A kritikus infrastruktúrák biztonsága egyre többször kerül a figyelem középpontjába. Ez persze nem csoda, hiszen amennyiben egy-egy ilyen rendszer károsodik, akkor annak nagyon komoly következményei lehetnek. Márpedig biztonsági incidensek, adatszivárgások sokszor jóval könnyebben bekövetkezhetnek, mint azt gondolnánk. Elég, ha csak a Wikileaks-re és a nyilvánosságra került, bizalmas dokumentumokra gondolunk.
Jon Oltsik, az Enterprise Strategy Group elemzője egy tanulmányt készített, amely egy meglehetősen kiterjedt felmérésre épül. A szakember által felügyelt kutatómunka során a kutatók 285 olyan szervezetet kérdeztek a biztonságról, amelyek kritikus infrastruktúrákat üzemeltetnek. A felmérés során különös hangsúlyt kaptak azok a kérdések, amelyek a beszállítókkal kapcsolatos védelmi teendőkkel voltak összefüggésbe hozhatók. Kiderült, hogy ezen a téren komoly hiányosságok figyelhetők meg.
A válaszadóknak mindössze a 26 százaléka nyilatkozott úgy, hogy pontosan tisztában van az ellátási láncok biztonságával, a kiterjesztett kockázatmenedzsment gyakorlatával, és a külső partnerek védelmi szempontból történő kezelésével. (Ezúttal beszállítók közé sorolandók az IT-eszközöket, szolgáltatásokat és üzleti alkalmazásokat biztosító partnerek is.) Ráadásul mindössze a 10 százalékuk követi azokat a kipróbált és bevált módszereket, amelyek révén megfelelő módon lehet auditálni a beszállítók biztonsági folyamatait. A legtöbb esetben az auditok véletlenszerűen történnek, és néha ezek eredménye nincs is hatással az IT-beszerzésekre.
Lazábban ellenőrzött szolgáltatók
A felmérés rávilágított arra, hogy a kritikus infrastruktúrákat üzemeltető szervezetek körében gyakran csak az IT-beszállítók kerülnek valamivel alaposabban szemrevételezésre, miközben a professzionális szolgáltatásokat nyújtó vállalatok felülvizsgálata háttérbe szorul. Jon Oltsik szerint ez további kockázatokat jelent. "Egy szolgáltatótól érkező személy logikai bombákat helyezhet el, szándékosan rossz konfigurációkat hagyhat maga után, USB-s adathordozókat csatlakoztathat, és kártékony programokat juttathat be az informatikai rendszerekbe" - mondta a szakember. Majd megemlítette, hogy például az ipari környezetekben fejtörést okozó Stuxnet féreg ilyen módon is bekerülhet egy infrastruktúrába.
"Ijesztő, hogy bizonyos kritikus infrastruktúrákat fenntartó szervezeteknek nincs koncepciójuk a beszállítói láncok biztonságának megteremtésére. Manapság a legtöbb hardver és szoftver fejlesztése az Egyesült Államokon kívül történik. Aggodalomra adhat okot, hogy az IT-termékekbe esetleg hátsó kapuk és különféle kártékony kódok lapulhatnak, amelyek rombolásokhoz, támadásokhoz vezethetnek. Eközben pedig a szervezetek a határvédelemre koncentrálnak, és még mindig csak alapvető biztonsági eszközöket használnak" - vélekedett Jeff Bardin, az XA Systems biztonsági stratégiájáért felelős vezetője.
Már eddig is sok volt a probléma
A felmérésben résztvevő szervezetek jelentős részének már el kellett könyvelnie károkat okozó támadásokat. A megkérdezettek 68 százaléka elismerte, hogy az elmúlt két évben következett be náluk biztonsági incidens. 13 százalékuk pedig a két év során több mint három jelentős támadással volt kénytelen szembenézni.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.