Cyberangriffe auf kritische Infrastrukturorganisationen werfen ein Schlaglicht auf die kulturelle Kluft zwischen IT und OT

Cyber Security News

In einer Luftaufnahme sind Kraftstofftanks an der Dorsey Junction Station der Colonial Pipeline am 13. Mai 2021 in Washington, DC zu sehen. Die Colonial Pipeline ist nach einer Cyberattacke, die die Gasversorgung im Osten der USA tagelang unterbrochen hat, wieder in Betrieb. (Foto: Drew Angerer/Getty Images)

Sicherheitsteams, die Informations- und Betriebstechnologie unterstützen, stehen sich oft in Bezug auf Prioritäten und Taktiken zur Reaktion auf Vorfälle gegenüber, was das Risiko erhöht, das entsteht, wenn diese beiden Umgebungen zusammenkommen.

Die Cyberangriffe auf Colonial Pipeline und die Wasserversorgung in Oldsmar, Florida, haben gezeigt, dass nicht nur sichergestellt werden muss, dass die Sicherheit bei der Integration von IT- und OT-Systemen ordnungsgemäß verwaltet wird, sondern dass auch die Standards für die Reaktion auf Vorfälle für alle klar definiert sind.

“Wir müssen verstehen, dass [IT and OT security teams] unterschiedliche Perspektiven haben”, sagte Matthew Dobbs, Chief Integration Architect bei IBM Security, während einer Session am Montag auf der RSA Conference. “Die IT möchte Daten vertraulich halten; die OT möchte vor allem alles am Laufen halten oder alle am Leben und in Sicherheit halten. Das kann einen Keil zwischen die Teams treiben.”

Andere Unterschiede, die Dobbs feststellte: OT-Teams können die IT manchmal als Jobkiller betrachten. Und während die OT ausgereifte Technologie benötigt, die 10 oder 20 Jahre halten kann, haben IT-Teams Spielraum, neue Produkte zu implementieren und sogar nach Open-Source-Angeboten zu suchen.

“Diese Unterschiede können sich in einer Cyber-Krise noch verschärfen”, so Dobbs.

Während Colonial Pipeline über den genauen Zeitablauf der Ereignisse, die zu einer Abschaltung der Systeme und schließlich zu einer Ransomware-Zahlung führten, relativ schweigsam blieb, zeigte der Vorfall die potenziellen Auswirkungen, wenn Malware entfernte Einrichtungen erreicht, deren IT- und Betriebstechnologiesysteme möglicherweise nicht ausreichend zur Abwehr eines Angriffs befestigt sind.

Und wenn es zu einem Angriff kommt, können die Unterschiede in der Art und Weise, wie Systeme von IT- und OT-Teams verwaltet werden, noch größer werden.

“Wenn auf einem IT-System forensische Daten für einen Vorfall benötigt werden, ist es relativ einfach, einen Schnappschuss der Festplatte zu erstellen und das System neu zu sichern”, sagt Dobbs. “Aber in der OT-Welt gibt es vielleicht keine Möglichkeit, diese Daten für die forensische Analyse zu sammeln, oder es besteht der Druck, die Fabrikhalle wieder zum Laufen zu bringen – ‘die Firmware neu zu laden und loszulegen’. Man verliert dieses wichtige Stück Information.”

Neben den eher standardmäßigen Sicherheitstrainings, die oft zwischen Teams in Unternehmen stattfinden – Tabletop-Übungen, Capture the Flag und so weiter – kann Gamification Umgebungen, die IT und OT mischen, eine Möglichkeit bieten, Konfliktbereiche zwischen den Teams zu adressieren.

John Clarke, IBM Gamification and Cyber Security Engineer, unterscheidet zwischen spielbasiertem Lernen, bei dem ein Spiel speziell entwickelt wird, um eine bestimmte Fähigkeit zu lehren oder ein bestimmtes Lernergebnis zu erzielen, und Gamification, bei dem Elemente und Prinzipien des Spieldesigns in einem nicht spielerischen Kontext verwendet werden: Anzeigetafeln, Punkte, Abzeichen, Leaderboards, Leistungsgrafiken, Storylines, Avatare und Teamkollegen, um nur einige Beispiele zu nennen.

“Die Psychologie spielt eine große Rolle”, sagte Clarke während der Sitzung. “Es wird Emotionen in uns auslösen, die mit einer positiven Benutzererfahrung verbunden sind. Es gibt uns ein Gefühl der Kontrolle. Es bestärkt gutes Verhalten, ein Gefühl der Leistung. Es ist von Natur aus wettbewerbsorientiert. Es erlaubt uns, kritisches Denken anzuwenden.”

Speziell für IT und OT bietet Gamification die Möglichkeit, die Kommunikation zwischen den beiden Teams sowie mit der geschäftlichen Seite der Organisation zu üben; es hilft bei der Definition von Unified Messaging; und es ermöglicht allen Teilnehmern, das Muskelgedächtnis vor einem tatsächlichen Vorfall zu trainieren.

“Das Ziel ist nicht immer, den Bedrohungsakteur zu finden; es sollte mehr sein als das”, sagte Clarke. “Können wir Lücken in unseren Mitarbeitern, unseren Prozessen und unserer Technologie finden?

“Der Weg ist nicht immer eine gerade Linie”, fuhr er fort. “Wir müssen kritisches Denken einsetzen, um den Weg zu ändern oder Hindernisse zu beseitigen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com