Egy vállalat ma már nem csak a saját biztonságáért felel

forrás: Prím Online, 2023. február 2. 16:57

Egyre magasabb a vállalatok digitalizációs fejlettségi szintje, ami egyúttal azt is jelenti, hogy egyre jobban ki vannak téve olyan kiberbiztonsági támadásoknak, amelyek érzékeny adataikat veszélyeztethetik. A technológiai megoldásokat nyújtó cégek már jó ideje foglalkoznak nem csak termékfejlesztéseik, de egész ellátási láncuk kiberbiztonságával, amellyel nem csak saját, de ügyfeleik biztonságát is védik, és jó példával járnak elöl a piacon. 

Ma már egy termék fejlesztésénél éppen olyan fontos a funkció és az ergonómia mellett, hogy a termék minden szempontból biztonságos is legyen: ne csak közvetlen környezetét védje egész életciklusa során, hanem adatait is biztonságban tudhassa. Mindez az ipari cégeknél csak az alapja annak a komplex kihívásnak, amely a teljes ellátási láncot érintő adatvédelmet követeli, minden korábbinál jobban. 

 

Amikor 2021-ben a Miami székhelyű Kayesa VSA nevű felhős megoldásán keresztül a REvil kiberbűnözői csoport ransomware-ekkel támadást indított, több ezer nyugat-európai vállalat rendszerét kompromittálta. A nemzetközi kibertámadás ismét rávilágított arra, hogy nincs akadálya az országos, vagy több kontinensre kiterjedő és tömeges támadások indításának. Az eset az ellátási láncok biztonságára irányította a vállalkozások figyelmét mérettől függetlenül, kiváltképp igaz ez az ipari cégekre, ahol egy esetlegesen gyenge védekezési stratégia óriási károkat okozhat egy támadás esetén – ez vált az ipari szektor egyik legaggályosabb területévé.   

 

Az ellátási lánc védelmével kapcsolatos egyik fő kihívás, hogy még ha meg is tesz mindent egy informatikai részleg azért, hogy megvédje a rendszerét a kiberfenyegetések ellen, számolnia kell beszállítóinak informatikai hálózatával is. Éppen ezért fel van adva a lecke a vállalatok számára, hogy ne csak saját rendszerüket, de teljes beszállító hálózatukat biztonságosnak tudják, kiváltképp nagy a felelősségük az ellátási lánc magasabb szintjén álló vállalkozásoknak, amelyek támadása nagyobb nyereséggel kecsegteti rosszindulatú beavatkozókat. 

 

 

Körültekintő megoldások az ellátási láncban

 

A dán autonóm mobil robotokat gyártó MiR (Mobile Industrial Robots) technológiai vállalatként és beszállítóként fontosnak tartja, hogy megfeleljen ennek a kihívásnak. Körültekintően felépített biztonsági rendszere számos ponton védelemi funkciókat épített be folyamataiba, hogy védje magát, ellátási láncát, és ezzel ügyfeleit.

 

A mobil robotok implementálása egy folyamatba komplex feladat, és több belső területet érint. Bár a mobil robotgyártó törekszik rá, hogy ezt minél egyszerűbben kivitelezhetővé tegye, a biztonság ebben az esetben is megkerülhetetlen szempont, hiszen egy nem ellenőrzött termék beépítése például egy gyártó cég infrastruktúrájába a teljes rendszert sebezhetővé teszi. Ezen kockázatok minimalizálása érdekében, ha a MiR harmadik féltől származó rendszert integrál IT-infrastruktúrájába, az összes szoftver komoly ellenőrzésnek van kitéve, hogy ne juthasson be rosszindulatú program a hálózatba. Amikor új szoftver telepítésére vagy frissítésre van szükség – amely kockázatos lehet, ha menet közben a szoftverszolgáltató és IT-infrastruktúra között a szoftver esetleg megváltozik, tehát akár rosszindulatú tartalom is kerülhet bele – digitális aláírással védekezik. Ha a szoftveren a legkisebb változás történik, a digitális aláírás érvénytelen lesz, a rendszer sérülést észlel. A cég IT-infrastruktúráját globálisan vezető biztonsági megoldásszállítókra bízza, amelyek többek között fejlett XDR és SIEM rendszerekkel védik a MiR és ezzel ellátási láncának biztonságát. 

 

 

A termék az alap

 

A legtöbb támadás jellemzően a vállalati infrastruktúrát éri, de elengedhetetlen a termékbiztonságra való fókuszálás is, amivel a beépített eszközök sebezhetősége kiküszöbölhető.

 

Éppen ezért a MiR egy termékbiztonsági programot dolgozott ki, amelynek keretében a termék ötletének megszületésétől kezdve a fejlesztésen, tesztelésen és az ügyfeleknél való telepítésen át egészen az üzemeltetési életciklus végig igyekszik vigyázni termékei és ezzel ügyfelei biztonságára is. Amellett, hogy az automatizálási és vezérlőrendszerek biztonságára vonatkozó IEC 62443 szabványnak megfelelően zajlik a termékfejlesztés, fenyegetésmodellezéssel, biztonságos tervezési és kódolási irányelvek betartásával, illetve automatizált biztonsági szkenneléssel és teszteléssel, valamint külső penetrációs tesztek elvégzésével garantálják a biztonságot. A kockázatfelmérés, illetve a folyamatos biztonsági fejlesztések folyamatos kapcsolattartást követelnek az ügyfelekkel – ahol erre szükség van, a MiR azonnal kiadja a biztonsági javításokat. Annak érdekében, hogy a biztonsági intézkedések javíthatók, reprodukálhatók és eredményesek legyenek, a MiR formalizált biztonsági javítási stratégiát követ minden terméke esetében. 

 

A teljes ellátási lánc kiberbiztonságának megteremtése nem egyszerű feladat már egy középvállalat számára sem, ám a technológiai beszállítók körültekintő biztonsági stratégiája megnyugtató lehet a technológiát alkalmazó cégek számára is.