ເປັນຫຍັງມັນຈຶ່ງເປັນເປົ້າໝາຍໃໝ່ຂອງອາຊະຍາກຳທາງອິນເຕີເນັດ ການສົນທະນາກັບ Ian Bramson

ຈຳ​ນວນ​ການ​ໂຈມ​ຕີ​ທີ່​ເກີດ​ຂຶ້ນ​ຕໍ່​ໂຄງ​ລ່າງ​ພື້ນ​ຖານ​ທີ່​ສຳ​ຄັນ​ໂດຍ​ກຸ່ມ​ລັດ​ຂອງ​ປະ​ເທດ​ໄດ້​ເພີ່ມ​ຂຶ້ນ​ສອງ​ເທົ່າ​ໃນ​ປີ​ທີ່​ຜ່ານ​ມາ, ອີງ​ຕາມ​ປີ 2022. Microsoft Digital Defense Report. ໃນລະຫວ່າງເດືອນກໍລະກົດ 2021 ຫາເດືອນມິຖຸນາ 2022, ການໂຈມຕີທາງອິນເຕີເນັດຕໍ່ບໍລິສັດໃນດ້ານໄອທີ, ການບໍລິການທາງດ້ານການເງິນ, ການຂົນສົ່ງ, ແລະໂຄງສ້າງພື້ນຖານການສື່ສານກວມເອົາ 40% ຂອງກິດຈະກໍາທັງຫມົດເມື່ອທຽບກັບພຽງແຕ່ 20% ໃນ 12 ເດືອນທີ່ຜ່ານມາ.

Mathieu Gorge, CEO ຂອງ VigiTrust, ແລະ Ian Bramson, ຫົວຫນ້າຄວາມປອດໄພທາງອິນເຕີເນັດທົ່ວໂລກຂອງ ABS Group, ນັ່ງລົງເພື່ອປຶກສາຫາລືກ່ຽວກັບບັນຫາທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພດ້ານໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນ, ບົດບາດຂອງ OT ແລະ IT ໃນການປົກປ້ອງສິ່ງອໍານວຍຄວາມສະດວກທີ່ສໍາຄັນ, ແລະວິທີທີ່ຜູ້ນໍາດ້ານຄວາມປອດໄພສາມາດສື່ສານເຫຼົ່ານີ້. ຄວາມເປັນຫ່ວງຕໍ່ກັບສະມາຊິກສະພາ ແລະຜູ້ທີ່ຢູ່ໃນຫ້ອງ C-suite.

ຄວາມປອດໄພດ້ານພື້ນຖານໂຄງລ່າງທີ່ ສຳ ຄັນ

ຫຼັງຈາກການໂຈມຕີເຊັ່ນ: ຜູ້ບໍລິຫານບໍລິການສຸຂະພາບຂອງໄອແລນ (HSE), Colonial Pipeline, ແລະ JBS Food, ໂລກໄດ້ຕື່ນຕົວກັບໄພຂົ່ມຂູ່ອັນໃຫຍ່ຫຼວງທີ່ເກີດຂື້ນກັບຊຸດຂອງລະບົບທີ່ສໍາຄັນ, ເຄືອຂ່າຍ, ແລະຊັບສິນທີ່ອໍານວຍຄວາມສະດວກຂອງປະເທດ. ສັງຄົມ ແລະ ເສດຖະກິດ. ຊຸດຂອງສິ່ງອໍານວຍຄວາມສະດວກແລະຜູ້ໃຫ້ບໍລິການນີ້ຖືກເອີ້ນທົ່ວໄປວ່າ "ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນ", ແລະກວມເອົາສິ່ງຕ່າງໆເຊັ່ນ: ລະບົບການສຶກສາ, ສະຖານທີ່ສາທາລະນະສຸກ, ໂຮງງານພະລັງງານ, ລະບົບການຂົນສົ່ງ, ໂຮງງານນ້ໍາປະປາ, ແລະການບໍລິການຄວາມປອດໄພແລະອື່ນໆ.

ຄວາມສ່ຽງດ້ານຄວາມປອດໄພຕໍ່ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນໄດ້ເພີ່ມຂຶ້ນສູງໃນຊຸມປີມໍ່ໆມານີ້ຍ້ອນວ່າການເຊື່ອມໂຍງທາງດ້ານດິຈິຕອນໃນສະພາບແວດລ້ອມທີ່ເປັນມໍລະດົກໄດ້ເປີດສະຖານທີ່ເຫຼົ່ານີ້ເພື່ອໂຈມຕີ. ນັກສະແດງໄພຂົ່ມຂູ່ໄດ້ຮັບຮູ້ຢ່າງໄວວາທ່າແຮງສໍາລັບການໄດ້ຮັບທາງດ້ານການເງິນທີ່ກ່ຽວຂ້ອງກັບການແຊກແຊງໃນຂະແຫນງການເຫຼົ່ານີ້, ກະຕຸ້ນໃຫ້ລັດຖະບານແລະເອກະຊົນດຽວກັນເພີ່ມທະວີການສົນທະນາຂອງເຂົາເຈົ້າກ່ຽວກັບຄວາມປອດໄພຂອງການບໍລິການທີ່ຈໍາເປັນ.

ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນແລະການໂຈມຕີແນວໂນ້ມ

ອີງຕາມ Ian Bramson, ສະພາບແວດລ້ອມໄພຂົ່ມຂູ່ແມ່ນພັດທະນາ. ການ​ໂຈມ​ຕີ​ແມ່ນ​ມີ​ຄວາມ​ຊັບ​ຊ້ອນ​ຫຼາຍ​ຂຶ້ນ​ຍ້ອນ​ວ່າ​ຜູ້​ສະ​ໜັບ​ສະ​ໜູນ​ປະ​ເທດ​ຊາດ ແລະ​ນັກ​ສະ​ແດງ​ອິດ​ສະ​ລະ​ໄດ້​ຫັນ​ຈຸດ​ສຸມ​ຈາກ​ຂໍ້​ມູນ​ຂ່າວ​ສານ​ໄປ​ສູ່​ສະ​ພາບ​ແວດ​ລ້ອມ​ປະ​ຕິ​ບັດ​ງານ.

ເຖິງແມ່ນວ່າມີຕົວຢ່າງອື່ນໆໃນອະດີດ - ເຊັ່ນ Stuxnet ໃນປີ 2010— ການ​ໂຈມ​ຕີ​ແບບ​ດຽວ​ກັບ​ທໍ່​ສົ່ງ​ອາ​ນາ​ນິຄົມ​ໄດ້​ເປັນ​ສັນຍານ​ເຕືອນ​ວ່າ​ພາກ​ລັດ​ແລະ​ເອກະ​ຊົນ​ຄວນ​ເພີ່ມ​ທະວີ​ຄວາມ​ປອດ​ໄພ​ຂອງ​ລະບົບ​ດັ່ງກ່າວ. ໃນເວລາດຽວກັນ, ພວກເຂົາເຈົ້າໄດ້ piqued ຄວາມສົນໃຈຂອງ cybercriminals, ຍ້ອນວ່າເຂົາເຈົ້າໄດ້ສະແດງໃຫ້ເຫັນການຊໍາລະເງິນທີ່ເປັນໄປໄດ້ຂອງການປະຕິບັດການໂຈມຕີຂະຫນາດໃຫຍ່ດັ່ງກ່າວແລະມີຜົນກະທົບ.

ທ່ານ Bramson ອະທິບາຍວ່າ "ມີນັກຂົ່ມຂູ່ຫຼາຍຄົນທີ່ເວົ້າວ່າ, 'ລໍຖ້າ, ລໍຖ້າ, ຂ້ອຍສາມາດປິດທໍ່ນ້ໍາມັນໄດ້," Bramson ອະທິບາຍ. ຍ້ອນວ່າການໂຈມຕີໄດ້ກາຍເປັນຄວາມຊັບຊ້ອນຫຼາຍຂຶ້ນແລະຄວາມຂັດແຍ້ງຂອງຢູເຄລນໄດ້ເພີ່ມທະວີການໂຈມຕີໃນລະບົບ OT, ພວກຄົນບໍ່ດີນັບມື້ນັບຫຼາຍຂຶ້ນແລະໄດ້ຮັບການນໍາໃຊ້ການໂຈມຕີປະເພດເຫຼົ່ານີ້. ຄໍາຖາມທີ່ແທ້ຈິງສໍາລັບຜູ້ຊ່ຽວຊານດ້ານ cyber ໃນປັດຈຸບັນແມ່ນ "ພວກເຂົາຈະປັບຕົວໄດ້ໄວກວ່າທີ່ພວກເຮົາສາມາດພັດທະນາໄດ້ບໍ?”

ຊ່ອງຫວ່າງຄວາມຮູ້ຄວາມເປັນຜູ້ນໍາ

ໃນຄວາມຄິດເຫັນຂອງ Bramson, ຜູ້ຕັດສິນໃຈໃນລະດັບຄະນະກໍາມະການຍັງບໍ່ທັນມີຮູບແບບການຈັດຕັ້ງສໍາລັບການແກ້ໄຂບັນຫາຄວາມກັງວົນເຫຼົ່ານີ້. ພວກເຂົາຍັງຊອກຫາຜູ້ທີ່ຮັບຜິດຊອບຕໍ່ໂຄງສ້າງຄວາມປອດໄພຂອງສະພາບແວດລ້ອມດ້ານເຕັກໂນໂລຢີການດໍາເນີນງານ (OT) ຂອງອົງການຈັດຕັ້ງຂອງພວກເຂົາ. ນີ້ແມ່ນເນື່ອງມາຈາກການຂາດຄວາມຮູ້ກ່ຽວກັບວິທີການທີ່ທີມງານເຕັກໂນໂລຊີຂໍ້ມູນຂ່າວສານ (IT) ແລະ OT ແລະນະໂຍບາຍປະຕິສໍາພັນໃນອົງການຈັດຕັ້ງຂອງເຂົາເຈົ້າ. ຄວາມເຂົ້າໃຈຜິດນີ້ເຮັດໃຫ້ມັນຍາກທີ່ຈະກໍານົດວ່າໃຜເປັນຜູ້ຮັບຜິດຊອບສໍາລັບແຕ່ລະພື້ນທີ່, ໃຜຄວນຮັບຜິດຊອບຕໍ່ຄວາມຜິດພາດ, ແລະວິທີການເຮັດວຽກຂອງໂຄງສ້າງ.

ເຖິງແມ່ນວ່າທັງຜູ້ຊ່ຽວຊານດ້ານ IT ແລະ OT ມີສ່ວນຮ່ວມໃນຄວາມປອດໄພ, ບົດບາດຂອງພວກເຂົາແຕກຕ່າງກັນ. ໃນຂະນະທີ່ທີມງານ IT ສຸມໃສ່ການຄວບຄຸມຂໍ້ມູນໂດຍອີງໃສ່ນະໂຍບາຍຄວາມປອດໄພຂໍ້ມູນ (ຄວາມຫນ້າເຊື່ອຖື, ຄວາມຊື່ສັດ, ແລະຄວາມພ້ອມ) ແລະການປ້ອງກັນການລະເມີດຂໍ້ມູນ, ທີມງານ OT ມີຄວາມຮັບຜິດຊອບຕໍ່ຄວາມປອດໄພຂອງຂໍ້ມູນ. ທາງດ້ານຮ່າງກາຍ ຄວບ​ຄຸມ​ສິ່ງ​ແວດ​ລ້ອມ. ເຂົາເຈົ້າໄດ້ຖືກມອບໝາຍໃຫ້ຮັບປະກັນວ່າການປະຕິບັດງານຍັງຄົງມີການເຄື່ອນໄຫວ ແລະ ບໍ່ມີການປະນີປະນອມ.

ການລະເມີດເຄືອຂ່າຍ OT ສາມາດສົ່ງຜົນກະທົບຕໍ່ໂຄງສ້າງພື້ນຖານທີ່ສໍາຄັນ, ລົບກວນການບໍລິການສາທາລະນະ, ຜົນກະທົບຕໍ່ເສດຖະກິດໂລກ, ແລະເຮັດໃຫ້ຊີວິດຂອງມະນຸດມີຄວາມສ່ຽງ. ອັນນີ້ກາຍເປັນສິ່ງທ້າທາຍໃນເວລາທີ່ເນັ້ນໃສ່ IT - ແລະຜູ້ນໍາລະດັບຄະນະກໍາມະການມັກຈະບໍ່ມີຄວາມເຂົ້າໃຈຢ່າງຈະແຈ້ງກ່ຽວກັບ nuance ນີ້.

ການແປ OT ແລະຄວາມສ່ຽງດ້ານ IT ສໍາລັບຄະນະ

ວິທີການຂອງ Bramson ໃນເວລາອະທິບາຍຄວາມສ່ຽງເຫຼົ່ານີ້ຕໍ່ສະມາຊິກສະພາແມ່ນການເວົ້າພາສາຂອງພວກເຂົາ. ລາວອະທິບາຍວ່າ "ເມື່ອຜູ້ ນຳ cyber ໄປຫາກະດານ, ພວກເຂົາໃຫ້ຂໍ້ມູນດ້ານວິຊາການຫຼາຍ," ລາວອະທິບາຍ. "ແລະມັນເປັນຂໍ້ມູນທີ່ຄະນະກໍາມະການບໍ່ເຂົ້າໃຈ."

ແທນທີ່ຈະ, ລາວແນະນໍາ CISOs ແລະຜູ້ຊ່ຽວຊານດ້ານ cyber ອື່ນໆ:

• ອະ ທິ ບາຍ ແນວ ຄວາມ ຄິດ cyber ເປັນ ທີ່ ເຂົາ ເຈົ້າ ຈະ ເປັນ layman. ສໍາລັບຕົວຢ່າງ, ໃນດ້ານ OT, ພວກເຂົາຄວນຈະເຮັດໃຫ້ມັນຊັດເຈນວ່າໄພຂົ່ມຂູ່ຕໍ່ OT ບໍ່ພຽງແຕ່ກ່ຽວກັບການລັກຂໍ້ມູນ. ໃນ​ກໍ​ລະ​ນີ​ດັ່ງ​ກ່າວ​, ພວກ​ຄົນ​ບໍ່​ດີ​ໄດ້​ພະ​ຍາ​ຍາມ​ລົບ​ກວນ​ການ​ດໍາ​ເນີນ​ງານ​ທີ່​ສາ​ມາດ​ມີ​ຜົນ​ກະ​ທົບ​ຢ່າງ​ຊັດ​ເຈນ​ຕໍ່​ຄວາມ​ປອດ​ໄພ​ທາງ​ດ້ານ​ຮ່າງ​ກາຍ​ຂອງ​ສະ​ຖານ​ທີ່​ແລະ​ຄວາມ​ປອດ​ໄພ​ຂອງ​ພະ​ນັກ​ງານ​ແລະ​ສະ​ມາ​ຊິກ​ຂອງ​ຊຸມ​ຊົນ​ຢ່າງ​ຫຼວງ​ຫຼາຍ​.
• ສະແດງໃຫ້ເຫັນຜົນກະທົບຕໍ່ລາຍໄດ້ຂອງບໍລິສັດແລະຄວາມສ່ຽງຕໍ່ທຸລະກິດ. ຕົວຢ່າງ, ຜູ້ນໍາທາງອິນເຕີເນັດຢູ່ສະຖານີພະລັງງານຕ້ອງການເນັ້ນຫນັກວ່າການໂຈມຕີທາງອິນເຕີເນັດສາມາດສົ່ງຜົນກະທົບຕໍ່ຄວາມສາມາດຂອງສະຖານທີ່ສ້າງພະລັງງານແລະແຈກຢາຍມັນຢ່າງປອດໄພໄດ້ແນວໃດ.
• ສະແດງໃຫ້ເຫັນສິ່ງທີ່ເຂົາເຈົ້າກໍາລັງເຮັດເພື່ອກວດພົບແລະຕອບສະຫນອງຕໍ່ເຫດການ. ບອກໃຫ້ຮູ້ວິທີການກະທຳ ແລະນະໂຍບາຍເຫຼົ່ານັ້ນສາມາດຫຼຸດຜ່ອນຜົນກະທົບຂອງການໂຈມຕີ.

ໃກ້ກັບຄະນະ

Bramson ເຊື່ອວ່າວິທີການທີ່ດີທີ່ສຸດທີ່ຈະເຈລະຈາກັບຄະນະກໍາມະການແມ່ນເພື່ອຮັກສາມັນງ່າຍດາຍ. ລາວແນະນໍາໃຫ້ເລີ່ມຕົ້ນໂດຍການວາງຂອບການສົນທະນາປະມານຄໍາຖາມພື້ນຖານເຫຼົ່ານີ້:

1. ເຮົາ​ຮູ້​ບໍ​ວ່າ​ເຮົາ​ຕ້ອງ​ປົກ​ປ້ອງ​ຫຍັງ?
2. ພວກເຮົາຮູ້ບໍ່ວ່າຂຸມຢູ່ໃສ? ພວກເຮົາຮູ້ບໍວ່ານັກສະແດງທີ່ບໍ່ດີສາມາດເຂົ້າໄປໃນ?
3. ພວກເຮົາສາມາດເຫັນໄດ້ວ່າມີຜູ້ໃດລະເມີດລະບົບບໍ?
4. ພວກເຮົາມີແຜນການທີ່ຈະເອົາຄົນທີ່ລະເມີດລະບົບອອກຈາກມັນບໍ?

ອີງຕາມການ Bramson: "ການວາງບັນຫາເຂົ້າໄປໃນຄໍາທີ່ງ່າຍດາຍເຫຼົ່ານີ້ສາມາດຊ່ວຍໃຫ້ຜູ້ນໍາລະດັບຄະນະກໍາມະການເຂົ້າໃຈວ່າຄໍາຖາມທີ່ຖືກຕ້ອງແມ່ນຫຍັງ, ເພື່ອໃຫ້ຜູ້ຊ່ຽວຊານດ້ານອິນເຕີເນັດສາມາດຂັບລົດການສົນທະນາທີ່ຖືກຕ້ອງ."