Komunalnoj infrastrukturi je prijeko potrebna modernizacija. U mnogim dijelovima svijeta, infrastruktura koja isporučuje struju i vodu potrošačima nije spremna da izdrži prirodne katastrofe i rastuće potrebe za energijom. Integracija analitike podataka u realnom vremenu u proces donošenja odluka jedan je od načina da se započnu napori modernizacije, ali gotovo jedno od pet komunalnih preduzeća ne koristi alate koje imaju zbog zabrinutosti za sigurnost i privatnost podataka, prema Itron-ovom izvještaju o snalažljivosti za 2022. godinu.
Iako postoje sigurnosne implikacije koje treba razmotriti, odustajanje od primjene alata za analizu podataka nije dugoročno rješenje za komunalne usluge. Kako bi zadovoljili zahtjeve kupaca, a istovremeno dajući prioritet pitanjima sigurnosti i privatnosti, komunalne kompanije moraju slijediti holistički sigurnosni program koji obuhvata i sisteme operativne tehnologije (OT) kao i one koji pohranjuju i servisiraju korisničke podatke.
Komunalna preduzeća se suočavaju sa jedinstvenom složenošću
Kibernetička bezbjednost je prioritet u svim industrijama i granicama, ali nekoliko faktora doprinosi složenosti jedinstvenog okruženja u kojem komunalna preduzeća rade. Uz stalnu salvu napada, kao regulisana industrija, komunalna preduzeća se suočavaju s nekoliko novih mandata za usklađenost i izvještavanje, kao što je Zakon o izvještavanju o sajber incidentima za kritičnu infrastrukturu iz 2022. godine (CIRCIA). Ostala sigurnosna razmatranja uključuju zastarjeli OT, koji može biti izazovan za ažuriranje i zaštitu, nedostatak kontrole nad tehnologijama trećih strana i IoT uređaja kao što su pametni kućni uređaji i solarni paneli, i konačno, najveća prijetnja od svih: ljudska greška.
Ovi faktori rizika stvaraju dodatni pritisak na komunalne kompanije, jer jedan uspješan napad može imati smrtonosne posljedice. Primjer hakera koji pokušava otrovati vodosnabdijevanje u Oldsmar-u na Floridi.
Komunalne kompanije se moraju boriti s mnogo toga čak i prije dodavanja analitike podataka u miks. Međutim, zanimljivo je istaknuti da su potrošači znatno manje zabrinuti za privatnost podataka koje prikupljaju navedene kompanije. Prema Itron-ovom Izvještaju o snalažljivosti za 2022. godinu, 81% rukovodilaca komunalnih preduzeća je izuzetno ili veoma zabrinuto za osiguranje privatnosti podataka o korisnicima. S druge strane, manje od polovine (42%) potrošača kaže da su izuzetno ili veoma zabrinuti da komunalna preduzeća imaju pristup njihovim podacima o potrošnji energije i vode kako bi personalizovali svoje korisničko iskustvo. U stvari, mnogi potrošači žele veći pristup ovim naprednim uvidima, tako da mogu smanjiti potrošnju energije i uštedjeti novac.
Podaci pokazuju da je mišljenje potrošača na strani analitike podataka. Kako bi zadovoljili zahtjeve potrošača, komunalna preduzeća ne mogu dozvoliti da šire brige o sigurnosti OT-a, uspore primjenu alata za analizu podataka. Koje korake komunalne kompanije mogu poduzeti da ublaže ove zabrinutosti i zaštite privatnost potrošača?
Tri koraka do zaštite podataka
Postoje tri ključna koraka koje komunalne kompanije mogu poduzeti kako bi zaštitile ogromne količine prikupljenih podataka kako bi analitiku podataka u realnom vremenu učinile stvarnošću. Uz holistički pristup koji pokriva i OT sisteme i one koji pohranjuju i opslužuju podatke o korisnicima, rukovodioci komunalnih preduzeća mogu se osjećati sigurnije dok modernizuju tehnologiju.
1. Zaštitite IT i OT jedan od drugog izgradnjom robusnih demilitariziranih zona (DMZ)
Demilitarizovane zone (DMZ) pružaju snažnu segmentaciju mreže i, za komunalne kompanije, barijeru između IT i OT okruženja. Ovo sprečava hakera da koristi tradicionalnije metode hakovanja kako bi ušao u IT mrežu preduzeća i zatim stekao uporište u operativnoj strani stvari. Osim što razdvoje IT i OT sisteme koliko god je to moguće, kompanije takođe treba da teže maksimalnoj jednostavnosti u svojim mrežama. Što je sistem složeniji, postoji više rupa u IT mreži. Hakeri su stručnjaci za otkrivanje i iskorištavanje ovih rupa.
Međutim, kao i kod svake strategije, ništa nije sigurno. Stoga bi komunalni programi trebali imati rezervnu kopiju kako bi otkrili i spriječili infiltraciju i smanjili vrijeme zastoja u slučaju uspješnog napada.
2. Posvetiti se ljudskom elementu
Iako su napredne mjere opreza za poslovne sisteme i mreže kritične, moramo zapamtiti da će najveći rizik za kibernetičku bezbjednost uvijek biti ljudska greška. Standardna odbrana, višefaktorska autentifikacija, kontrole pristupa zasnovane na ulogama, procesi interne revizije, filteri za neželjene email-ove, sprečavanje Microsoft Office makroa, otkrivanje i odgovor krajnje tačke, rješenja za sprječavanje gubitka podataka uveliko olakšavaju zaposlenicima da donose ispravne odluke.
Prema IBM-ovom godišnjem izvještaju o troškovima kršenja, “ransomware i destruktivni napadi su odgovorni za više od četvrtine kršenja u kritičnim infrastrukturnim industrijama.” Imajući na umu ovu prijetnju, također je mudro uspostaviti obuku o bezbjednosti u cijeloj kompaniji kako bi se osigurala kultura svjesti bezbjednosti. Krajnji korisnici bi trebali biti svjesni svih mogućih prijetnji, uključujući one unutar kućnih uređaja.
3. Postaviti dodatnu odbranu na najvredniju ciljanu imovinu
Počnite sa uspostavljanjem arhitekture nultog povjerenja, pod pretpostavkom da se ne može vjerovati nijednom internom ili eksternom korisniku. Zatim primijenite protokole da provjerite koji uređaji, aplikacije i korisnici mogu pristupiti mrežama i sistemima. Kada izlažete bilo koju uslugu internetu, iskoristite najbolje prakse u industriji odabirom dokazanih i nezavisno testiranih i verifikovanih tehnologija.
Kada se penetracijom i testiranjem ranjivosti trećih strana utvrdi šta će najvjerovatnije biti na meti hakera, komunalne kompanije mogu odrediti svoju najranjiviju i najvrednije ciljanu imovinu i dodati dodatne nivoe zaštite, kao što je šifrovanje ili višefaktorska autentifikacija. Povežite ove mjere predostrožnosti sa najboljim robusnim operativnim praksama, uključujući sveobuhvatno praćenje i strateški plan odgovora na incidente.
Promjena je teška, ali neizbježna i korisna
Industrija komunalnih usluga suočava se s nekoliko poremećaja osim sajber napada i zabrinutosti za privatnost, skrećući pažnju rukovodilaca u mnogo različitih smjerova. Ovo uključuje integraciju obnovljivih izvora energije, smještaj električnih vozila i pripremu za ekstremne vremenske prilike, sve uz suočavanje s negativnim efektima stare infrastrukture i mreže. Međutim, važno je istaći da postoji podrška za komunalne kompanije koje se fokusiraju na jačanje svoje sajber odbrane. Na primjer, Zakon o infrastrukturnim ulaganjima i poslovima (IIJA) uključivao je značajna sredstva za napore u polju kibernetičke bezbjednosti, velika pobjeda za američke komunalne kompanije.
Analitika podataka se pokazala kao ključna tačka za komunalne kompanije u njihovoj potrazi za modernizacijom. Međutim, kada se riješe problemi kibernetičke bezbjednosti i komunalna preduzeća prihvate moć analize podataka u realnom vremenu, kritična infrastruktura će postati pouzdanija i otpornija.
Izvor: Help Net Security
