OT siber saldırı tehdidi sadece operasyonel bir risk değildir. Aynı zamanda finansal bir.
Kritik altyapı ve proses endüstrilerindeki şirketler her yıl milyarlarca kaldı. Ancak ihlaller olmaya devam ediyor ve yaptıkları zaman maliyetler onunla sınırlı değil. Üretim kayıpları, para cezaları ve itibar hasarı içerir. Bazı yüksek profilli durumlarda, bu finansal düzenleyicilere raporlamayı bile gerektirmiştir.
Ve bu ihlaller hem frekans hem de etki içinde büyüyor. 2023 endüstri araştırması, endüstriyel kuruluşların yüzde 65’inin son 24 ay içinde OT siber güvenlik olayı yaşadığını ve olay başına ortalama 2,8 milyon dolarlık bir maliyetle, büyük ölçüde kesinti ve üretimden kaynaklandığını buldu.[i] Ayrı bir analiz, endüstriyel firmalara yönelik fidye yazılımı saldırılarının 2021 ve 2023 yılları arasında iki kattan fazla arttığını ve enerji ve metal sektörlerinin özellikle sert bir şekilde vurulduğunu gösterdi.[ii]
Ortak Konu: Çoğu saldırı geleneksel BT kanallarından başlar – e -posta, uzaktan erişim, tehlikeye atılan kimlik bilgileri. Oradan, asla siber için tasarlanmamış OT ortamlarına geçiyorlar savunma. İçeri girdikten sonra, saldırganlar HMI’ları kilitleyebilir, mühendislik sunucularını şifreleyebilir veya kaçırma programlama sistemleri potansiyel olarak operasyonları durdurabilir.
Bunun nedeni, özellikle Process Industries’de çoğu OT sisteminin hala eski donanıma, varsayılan kimlik bilgilerine ve BT ve OT arasında çok az engel bulunan kötü bölümlü ortamlara güvenmesidir. Otomasyon ve uzaktan bağlantı verimliliği genişletti, ancak atak yüzeyini genişletti ve çekirdek endüstriyel varlıkları açığa çıkardılar.
Karışıklıktan kaçınmak için, terimi netleştirerek başlayalım süreç seviyesi. Bu, sensörlerin ve aktüatörlerin basınç, akış, sıcaklık ve elektrik akımı gibi değişkenleri izlemek ve kontrol etmek için doğrudan ekipmanlarla etkileşime girdiği endüstriyel kontrol sistemlerinin en düşük katmanını ifade eder. Operasyonel gerçekliğin ölçüldüğü ve kontrol edildiği ve küçük değişikliklerin bile büyük kesintileri gösterebileceği alandır.
Bu düzeyde siber güvenlik genellikle göz ardı edilir, ancak aynı zamanda kritiktir.
Ağları ve yazılımı izleyen siber geleneksel araçların aksine, süreç düzeyinde izleme fiziksel ortamda gerçekte neler olduğunu doğrular. Kötü niyetli komutlar varsa veya Fidye yazılımı sistemi bozar, bu fiziksel sinyaller beklenen değerlerden ayrılır ve hızlı, bağımsız bir uyarı sağlar.
Ve finans farkına varmalıdır. Çünkü daha önceki tespit, kesinti ve fidye ödemesinden daha az kayıp anlamına gelir. Gelişen bir OT siber olayı ne kadar hızlı tespit edilebilirse, iyileşme karmaşıklığı ve maliyeti o kadar düşük olur.
Bu makalede, OT siber güvenliğinin neden finansal risk olarak yeniden şekillendirilmesi gerektiğini ve süreç seviyesi izlemenin kuruluşların maruz kalmalarını ölçmelerine, yönetmesine ve sonuçta azaltmasına nasıl yardımcı olabileceğini araştıracağız.
Çoğu fidye yazılımı saldırısı BT ortamlarında başlar. Kritik altyapı ve süreç endüstrilerinde, endişe sadece kilitli dosyalar değil; Bir BT ihlali, ICS veya SCADA gibi operasyonel sistemlere yayılabiliyor, bu da üretim, güvenlik olayları veya düzenleyici ihlaller durduruluyor.
Bu olaylar daha sık hale geliyor. Mutlak güvenlik ile 500 ABD CISO’unun 2024’ü bir anketi, kuruluşların% 72’sinin geçtiğimiz yıl fidye yazılımı saldırısı yaşadığını ve ortalama kurtarma maliyetlerinin olay başına 4,5 milyon dolara ulaştığını buldu. [iii]
Enerji ve kamu hizmetleri gibi sektörlerde OT kesintilerinin doğrudan gelir ve kamu güvenliğini etkilediği, risk özellikle akuttur. 2021 Sömürge Boru Hattı olayı sırasında, saldırganlar hiçbir zaman doğrudan OT sistemlerine erişmedi, ancak organizasyon potansiyel artışı önlemek için operasyonları proaktif olarak kapattı. Sonuç: ABD Doğu Kıyısı’ndaki büyük yakıt dağılımı kesintileri ve düzenleyicilerden ve medyadan ulusal ilgi.
Bu saldırıların finansal etkisi fidye ödemelerinin çok ötesine geçiyor. Kesinti süresi, acil iyileştirme, düzenleyici inceleme ve itibar hasarı içerir. Süreç seviyesi dokunulmadan kalsa bile, OT sistemlerine yanal yayılma olasılığı maliyetli fidye ödemelerini haklı çıkarmak için yeterli olabilir.
OT siber olaylarının finansal etkisi genellikle derhal iyileşme maliyetlerinin çok ötesine uzanır, kazanç raporlarını ve hatta yürütme sorumluluğunu etkilemektedir.
Ağustos 2024’te Halliburton (dünyanın en büyük petrol sahası hizmetleri firmalarından biri) BT ortamında yetkisiz erişim tespit etti ve proaktif olarak belirli sistemleri çevrimdışı aldı. Şirket daha sonra, bozulmuş faturalandırma ve faturalandırmanın gecikmiş gelirine atfedilen 35 milyon dolarlık vergi öncesi ücret açıkladı. Halliburton ayrıca koleksiyonlarda geçici bir yavaşlama bildirdi ve hisse geri alım programını duraklattı. Olay, SEC ile 8 K dosyasını tetikledi, sinyal Sadece maddi finansal etki değil, aynı zamanda siber ifşa için kurullara ve yöneticilere yerleştirilen düzenleyici beklentiler.
Siber olaylar, operasyonel bozulma, sistem kurcalama veya veri uzlaşması yoluyla bir miktar maddi etkiye ulaştığında, maliyetler çoğalır: acil durum BT/OT yanıtı, adli araştırmalar, itibar hasarı, düzenleyici açıklamalar ve potansiyel para cezaları.
Hem finansal hem de itibar, siber riski doğrudan P & L’ye getirir, zorunlu SEC raporlamasını tetikler ve hatta gözetim veya açıklama yetersiz sayılırsa yöneticileri kişisel sorumluluğa maruz bırakabilir.
Süreç seviyesi izleme, kuruluşların bir siber saldırı operasyonel bütünlüğü bozmadan önce akış, akım veya basınçtaki anomaliler gibi izinsiz girişin fiziksel etkilerini tespit etmesini sağlar. Tesis tabanında neler olduğuna dair gerçek zamanlı ve bağımsız bir bakış sağlayarak, maliyetli kesinti, güvenlik riskleri veya düzenleyici maruziyete dönüşmeden önce olayları içerebilen erken uyarı mekanizması olarak hizmet eder. Bu tür bir görünürlük, hem operasyonel sürekliliği hem de finansal esnekliği güçlendirir ve liderliğin baskı altında kararlı bir şekilde yanıt vermek için daha iyi konumlandırılmış olmasını sağlar.
Bir OT siber saldırısının finansal etkisi genellikle saldırganın ne kadar ileri gittiğine göre belirlenir: özellikle süreç seviyesine ulaşıp ulaşmadıkları.
Norsk Hydro’ya 2019 Lockergoga saldırısı bir ders kitabı örneğidir. Windows sistemlerini hedefleyen fidye yazılımı olarak başlayan şey hızla arttı, HMI’leri devre dışı bıraktı, mühendislik istasyonlarını bozdu ve operatör görünürlüğünü kopardı. Programlama, izleme veya koordinasyon araçlarına erişim olmadan, birkaç tesiste üretim (kritik dahil olmak üzere alüminyum ekstrüzyon ve haddelenmiş ürünler tesisleri) bir taramaya yavaşladı. Kayıplar 70 milyon doları aştı.
Çarpıcı olan, saldırganların PLC mantığını manipüle etmeleri veya aktüatörleri yeniden programlamasına gerek olmadığıdır. Finansal hasar, kontrol ve görünürlük kaybından geldi -gecikmeler, güvenlik önlemleri ve manuel geçersiz kılmalar -ICS yığınının 1-3. Seviyeleri arasında basamaklı bir arıza nedeniyle tetiklenen.
Sergi 1: Norsk hidro saldırı ilerlemesi
Bu yüzden ilerlemeyi durdurmak erken önemlidir.
Sergi 1’de gösterildiği gibi, çoğu OT saldırısı benzer bir yol izliyor:
1. Kimlik avı, kimlik bilgisi hırsızlığı veya üçüncü taraf erişim yoluyla ilk uzlaşma.
2. Kurumsal BT sistemleri veya mühendislik iş istasyonlarında kötü amaçlı yazılım dağıtım.
3. OT ortamına yanal hareket, genellikle HMI’lara veya tarihçi veritabanlarına ulaşır.
4. Saldırganlar operatör araçlarını devre dışı bıraktıkça veya sistem dosyalarını şifreledikçe görünürlük ve kontrol kaybı.
5. Operatörler kritik sistemleri güvenli bir şekilde çalıştırma veya izleme yeteneğini kaybettikçe, doğrudan manipülasyon olmasa bile süreç düzeyinde etki.
Her adım hem karmaşıklığı hem de iyileşmenin maliyetini arttırır. HMI ve diğer operasyonel sistemler çevrimdışı gittikten sonra, operatörler ekipmanın nasıl olduğu konusunda kritik görünürlüğü kaybeder işlevsel. Buna karşılık, ekiplerin genellikle çevrenin yeniden başlamasının güvenli olduğunu doğrulayana kadar makineleri kapatmak, üretimi durdurmak veya göndermeleri geciktirmekten başka seçeneği yoktur.
İşlem odaklı izleme burada bir fark yaratıyor:
HMI veya SCADA sisteminde görüntülenen değerlere karşı gerçek dünyadaki fiziksel sinyalleri (akış hızları, akım çizimi ve basınç gibi) sürekli olarak doğrulayarak, kuruluşlar gerçekte neler olduğuna dair bağımsız bir kontrol kazanırlar.
Fiziksel ölçümler sistemin rapor ettiğinden ayrıldığında, kötü amaçlı yazılım, yanlış yapılandırma veya kötü niyetli komutla bir şeyin bozulduğunun açık bir işaretidir.
Kısacası: İlerlemeyi ne kadar erken bozarsanız, o kadar az hasar (ve maliyet) olur.
OT siber güvenlik artık teknik kontrol sistemi sorunu olarak ele alınamaz: stratejik bir finansal maruziyet olarak görülmelidir. Riskler, SEC’in siber güvenlik açıklama kuralları gibi düzenleyici rejimler altında ölçülebilir, tekrarlayan ve giderek daha fazla rapor edilebilir.
Süreç seviyesi izleme, kuruluşlara büyük ölçekli bozulmayı tetiklemeden önce tehditleri tespit etmek, izole etmek ve yanıtlamak için gerçek zamanlı bir yol sağlar. Dayanıklılıktan daha fazlasını sunar -finans ve yönetici ekiplerine maliyetten kaçınma, uyumluluk hazırlığı ve uzun vadeli risk azaltma için bir yol sağlar.
Saldırganlar daha sofistike büyüdükçe ve OT daha bağlantılı hale geldikçe, soru başka bir ihlalin gerçekleşip gerçekleşmeyeceği değildir. Kuruluşunuz bunu nasıl yakalayacaktır. Bunun için süreç seviyesi cevabı tutar.
