Hitro in kvalitetno obveščanje o kibernetskih grožnjah (angl. threat intelligence) je ključno za dvig kibernetske odpornosti. Za energetiko kot eno ključnih komponent, brez katerih delovanje moderne družbe praktično ni mogoče, je to še posebej pomembno.
V današnjem času je obveščanje o grožnjah postalo ključen element učinkovitega varovanja in zaščite energetskih sistemov. Vse več podjetij, vključno z varnostnimi operativnimi centri (VOC), se zateka k uporabi proaktivnih metod in zmogljivosti zaradi številnih razlogov.
Storitev prinaša dragocene informacije o novih in kompleksnih nevarnostih, ki jih lahko nepridipravi zlorabijo za napade na energetske sisteme. S tem, ko se VOC energetike osredotoča na pridobivanje in analizo obveščevalnih informacij
o kibernetskih grožnjah, lahko še pravi čas prepozna ranljivosti in sprejme ustrezne protiukrepe za preprečevanje napadov.
V tem procesu mora VOC najprej razpolagati z obsežnim naborom virov in partnerstev, ki zagotavljajo sveže in ažurne podatke. V naslednji fazi morajo pridobljeni podatki postati uporabne informacije. To skrb prevzamejo ustrezno usposobljeni strokovnjaki, ki morajo podatke razumeti, jim določiti kontekst in tako pridobljene informacije uporabiti za nujne protiukrepe.
Kako deluje varnostni operativni center?
Napreden VOC razpolaga s sistemi za izmenjavo obveščevalnih informacij o kibernetskih grožnjah. S temi sistemi pridobimo informacije v realnem času neposredno od drugih varnostnih operativnih centrov, nacionalnih odzivnih centrov in ostalih naprednejših uporabnikov informacijske tehnologije. Takoj ko se pojavi nov varnostni incident, napad ali grožnja, se opravi analiza in izmenja podatke o lastnostih napada in napadalca.
Bistvena prednost je ažurna seznanjenost z vsem, kar se dogaja na medmrežju, in to ne zgolj na svetovnem spletu, temveč tudi v temnem in globokem spletu. V VOC energetike uporabljajo večji nabor teh sistemov in standardov, med katere spadajo MISP (Malware Information Sharing Platform), MITRE ATT&CK in STIX/TAXII. Najpomembnejše orodje je sistem MISP, s katerim so neposredno povezani z nacionalnim odzivnim centrom za kibernetsko varnost ter omogoča pretok informacij med VOC in drugimi deležniki, ki skrbijo za kibernetsko varnost.
STIX in TAXII sta uveljavljena standarda za opisovanje in izmenjavo informacij o kiberentskih grožnjah prek protokola HTTPS. Opisujeta lastnosti, kot so vzorec napada, potek izvedbe aktivnosti napada, identiteta napadalca in drugo. Podobno je tudi MITRE ATT&CK široko uporabljena baza znanja o taktikah in tehnikah napadalcev, ki se gradi na podlagi stvarnih opazovanj
delovanja sistemov in omrežij v praksi.
Z vpeljavo mehanizmov obveščanja o kiberentskih grožnjah so se v VOC energetike zmožni dvigniti na nivo strateške inteligence, ki privede do razumevanja visokonivojskih trendov in motivov napadalcev za namen vzpostavitve strateške kibernetske varnosti in odločanja. Ta nivo nadgrajuje in vključuje nivoja taktične in operativne inteligence, ki omogočata izvajanje prednostnih in ciljnih varnostnih operacij na podlagi dobrega razumevanja infrastrukture, obrambnih zmožnosti in značilnosti napadov. To je dobra podlaga tudi za izvedbo naprednih pristopov spremljanja napadalskih kampanj ter zavajanja napadalcev, na primer z vabami »honeypot«.
S pomočjo obveščanja o kibernetskih grožnjah tako okrepijo varnostno ekipo, pridobijo prednosti v zvezi z zaznavanjem groženj in incidentov, odločanjem na podlagi teh groženj in incidentov, odzivanjem ter krepitvijo procesov obvladovanja tveganj.
Skupaj proti kibernetskim grožnjam
Obveščanje in izmenjevanje informacij o kibernetskih grožnjah je zelo aktualno področje, ki je v zadnjem času predmet intenzivnega razvoja. V VOC ga vpeljujejo tudi prek sodelovanja v mednarodnih razvojno-raziskovalnih konzorcijih in projektih. Tako razvijajo in aplicirajo rešitve, ki izboljšujejo postopke odzivanja na kibernetske incidente, krepijo mehanizme povezovanja
z drugimi deležniki v energetskem sistemu in na področju zagotavljanja kibernetske varnosti ter omogočajo proaktivno izvedbo premostitvenih ukrepov za obrambo pred kibernetskimi napadi oziroma blaženje posledic le-teh.
Hiter razvoj in napredek tehnologije ter vse večja kompleksnost in obsežnost digitalnih sistemov predstavljata tudi več ranljivosti in s tem večjo izpostavljenost napadom. Zato je ključno, da se podjetja pravočasno odzovejo in poskrbijo za ustrezno raven kibernetske odpornosti. Najem storitev VOC je zato prav gotovo prava odločitev in koristna dolgoročna investicija.
Članek je bil objavljen v Računalniških novicah, julija 2023.
