לשרוד תחת התקפה: חוסן סייבר

06/07/21

כפי שנזכר שוב ושוב בעמודים אלה, והוחזר לפני מספר ימים על ידי הרשות המועצלת של מערכת מידע לביטחון הרפובליקה, איטליה נמצאת בפיגור של מדינות אירופאיות רבות באימוץ מבנה לאומי לאבטחת מידע.

למרות עצם ההשפעה של מתקפת סייבר הנגרמת על ידי חיבור הדוק בין מערכות ויישומים המשקף את האינטראקציה בין אנשים, חברות וארגונים, כולם יכולים לראות זאת. הרושם הוא שרבים עדיין רואים במתקפת הסייבר אירוע שהשפעותיו מוגבלות ואת האחריות ניתן לייחס בקלות. רק תזכרו את זה כמתקפה ransomware, לא מתוחכם יתר על המידה, אילץ את החסימה של אחד מצינורות הנפט החשובים בארה"ב עם השלכות על אלפי חברות ומיליוני אנשים.

חוסר המודעות להשלכות של מתקפת סייבר הוא הגורם לאינרציה בה מטפלים בעניין זה. ודווקא על מודעות זו הוא מאיץ סמכותי שלנו מחלקת מידע אבטחה לאחרונה הכריז - עם סיבה טובה - על כך עלינו לחשוב מחדש על הדרך בה אנו מארגנים ומנהלים את האבטחה של תחום הסייבר: יש צורך בקפיצת מדרגה איכותית שכבר לא מכוונת רק לאבטחת מערכות ורשתות שמנותחות כישויות אוטונומיות, אלא שמטרתה, בשילוב עם זה, להבטיח גמישות במקרה של התקפה יעילה. אנו מוסיפים כי בהקשר האיטלקי יש צורך בכך עוד קודם לְחַזֵק כל המערכות והרשתות לביטול כל הפגיעות והחולשה שבגינן קיימות תרופות אשר, אם לא בוטלו, מהוות את עקב אכילס שיכולים להפוך אמצעי הגנה מתוחכמים ללא יעילים.

בואו ננסה להגדיר חוסן בתחום הסייבר לאור המבנים האופייניים של העולם האקדמי והעדויות לניהול סיכונים עסקיים.

מערכות המידע והבקרה התעשייתית, כמו מה שקרה למערכות ההגנה והביטחון של מדינות, חוו בבירור את הרגישות לאיומי סייבר מתקדמים. התקריות הרבות הוכיחו למעשה כי לא ניתן להיות בטוחים שמשאבי ה- IT של ארגונים, גם כאשר הם מתוכננים ומתוחזקים על פי תקני האבטחה הטובים ביותר, יוכלו לעבוד תחת התקפה של יריבים מתוחכמים ומאובזרים היטב אשר לְהַעֲסִיק שילובי יכולות סייבר, צבא ומודיעין.

לפיכך יש להתמודד עם האתגר העתידי החל מההנחה שבשימוש - או בהתאם למשאבי הרשת - קיים סיכון גבוה שמישהו יפר את ההגנות ההיקפיות ויתבסס בצורה פחות או יותר ברורה ומתמשכת פחות או יותר. ., בתוך היקף הביטחון כמו סרטן הגדל בתוך יצור חי.

מכאן נובע השיקול כי אין זה מספיק להגביל את עצמך לאבטחת הנכסים באופן פרטני, כי במוקדם או במאוחר - זה רק עניין של זמן - הם "יינקבו"; אלא שבמקום זה יש צורך לחרוג, וליצור רשתות גמישות, מערכות מידע ושירותי IT, כלומר מסוגלים צופים, להתנגד, recuperare e להסתגל בתנאים קשים, לחץ, התקפות ופשרות: קצת כמו שגוף האדם עושה, מה שמציג כן א סיסטמה אימוניטריו מסוגלים לספוג סכנות סביבתיות ולספק מנגנוני הגנה כדי להישאר בריאים, אך יש בהם, במידת הצורך, מערכות תיקון אוטומטי להחלים ממחלות ופציעות; וכי יתר על כן, כאשר היא לא מצליחה להחלים את המצב הבריאותי לפני המחלה, זה כן מסוגלים להסתגל למצב העל.

מזה זמן מה, העולם האקדמי הציע מודל רעיוני המאפשר פיתוח מערכות סייבר גמישות במודל "גוף האדם" הנ"ל ויוצר מיומנויות חוסן מהשלבים הראשונים של התפתחות מחזור החיים: מה שמכונה חוסן על ידי עיצוב.

Il המכון הלאומי לתקן וטכנולוגיה, למעשה, הוא הגדיר א במסגרת של הנדסת מחשבים החל מהגדרת ארבע כישורים בסיסיים, כלומר: צפהכלומר היכולת לצפות בעיות; זה של לעמוד כלומר להתנגד למתח ולהבטיח את המשימות או הפונקציות הנחשבות חיוניות; זה של להחליםכלומר, שיקום האחרון, אם נפגע במהלך התאונה או אחריה; ולבסוף, התאם, היכולת לשנות משימה או לתפקד כאשר היבטים טכניים או מבצעיים משתנים או שהאיום מתפתח.

עבור כל אחת מהיכולות הללו, מוצע למגוון רחב של יעדים: למנועכלומר, מניעת התקפות, כדי למנוע את ביצועם; להכיןכלומר, משערים ובודקים סדרה של דרכי פעולה כדי להתמודד עם מצוקה; להמשיךכלומר, מקסימום משך וכדאיות המשימה הקריטית של המערכת במהלך האירוע; לְהַכרִיחַכלומר להגביל את הנזק; מחזירים מחדשכלומר, לשחזר פונקציות חיוניות; להביןכלומר להבין מה קורה, לקבל ייצוג ברור, אירוע במהלך, על מצב המשאבים המושפעים ועל התלות הקיימת במשאבים אחרים; לשנותכלומר, לשנות את המשימה או הפונקציה הקריטית כדי להתאים אותה להקשר המבצעי, הטכני או האיום. ולבסוף אדריכל מחדשכלומר, שינוי אדריכלות כדי לנהל מצוקה ולהתמודד עם שינויים סביבתיים בצורה יעילה יותר.

אך אם ארבע היכולות ושמונה היעדים המוצעים מייצגות את "מה" לעשות כדי להשיג מערכות גמישות ברשת, ה"איך "נקבע על ידי הגדרת טכניקות עמידות סייבר ספציפיות, המיושמות בגישות יישום שונות ובהתאם עקרונות תכנון מוגדרים. שרבים מהם מושא למחקר ופיתוח בפעילויות שיתופיות בין האקדמיה, החברות והמינהל הציבורי.

הטכניקות שונות. רק מעטים מובאים כדוגמאות, בהתייחס לניתוח המעמיק הדרוש.

זה עובר מניטור אנליטי אשר מבטיח ניטור וניתוח של מאפייני המערכת או התנהגות המשתמשים, al מודעות הקשר שבאמצעותם מפקחים על יעילות המשאבים הקריטיים של המערכת בהתאם לאיומים המתנהלים ולפעולות התגובה.

טכניקות אחרות במקום מכוונות במכוון לנטרל את פעולותיו של היריב, כגון Deception - שיטות הטעיה בהן מתכוונים להטעות, לבלבל את היריב, למשל על ידי הסתרת משאבים קריטיים ממנו או חשיפת משאבים מזוהמים בסתר - או בלתי צפויות, איתם מתרחשים שינויים במערכת באופן סיבתי או בלתי צפוי.

שיטות אחרות מאפשרות למנגנוני ההגנה לפעול בצורה מתואמת ויעילה - הגנה מתואמת - או שהם מקלים על השימוש בגישות הטרוגניות כדי למזער את ההשפעות של איומים שונים המנצלים פגיעות נפוצות, כגון המקרה של טכניקות הנקראות גיוון.

טכניקות מונעות כגון מיקום דינמי מאפשרים לך להפיץ או להקצות דינמיות פונקציונליות או משאבי מערכת כדי להסיר אותם מתשומת ליבו של התוקף; או של שלמות מהותית המאפשרים לברר האם אלמנטים קריטיים במערכת נפגעו.

לבסוף, אחרים מבטיחים פונקציות יתירות או פילוח.

בקיצור, שוב הפתרונות הטכניים, הגישות הרעיוניות ותקני האיכות קיימים ומפוקחים היטב על ידי העולם האקדמי והרגולטורי. דחף להקשר שלהם באזורים המקומיים השונים יתרחש גם בזכות הקמתה של רשת מוקדי חדשנות אירופיים לדיגיטל שבזכות הקמת קונסורציות אזוריות בין אוניברסיטאות, מרכזי מחקר, חברות ומינהל ציבורי, יספקו תמיכה ישירה למפעלים קטנים ובינוניים, החשופים ביותר לסיכונים ושבריריותם יכולה להוות גורם לחולשה של המדינה כולה. מערכת.

על יכולת הממשל של ארגונים ציבוריים ופרטיים להבין את האיומים החדשים; להיות ברור לגבי נכסי העניין וצרכי ​​האבטחה והחוסן הקשורים אליו; להבין את המורכבות ההולכת וגוברת של התחום החמישי לניהול אפקטיבי של אי הוודאות הקשורה למורכבות זו; לשלב דרישות אבטחה, פונקציות ושירותים בתהליכים ניהוליים וטכניים בתוך מחזור החיים של פיתוח מערכות; ולבסוף לתעדף את העיצוב וההטמעה של מערכות מאובטחות וגמישות המסוגלות להגן על פעילותם של בעלי עניין.

אורציו דנילו רוסו וג'ורג'יו ג'סינטו

מידע נוסף:

https://formiche.net/2021/06/agenzia-cyber-tempo-scaduto-lallarme-di-gabrielli/

https://www.agi.it/economia/news/2021-05-11/colonial-pipeline-ransomware-12504743/

https://www.cybersecitalia.it/cybersecurity-roberto-baldoni-bisogna-passare-alla-resilience-by-design/12483/

https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2391

https://digital-strategy.ec.europa.eu/en/activities/edihs

https://nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-081.pdf

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2.pdf

צילום: צבא ארה"ב / חיל האוויר האמריקני / רשת