπλωθεί σε άλλες βιομηχανικές εγκαταστάσεις και εγκαταστάσεις παραγωγής ενέργειας σε όλο τον κόσμο. Η πραγματικότητα είναι ότι η κρίσιμη υποδομή παντού κινδυνεύει πλέον από επιθέσεις τύπου Stuxnet. Πράγματι, ελαττώματα ασφαλείας κρύβονται στα κρίσιμα συστήματα που χρησιμοποιούνται στις πιο σημαντικές βιομηχανίες σε όλο τον κόσμο, συμπεριλαμβανομένης της ενέργειας, του νερού, των μεταφορών και της κατασκευής.

Ενσωματωμένη ευπάθεια

Το πρόβλημα είναι ότι οι κατασκευαστές επιχειρησιακής τεχνολογίας δεν σχεδίασαν ποτέ τα προϊόντα τους έχοντας κατά νου την ασφάλεια. Ως αποτέλεσμα, τρισεκατομμύρια δολάρια σε περιουσιακά στοιχεία OT είναι εξαιρετικά ευάλωτα σήμερα. Η συντριπτική πλειονότητα αυτών των προϊόντων είναι κατασκευασμένα σε μικροελεγκτές που επικοινωνούν μέσω λεωφορείων μη ασφαλούς δικτύου ελεγκτών (CAN). Το πρωτόκολλο CAN χρησιμοποιείται σε οτιδήποτε, από επιβατικά οχήματα και αγροτικό εξοπλισμό μέχρι ιατρικά όργανα και αυτοματισμούς κτιρίων. Ωστόσο, δεν περιέχει άμεση υποστήριξη για ασφαλείς επικοινωνίες. Δεν διαθέτει επίσης πολύ σημαντικό έλεγχο ταυτότητας και εξουσιοδότηση. Για παράδειγμα, ένα πλαίσιο CAN δεν περιλαμβάνει πληροφορίες σχετικά με τη διεύθυνση του αποστολέα ή του παραλήπτη.

Ως αποτέλεσμα, τα δίκτυα διαύλου CAN είναι όλο και πιο ευάλωτα σε κακόβουλες επιθέσεις, ειδικά καθώς διευρύνεται το τοπίο των κυβερνοεπιθέσεων. Αυτό σημαίνει ότι χρειαζόμαστε νέες προσεγγίσεις και λύσεις για την καλύτερη ασφάλεια των λεωφορείων CAN και την προστασία ζωτικής σημασίας υποδομής.

Πριν μιλήσουμε για το πώς θα πρέπει να μοιάζει αυτή η ασφάλεια, ας εξετάσουμε τι μπορεί να συμβεί εάν ένα δίκτυο διαύλου CAN παραβιαστεί. Ένας δίαυλος CAN χρησιμεύει ουσιαστικά ως κοινό κανάλι επικοινωνίας για πολλούς μικροεπεξεργαστές. Σε ένα αυτοκίνητο, για παράδειγμα, ο δίαυλος CAN επιτρέπει στο σύστημα κινητήρα, το σύστημα καύσης, το σύστημα πέδησης και το σύστημα φωτισμού να επικοινωνούν απρόσκοπτα μεταξύ τους μέσω του κοινόχρηστου καναλιού.

Επειδή όμως ο δίαυλος CAN είναι εγγενώς ανασφαλής, οι χάκερ μπορούν να παρέμβουν σε αυτήν την επικοινωνία και να αρχίσουν να στέλνουν τυχαία μηνύματα που εξακολουθούν να συμμορφώνονται με το πρωτόκολλο. Απλώς φανταστείτε τον χάος που θα επακολουθούσε αν συνέβαινε έστω και μια μικρής κλίμακας χακάρισμα αυτοματοποιημένων οχημάτων, μετατρέποντας τα αυτοκίνητα χωρίς οδηγό σε ένα σμήνος δυνητικά θανατηφόρων αντικειμένων.

Η πρόκληση για την αυτοκινητοβιομηχανία — και μάλιστα για όλες τις μεγάλες βιομηχανίες — είναι ο σχεδιασμός ενός μηχανισμού ασφαλείας για το CAN με ισχυρή, ενσωματωμένη προστασία, υψηλή ανοχή σφαλμάτων και χαμηλό κόστος. Αυτός είναι ο λόγος για τον οποίο βλέπω τεράστιες ευκαιρίες για νεοφυείς επιχειρήσεις που μπορούν να αντιμετωπίσουν αυτό το ζήτημα και τελικά να υπερασπιστούν όλα τα φυσικά μας περιουσιακά στοιχεία —κάθε αεροπλάνο, τρένο, σύστημα παραγωγής κ.λπ.— από κυβερνοεπίθεση.

Πώς θα λειτουργούσε η ασφάλεια OT

Πώς θα έμοιαζε μια τέτοια εταιρεία; Λοιπόν, για αρχή, θα μπορούσε να επιχειρήσει να λύσει το πρόβλημα ασφάλειας προσθέτοντας ένα επίπεδο νοημοσύνης – καθώς και ένα επίπεδο ελέγχου ταυτότητας – σε έναν κληροδοτημένο δίαυλο CAN. Αυτό το είδος λύσης θα μπορούσε να υποκλέψει δεδομένα από το CAN και να αποδομήσει το πρωτόκολλο για να εμπλουτίσει και να ειδοποιήσει για ανώμαλες επικοινωνίες που διασχίζουν διαύλους δεδομένων OT. Με την εγκατάσταση μιας τέτοιας λύσης, οι χειριστές φυσικού εξοπλισμού υψηλής αξίας θα αποκτούσαν σε πραγματικό χρόνο, πρακτικές πληροφορίες σχετικά με τις ανωμαλίες και τις εισβολές στα συστήματά τους – και έτσι θα ήταν καλύτερα εξοπλισμένοι για να αποτρέψουν οποιαδήποτε κυβερνοεπίθεση.

Αυτού του είδους η εταιρεία πιθανότατα θα προέλθει από την αμυντική βιομηχανία. Θα έχει βαθιά βασική τεχνολογία στο ενσωματωμένο επίπεδο δεδομένων, καθώς και τη δυνατότητα ανάλυσης διαφόρων πρωτοκόλλων μηχανών.

Με τη σωστή ομάδα και υποστήριξη, αυτή είναι εύκολα μια ευκαιρία 10 δισεκατομμυρίων δολαρίων. Υπάρχουν λίγες υποχρεώσεις πιο σημαντικές από την προστασία της φυσικής μας υποδομής. Αυτός είναι ο λόγος για τον οποίο υπάρχει επιτακτική ανάγκη για νέες λύσεις που επικεντρώνονται βαθιά στη σκλήρυνση των κρίσιμων στοιχείων έναντι των επιθέσεων στον κυβερνοχώρο.

Η Adit Singh είναι συνεργάτης της Μερίδιο κεφαλαίου.

DataDecisionMakers

Καλώς ήρθατε στην κοινότητα του VentureBeat!

Το DataDecisionMakers είναι όπου οι ειδικοί, συμπεριλαμβανομένων των τεχνικών που ασχολούνται με τα δεδομένα, μπορούν να μοιράζονται πληροφορίες και καινοτομίες που σχετίζονται με δεδομένα.

Εάν θέλετε να διαβάσετε για ιδέες αιχμής και ενημερωμένες πληροφορίες, τις βέλτιστες πρακτικές και το μέλλον των δεδομένων και της τεχνολογίας δεδομένων, ελάτε μαζί μας στο DataDecisionMakers.

Ίσως ακόμη και να σκεφτείτε να συνεισφέρετε ένα δικό σας άρθρο!

Διαβάστε περισσότερα από το DataDecisionMakers