На сегодняшний день нет единого выигрышного подхода для решения проблемы кибербезопасности в IoT, но наши шесть рекомендаций могут помочь ИТ-руководителям. Три вопроса касаются стратегии размышления о безопасности в IoT, а три других - действия, направленные на то, чтобы ИТ-руководители и владельцы бизнеса направили свои организации к успеху.
Поймите, какая IoT безопасность значима в вашей отрасли и бизнес-модели
Во всех отраслях промышленности требуется определенный минимальный уровень безопасности IoT в рамках «гигиены». Недавняя атака WannaCry в значительной степени подвергла риску организации с устаревшими операционными системами, которые не были исправлены соответствующим образом. Простое управление исправлениями - вопрос адекватного управления ИТ, который должен быть рутинным, а вот уже добавочную цену заказчики должны платить за сложную кибернетическую защиту.
Однако, мы считаем, что есть возможность рассматривать безопасность как нечто большее, чем просто «гигиена». За последнее десятилетие многие компании увидели, что ИТ развивается из МВЗ в источник реальной дифференциации, обеспечивая удовлетворенность клиентов и их готовность платить. Подобное изменение ожидает IoT-безопасность в будущем, но в определённых отраслях промышленности мы уже наблюдаем это сегодня. Одним из примеров является отрасль физической безопасности. Компании, производящие замки для дверей, уже сегодня могут ставить добавочную стоимость на продукты с особенно сильными функциями кибербезопасности, поскольку кибербезопасность может создать или нарушить основную функцию продукта.
Руководители должны понимать роль и актуальность безопасности IoT в своих отраслях и способы монетизации решений в соответствии с их бизнес-моделью. Однако глубокое понимание того, что означает безопасность IoT для компании, не может закончиться на стратегическом уровне. Руководители должны знать основные моменты уязвимости. Как правило, обзор лучших сценариев атаки для конкретной компании и понимание нападавших и их мотивация станут хорошей базой для дальнейшей разработки стратегии и бюджетных ассигнований. Инвестиции в обеспечение безопасности должны быть нацелены на риск, наиболее вероятный для конкретного бизнеса или отрасли.
Настройте четкие роли и обязанности по обеспечению безопасности IoT вдоль вашей цепочки поставок
IoT требует целостной концепции кибербезопасности, которая распространяется на весь стек IoT - все уровни приложения, связи и датчиков. Конечно, каждый уровень необходимо защитить, но компаниям также необходимо подготовиться и для межуровневых угроз.
Для этого потребуется стратегический диалог с партнерами по добыче и переработке бизнеса, будь то поставщики или клиенты, для определения ответственности за безопасность по всей цепочке поставок. Отправной точкой для этого обсуждения должно быть определение слабых звеньев в целостной модели; с точки зрения злоумышленника, они будут нацелены на то, чтобы нанести вред всей цепочке. Каждый затем берет на себя роль, которая должна зависеть от того, кто обладает компетенцией и у кого есть стимулы, которые могут включать монетизацию. Отраслевые игроки, действующие в каждой части стека IoT, приносят определенные преимущества, которые они могут использовать для обеспечения интегрированного решения:
► Производители устройств и полупроводников, действующие на более низком уровне стека, могут использовать свои проектные возможности низкоуровневой (аппаратной) защиты в качестве преимущества для разработки более высокой (программной) безопасности.
► Производители сетевого оборудования извлекают выгоду из того, что многие ключевые компетенции в области безопасности на транспортном уровне применимы к прикладному уровню. Помимо этого, они могут использовать свои возможности разработки оборудования, чтобы предложить интегрированное решение.
► Разработчики приложений могут использовать свой контроль над интерфейсами приложений или доступом клиентов в качестве преимущества при определении низкоуровневых архитектур.
Вступайте в стратегические переговоры с вашим регулятором и сотрудничайте с другими игроками отрасли
Кибербезопасность компании создает внешние эффекты, которые выходят далеко за рамки влияния самой деятельности компании и, следовательно, ее необходимо решать в рамках классического разрыва между правительством и бизнесом. Большинство современных стандартов кибербезопасности ослабевают, поскольку они не являются ни отраслевыми, ни достаточно подробными, и они пренебрегают большинством слоев стека IoT, включая производство и разработку продукта. Регуляторы в конечном итоге приступят к устранению этого разрыва, и компании должны принять участие в обсуждении или задать тон.
Лидеры отрасли могут сформировать эти структуры, объединив ключевых игроков для создания стандартов безопасности IoT для своей отрасли. Партнерские отношения с другими игроками, включая конкурентов, также могут привести к взаимовыгодному объединению ресурсов, превышающих официальные отраслевые стандарты. Например, в банковском секторе одна компания собрала несколько конкурентов для создания «общих оценок» для оценки поставщиков технологий безопасности, что привело к огромному повышению эффективности как для банков, так и для их поставщиков. Другим примером этого сектора является FS-ISAC, информационное сообщество, через которое конкурирующие банки обмениваются информацией о слабых сторонах безопасности, атаках и успешных контрмерах.
Захват кибербезопасности как приоритет для всего жизненного цикла продукта и развитие соответствующих навыков для его достижения
Безопасность должна быть частью всего жизненного цикла продукта, от разработки продукта до процесса разработки и непрерывного использования продукта каждый день. Основой безопасности продуктов на местах является «безопасность по плану» на этапе разработки продукта. Также важно обеспечить безопасность в процессе производства, учитывая роль промышленности 4.0 в стимулировании распространения IoT на торговых площадках и в других производственных условиях. Наконец, для защиты продуктов после их продажи требуется концепция. С этой целью компаниям необходимо разработать стратегию для предоставления патчей безопасности для продуктов в этой области, например, через возможности автоматического обновления.
Обеспечение кибербезопасности на протяжении всего жизненного цикла продукта требует организационных и технологических изменений. Организационный компонент подразумевает четкую ответственность за кибербезопасность в продуктовой и производственной среде. Несколько компаний действовали, предоставляя ответственному должностному лицу по информационной безопасности (CISO- Chief Information Security Officer) ответственность за кибербезопасность как в информационных технологиях (ИТ), так и в операционной технологии (OT). Независимо от структурной настройки, согласование целей является решающим, поскольку между работой CISO и другими отделами должно быть сильное сотрудничество, будь то разработка продукта, производство или даже обслуживание клиентов. Кроме того, должны быть созданы новые роли, которые систематически интегрируют безопасность во все соответствующие продукты и процессы. Например, европейская телекоммуникационная компания и медиакомпания используют широкомасштабные учебные программы для создания сообщества «защитников безопасности» во всей организации. Эти защитники безопасности получают дополнительные полномочия по принятию решений в своих командах в результате достижения статуса «кибербезопасности». Организация CISO использовала эти тренинги для увеличения своей доли в четыре раза.
Будьте строги в преобразовании умственных способностей и навыков
Руководители по всему миру всё чаще начинают следовать той модели бизнеса, в которой безопасность постоянно развивается и где люди вознаграждаются, а не наказываются за выявление слабых мест.
Кроме того, руководители должны проследить, чтобы знания и квалификация, связанная с безопасностью, стали стандартным требованием для сотрудников в области информационных технологий, разработки продуктов и их производства. С одной стороны, могут помочь дополнительные учебные программы для нынешних сотрудников; с другой стороны, необходимо разработать специфический стандарт безопасности IoT. Чтобы развивать эти навыки кроссовера в масштабе, компаниям следует рассмотреть возможность работы с другими игроками в отрасли, например, для создания университетских программ и учебных программ профессионального обучения.
Создайте контактную систему для внешних исследователей безопасности и разработайте план реагирования после завершения
Компании должны внедрить единый видимый контакт для уведомлений или жалоб, связанных с ИТ-безопасностью. За последние два года, и особенно в контексте IoT, было множество примеров исследователей безопасности, пытающихся уведомить компанию несколько раз после обнаружения нарушения, и компания либо вообще не следила, либо исследователь был передан из одного отдела к следующему, не принимая на себя ответственность.
Кроме того, компаниям необходим план реагирования для различных сценариев атаки. Последствия непрофессионального ответа на инцидент часто оказываются более разрушительными, чем сам инцидент. В мире IoT инциденты могут повлиять на деятельность компании, поэтому кибербезопасность должна быть частью управления непрерывностью бизнеса и планирования аварийного восстановления. Возможно, самое главное, организации должны разработать сильную коммуникационную стратегию, специфичную для определённых сценариев, и предоставлять текущие, прозрачные и соответствующие сообщения пользователям, регуляторам, инвесторам и, возможно, широкой общественности.
О кибербезопасности по-прежнему много говорят, но она еще не используется как фактор дифференциации на стороне бизнеса. С появлением Интернета вещей, есть возможность двигаться вперед и обозначать безопасность продуктов, производственных процессов и платформ в качестве стратегического приоритета. Широта этой задачи охватывает всю цепочку поставок и весь жизненный цикл продукта и включает как нормативную, так и коммуникационную стратегию. Мы считаем, что для руководителей ИТ-организаций кибербезопасность должна стоять на повестке дня до тех пор, пока не будут созданы строго отлаженные процессы, не будет создана устойчивость, а приоритеты будут преобразованы.
Если у вас остались вопросы – обращайтесь к нам, специалистам ОЛЛИ, звоните
+7 (812) 703-30-60 или пишите на zakaz@olly.ru . Мы поможем найти оптимальное для Вас решение!
Статья подготовлена на основе материалов статьи «Six ways CEOs can promote cybersecurity in the IoT age» с сайта McKinsey&Company
