Η Σιγκαπούρη ενημέρωσε το σχέδιο κυβερνοασφάλειας της επιχειρησιακής τεχνολογίας (OT), εστιάζοντας στη βελτιωμένη ανταλλαγή δεδομένων, τις πολιτικές και τις διαδικασίες και την εκπαίδευση δεξιοτήτων. Έχει επίσης επεκταθεί για να περιλαμβάνει μη κρίσιμες υποδομές, σύμφωνα με την Υπηρεσία Ασφάλειας στον Κυβερνοχώρο (CSA).
Επίσης: AI Narrative Attacks – A Growing Threat: 3 Defense Strategies for Business Leaders
Το Γενικό Σχέδιο Ασφάλειας OT, το οποίο κυκλοφόρησε για πρώτη φορά το 2019, έπρεπε να ενημερωθεί για να συμβαδίσει με ένα τοπίο απειλών που άλλαξε σε εύρος, πολυπλοκότητα και συχνότητα, δήλωσε η CSA. Καθώς τα ψηφιακά εργαλεία και η συνδεσιμότητα έχουν πλέον υιοθετηθεί ευρέως, η ανθεκτικότητα στον κυβερνοχώρο είναι απαραίτητη για τομείς που δεν ανήκουν στο CII (κρίσιμης σημασίας υποδομή πληροφοριών) και όλοι οι οργανισμοί πρέπει να σκεφτούν τις αρχές της «ασφάλειας μέσω ανάπτυξης».
«Το τοπίο του OT στον κυβερνοχώρο γίνεται ολοένα και πιο επικίνδυνο λόγω των εξελισσόμενων τακτικών και στρατηγικών των παραγόντων απειλών», ανέφερε η CSA.
Το έγγραφο αναφέρει επίσης ότι το επικαιροποιημένο γενικό σχέδιο στοχεύει στην αντιμετώπιση απειλών που στοχεύουν συστήματα OT εν μέσω γεωπολιτικών και τεχνολογικών αλλαγών, συμπεριλαμβανομένης μιας σημαντικής αύξησης των επιθέσεων hacktivism που στοχεύουν περιουσιακά στοιχεία OT των «αδέσμευτων χωρών», καθώς και την ενσωμάτωση τεχνολογιών όπως το edge υπολογιστών και του Διαδικτύου των Πραγμάτων (IoT), που έχουν αυξήσει την επιφάνεια επίθεσης των συστημάτων OT.
Επίσης: Καθώς αυξάνεται η χρήση συσκευών IoT, αυξάνονται και οι κίνδυνοι ασφαλείας που συνδέονται με αυτές.
Η CSA είπε ότι το γενικό σχέδιο είχε αναθεωρηθεί σε διαβούλευση με τους ενδιαφερόμενους για την ασφάλεια στην εργασία, τις κυβερνητικές υπηρεσίες, τη βιομηχανία και τον ακαδημαϊκό κόσμο.
Το Γενικό Σχέδιο του 2019 περιελάμβανε έναν κατάλογο υποχρεωτικών μέτρων κυβερνοασφάλειας για συστήματα OT και ασκήσεις κυβερνοάμυνας, με αποτέλεσμα τη δημιουργία του Κέντρου Διαμοιρασμού και Ανάλυσης Πληροφοριών OT Cybersecurity για τη διευκόλυνση της ανταλλαγής πληροφοριών και τη διευκόλυνση της απόκρισης σε απειλές OT στον κυβερνοχώρο.
Η ενημέρωση του 2024 περιλαμβάνει πρωτοβουλίες για τη βελτίωση της ανθεκτικότητας στον κυβερνοχώρο και τη «διαμόρφωση της συμπεριφοράς του οργανισμού OT» μέσω νέων πολιτικών και εκπαίδευσης για τη διασφάλιση ταχείας απόκρισης σε απειλές, ανακοίνωσε η CSA. Αυτά περιλαμβάνουν σχέδια για τη δημιουργία ενός πλαισίου για την ανάπτυξη τοπικού εργατικού δυναμικού και επαγγελματικής ικανότητας στον τομέα της κυβερνοασφάλειας μέσω συνεργασιών με ιδρύματα τριτοβάθμιας εκπαίδευσης για την ενσωμάτωση του προγράμματος σπουδών ΟΤ για την κυβερνοασφάλεια σε μαθήματα πληροφορικής και μηχανικής.
Το ενημερωμένο έργο θα εξορθολογίσει επίσης την κοινή χρήση δεδομένων και την αναφορά, γεγονός που θα ενισχύσει την επίγνωση της κατάστασης στον κυβερνοχώρο της Σιγκαπούρης και θα προστατεύσει καλύτερα τις CII και τις βασικές υποδομές OT.
Επίσης: Η Σιγκαπούρη ενημερώνει τη νομοθεσία για την κυβερνοασφάλεια για να επεκτείνει τη ρυθμιστική εποπτεία
Επιπλέον, η CSA εξήγησε ότι αυτές οι πρωτοβουλίες θα βοηθήσουν στον εξορθολογισμό των διαδικασιών για την επιτάχυνση της ανταλλαγής πληροφοριών και την εμβάθυνση της συνεργασίας με το OT Clearinghouse και τις ρυθμιστικές αρχές του κλάδου. Καθώς η αρχή ασφαλείας αρχίζει να αξιολογεί μηχανισμούς για την υποστήριξη της αναφοράς περιστατικών, παρακινώντας τελικά τους οργανισμούς να εντείνουν και να αναφέρουν τέτοιες δραστηριότητες.
Αναπτύσσει επίσης ένα μοντέλο βάσει δεδομένων για τη βελτίωση της ορατότητας σε ολόκληρη την αλυσίδα εφοδιασμού, το οποίο επηρεάζει τόσο τους τομείς CII όσο και τους μη CII. Ο στόχος εδώ είναι να παρέχουμε ακριβή και ενημερωμένα δεδομένα και ανάλυση κινδύνου προμηθευτή, δήλωσε η CSA.
«Οι κίνδυνοι στον κυβερνοχώρο είναι ευρέως διαδεδομένοι και επηρεάζουν το CII και άλλα κρίσιμα συστήματα OT μέσω των κινδύνων εξάρτησης ή εφοδιαστικής αλυσίδας», λέει. Η πλατφόρμα δεδομένων θα βελτιώσει την ορατότητα της CSA και την παρακολούθηση των κινδύνων για την ασφάλεια στον κυβερνοχώρο που αντιμετωπίζουν οι υποδομές OT. Η ρυθμιστική αρχή μπορεί στη συνέχεια να εκδώσει ειδοποιήσεις και συστάσεις για να καθοδηγήσει αυτούς τους τομείς σχετικά με τα απαραίτητα μέτρα αποκατάστασης ή μετριασμού, εξήγησε η CSA.
Το Master Plan 2024 στοχεύει στην εφαρμογή θεμελιωδών αρχών ανάπτυξης που είναι ενσωματωμένες στα θεμέλια της ασφάλειας, αντί να περιλαμβάνονται ως εκ των υστέρων.
Επίσης: Σύμφωνα με αναλυτές, το μεγαλύτερο πρόβλημα που σχετίζεται με την αύξηση των επιθέσεων στον κυβερνοχώρο είναι
«Η υιοθέτηση αρχών ασφαλείας κατά τη φάση ανάπτυξης είναι κρίσιμη για τη διασφάλιση της ασφαλούς διαχείρισης του κύκλου ζωής των συστημάτων OT καθ’ όλη τη διάρκεια του κύκλου ζωής, από το σχεδιασμό προϊόντων, την ανάπτυξη και τη συντήρηση, με τη συμμετοχή πολλών ενδιαφερόμενων μερών, από κατασκευαστές αρχικού εξοπλισμού (OEM) και ενοποιητές συστημάτων έως ιδιοκτήτες περιουσιακών στοιχείων.» είπε η CSA.
Οι OEM, για παράδειγμα, πρέπει να διασφαλίσουν ότι τα προϊόντα τους ενσωματώνουν τις βέλτιστες πρακτικές του κλάδου για τον μετριασμό των απειλών στον κυβερνοχώρο καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Πρέπει επίσης να διασφαλίζουν ότι τα προϊόντα τους είναι ασφαλή από προεπιλογή και να λαμβάνουν υπόψη την πολυπλοκότητα και το κόστος της προστασίας των χρηστών.
Η CSA πρόσθεσε ότι 14 OEM και πάροχοι λύσεων κυβερνοασφάλειας, συμπεριλαμβανομένων των Honeywell, Schneider Electric, Siemens Energy, ST Engineering, Yokogawa Engineering Asia, Check Point Software Technologies και Fortinet, έχουν δεσμευτεί να υιοθετήσουν αρχές ασφαλείας κατά τη φάση ανάπτυξης.
Η CSA αναφέρει επίσης ότι βρίσκονται σε εξέλιξη σχέδια για τη δημιουργία ενός Κέντρου Αριστείας για την Κυβερνοασφάλεια ΟΤ, το οποίο θα διευκολύνει την έρευνα νέων τεχνολογιών κυβερνοασφάλειας ΟΤ και την ανάπτυξη εργαλείων για την αντιμετώπιση των προκλήσεων του κλάδου που σχετίζονται με τον αντίκτυπό τους στις επιχειρηματικές δραστηριότητες.
Επίσης: Η τεχνητή νοημοσύνη αλλάζει την ασφάλεια στον κυβερνοχώρο και οι εταιρείες πρέπει να ξυπνήσουν με την απειλή
«Από το περιστατικό Stuxnet του 2010, την επίθεση EKANS το 2020 στη Honda, μέχρι την ανακάλυψη της εργαλειοθήκης κακόβουλου λογισμικού Pipedream το 2022, είναι σαφές ότι οι απειλές για το περιβάλλον OT μας είναι πραγματικές και γίνονται πιο περίπλοκες και σκόπιμες», δήλωσε ο David Koch, Διευθύνων Σύμβουλος. Διευθυντής της CSA και Επίτροπος Κυβερνοασφάλειας της Σιγκαπούρης. «Επιτυχημένος συμβιβασμός [OT] Τα συστήματα στα οποία βασιζόμαστε για την παροχή βασικών υπηρεσιών θα θέσουν σε κίνδυνο την εθνική μας ασφάλεια, τη δημόσια και περιβαλλοντική ασφάλεια, την οικονομία και τον τρόπο ζωής μας. Το διακύβευμα είναι πολύ υψηλό για να αγνοηθεί και πρέπει να προχωρήσουμε και να κάνουμε περισσότερα».
«Η αυξανόμενη σύγκλιση μεταξύ συστημάτων IT και OT επεκτείνει επίσης την επιφάνεια επίθεσης και δημιουργεί νέους κινδύνους που πρέπει να μετριαστούν», είπε ο Koch, επαναλαμβάνοντας την ανάγκη για μεγαλύτερη εκπαίδευση και αυξημένη ανθεκτικότητα των συστημάτων OT στην κυβερνοασφάλεια μέσω της υιοθέτησης βέλτιστων πρακτικών για την ασφάλεια στον κυβερνοχώρο.
