Provozní technologie zahrnují řídicí systémy průmyslových procesů, energetických soustav, vodohospodářské infrastruktury, dopravních sítí i dalších systémů, na nichž se opírá fungování moderních společností. Stále silnější propojení OT s informačními technologiemi (IT), digitální monitoring na dálku a vzdálená správa rozšiřují plochu pro útok a přinášejí nové vektory rizik. Nedostatečně zabezpečené propojení mezi sítěmi vytváří útočníkům příležitosti, jak se z IT prostředí dostat do OT a obráceně. Principy Zero Trust adaptované na realitu OT pomáhají tyto mezery zúžit – musí se však zavádět opatrně a takovým způsobem, který nenaruší samotný provoz řízených fyzických procesů.

Dokument upozorňuje na konkrétní aktéry hrozeb. Chris Butera, dočasný výkonný náměstek ředitele CISA pro kybernetickou bezpečnost, v doprovodném prohlášení zmínil skupinu Volt Typhoon, která se dlouhodobě snaží proniknout do OT sítí, eskalovat oprávnění a v napadeném prostředí přetrvávat. Architektura Zero Trust podle něj patří mezi nezbytné předpoklady prevence incidentů, při kterých by provozovatelé ztratili viditelnost nebo kontrolu nad základními systémy. FBI ve své části prohlášení upozorňuje, že státem podporovaní aktéři aktivně vytvářejí předsunuté pozice (pre-positioning) v sítích řídicích fyzické procesy a že OT prostředí často postrádá monitoring, který by je odhalil v rané fázi.

Mezi prioritní oblasti, na které se průvodce zaměřuje, patří vymezení bezpečnostních zón a komunikačních konduitů (zones and conduits), proaktivní řízení rizik dodavatelského řetězce a důsledné řízení identit a přístupů. Dokument zároveň pomáhá organizacím překonat typické překážky, které OT staví do cesty modernizaci: zastaralou infrastrukturu, provozní omezení a bezpečnostní požadavky vyplývající z přímého spojení digitálního prostředí s fyzickým světem. CISA doplňuje, že nabízí celou řadu navazujících zdrojů – metodik, služeb, nástrojů i školení – využitelných organizacemi na různém stupni zralosti kybernetické bezpečnosti.

Pro evropské správce kritické infrastruktury, energetické a vodohospodářské společnosti i průmyslové podniky zařazené pod regulaci NIS2 nebo směrnici CER má dokument konkrétní praktickou hodnotu. Doporučení jsou formulována pro federální orgány USA, mechanismy ochrany OT a Zero Trust principy popsané v dokumentu jsou ale univerzálně použitelné. Pre-positioning státních aktérů v sítích řídicích fyzické procesy je hrozba, která se Evropy bezprostředně dotýká – Volt Typhoon a obdobné skupiny mají dlouhodobě dokumentovaný zájem o evropské energetické a vodohospodářské sítě. Zavedení segmentace, zásad nejmenších oprávnění, vícefaktorové autentizace a důsledného monitoringu provozu mezi IT a OT proto patří mezi opatření, jejichž potřebu evropští regulátoři opakovaně připomínají.

Pro management organizací s OT je užitečné si z dokumentu odnést tři praktické momenty. Zaprvé: bezpečnost OT není doplněk k IT bezpečnosti, ale samostatná disciplína se svými omezeními a riziky. Zadruhé: Zero Trust nelze nasadit jednorázově – jde o postupný přechod, ve kterém se nové principy zavádějí postupně tak, aby se nenarušila kontinuita provozu. Zatřetí: dodavatelský řetězec OT, včetně integrátorů, výrobců řídicích systémů a poskytovatelů vzdálené podpory, představuje plochu, kterou musí každá organizace explicitně řídit – nejen smluvně, ale i technickými kontrolami.

CISA

CISA