0
0
Apenas 21% das organizações alcançaram a maturidade total de seu programa de segurança cibernética ICS/OT, no qual ameaças emergentes impulsionam ações prioritárias e executivos de nível C e o conselho são regularmente informados sobre o estado de sua segurança OT, revela um relatório do Instituto Ponemon.
À medida que a frequência e a gravidade dos ataques aumentam, as organizações estão lutando para se manter à frente dessas ameaças, de acordo com a pesquisa com 603 profissionais de TI, segurança de TI e segurança OT nos níveis gerencial, diretor e C.
O relatório conclui que 63% das organizações tiveram um incidente de segurança cibernética ICS/OT nos últimos dois anos, e levou em média 316 dias para detectar, investigar e remediar o incidente. A transformação digital e as tendências em IIoT expandiram muito o risco cibernético para o ambiente OT e ICS, de acordo com 61% dos entrevistados que concordam ou concordam fortemente.
O estudo revela uma divisão cultural entre as equipes de TI e TO que afeta a capacidade de proteger tanto a TI quanto o ambiente ICS/OT. Apenas 43% das organizações têm políticas e procedimentos de segurança cibernética alinhados com seus objetivos de segurança ICS e OT.
Trinta e nove por cento têm equipes de TI e TO que trabalham juntas de forma coesa para alcançar uma postura de segurança madura em ambos os ambientes. Apenas 35% têm uma estratégia de segurança unificada que protege os ambientes de TI e TO, apesar da necessidade de controles e prioridades diferentes.
“A maioria das organizações não tem a estrutura de governança de TI/OT necessária para impulsionar uma estratégia de segurança unificada, e isso começa com a falta de experiência em segurança cibernética específica do AT na organização”, disse Steve Applegate, CISO, Dragos.
“Preencher a divisão cultural entre as equipes de TI e TO é um desafio significativo. Mas as organizações não devem cair na armadilha de pensar que o AT pode simplesmente ser preso a um programa de TI existente ou gerenciado sob um guarda-chuva geral de TI. Existem diferenças fundamentais entre os problemas e objetivos de um ambiente de TI corporativo – segurança e proteção de dados – e ambientes industriais, onde a saúde e a segurança humanas, a perda de produção física e o desligamento das instalações são riscos reais. Profunda experiência em domínio, bem como tecnologias específicas do ICS/OT, são necessárias para realmente proteger os sistemas industriais.”
“A maioria dos executivos e conselhos de administração de nível C não está informada sobre a eficiência, eficácia e segurança de seus programas de segurança cibernética ICS/OT”, disse o Dr. Larry Ponemon, Presidente e Fundador do Instituto Ponemon.
“Se o conselho não estiver ciente do impacto que um incidente de segurança cibernética teria no resultado final, garantir a quantidade apropriada de orçamento para programas de TO é muito mais difícil. Como evidenciado pelo relatório, isso decorre de uma falta de propriedade clara para o risco ICS/OT e que relata isso ao conselho entre engenharia, TI e CISOs.”
Principais desafios para a colaboração em TO e TI
Os resultados do relatório sugerem que o mal-entendido entre os grupos, em vez de conflito, é a questão significativa. Apenas 32% citam a concorrência entre TI e AT por dólares orçamentários e novos projetos de segurança e apenas 27% têm dificuldade em convergir equipes de segurança em TI e AT como um programa de segurança em toda a empresa.
- Metade dos entrevistados afirma que as diferenças culturais entre engenheiros, profissionais de segurança e equipe de TI são o principal desafio.
- 44% dizem que há diferenças técnicas problemáticas entre as melhores práticas tradicionais específicas de TI e o que é possível em ambientes OT, como gerenciamento de patches e requisitos exclusivos de fornecedores de equipamentos de automação industrial.
- 43% dos entrevistados dizem que há uma falta clara “propriedade” sobre o risco cibernético industrial e incerteza em torno de quem lidera a iniciativa, implementa os controles e apoia o programa.
Os riscos criados pela divisão cultural entre as equipes de TI e AT
O nível de maturidade em segurança cibernética para o ICS/OT é inadequado para enfrentar os desafios atuais. Apenas 21% dos entrevistados dizem que suas atividades do programa ICS/OT atingiram a maturidade total, onde ameaças emergentes impulsionam ações prioritárias e executivos de nível C e o conselho de administração são regularmente informados sobre o estado de seu programa. Metade das organizações está nos estágios inicial e médio, enquanto os 29% restantes estão no estágio final-médio.
Executivos de nível C e o conselho de administração não são informados regularmente sobre a eficiência, eficácia e segurança do programa. Apenas 35% dos entrevistados dizem que alguém responsável pela segurança cibernética ICS e OT relata iniciativas de TI e segurança cibernética ao conselho de administração. Desses entrevistados, 41% dizem que essa notificação ocorre somente quando ocorre um incidente de segurança.
Muitos gerentes seniores não têm consciência dos riscos e ameaças aos ambientes OT e ICS, resultando em alocação inadequada de recursos para gerenciar riscos. 48% dos entrevistados dizem que suas organizações entendem os riscos cibernéticos exclusivos e têm processos e políticas de segurança específicos para ambientes OT e ICS. Apenas 43% dos entrevistados dizem que a alta administração entende os riscos cibernéticos e fornece recursos suficientes para defender os ambientes OT e ICS.
Relacionamentos de relatórios e responsabilidade pela segurança do TO não estão devidamente estruturados e se tornam dissuasores para investir em TO e ICS. Cinquenta e seis por cento dos entrevistados dizem que a razão para bloquear investimentos é que a segurança do TO é gerenciada pelo departamento de engenharia, que não possui experiência em segurança, e 53% dos entrevistados dizem que a segurança do TO é gerenciada por um departamento de TI sem experiência em engenharia. Apenas 12% dos entrevistados dizem que o CISO é mais responsável pela segurança do programa ICS/OT.
Consequências de um incidente de segurança cibernética do AT
A perda de confiança no sistema foi a consequência número um de um incidente de segurança cibernética, relatado por 54%, seguido por ineficiência sustentada do processo (49%) e perda de disponibilidade de controle (47%). Consequências adicionais incluem:
- Perda de visibilidade no processo físico: 41%
- Perda de receita: 40%
- Perda de confiança do público: 32%
- Falhas de processo catastróficas e não intencionais: 30%
Apesar dos desafios, as organizações estão focadas em fazer investimentos para melhorar a postura de segurança cibernética dos ambientes ICS e OT. Investimentos em áreas que avaliam fraquezas na postura de segurança dos ambientes de TO são a principal prioridade de acordo com 60% dos entrevistados. Contribuir para a postura de segurança é reunir inteligência contra ameaças específicas para sua indústria, dispositivos ICS e OT e geografia (56%), e contratar especialistas em segurança cibernética OT e ICS (49%).
FONTE: HELPNET SECURITY