U.S. Government Accountability Office (GAO)

Wichtige Empfehlungen aus dem “GAO Critical Infrastructure Report on IoT”

Operational Technology, OT, OT-Sicherheit, OT Security, Industrie, IoT, IIoT

Cybersicherheitsbedrohungen für kritische Infrastrukturen (OT) und das Internet der Dinge (IoT) stellen eine sehr reale Herausforderung für die nationale Sicherheit der USA dar. Welche Schlüsselempfehlungen sollten im Lichte des jüngsten Berichts des GAO gezogen werden?

Das U.S. Government Accountability Office (GAO) dient als „Wachhund“ des US-Kongresses und bietet Prüfungs-, Bewertungs- und Untersuchungsdienste für den Kongress. Im Dezember 2022 veröffentlichte das GAO seinen Bericht Critical Infrastructure: Actions Needed to Better Secure Internet-Connected Devices. Der GAO-Bericht beschreibt die Defizite der Regierungsbehörden bei der Durchführung von Bewertungen zur Minderung von Cybersicherheitsrisiken, die für Geräte und Systeme der Betriebstechnologie (OT) und des Internets der Dinge (IoT) bestehen.

Anzeige

Dave Cullen, Field CTO beim OT-Sicherheitsexperten OTORIO, geht dem Report auf den Grund und spricht Empfehlungen für deutlich verbesserte OT-Security aus:

Der Bericht des GAO über kritische Infrastrukturen macht insbesondere auf kritische Versäumnisse bei vier Bundesbehörden aufmerksam: Department of Energy (DOE), Department of Health and Human Services (HHS), Department of Homeland Security (DHS) und Department of Transportation (DOT).

Diese Abteilungen konzentrieren sich auf die Bereiche Energie, Gesundheitswesen und Verkehrssysteme. Das GAO kam jedoch zu dem Schluss, dass sie es versäumt haben, Metriken zu entwickeln, um die Effektivität ihrer Bemühungen zu bewerten, und dass sie es versäumt haben, IoT- und OT-Cybersicherheitsrisikobewertungen durchzuführen, was beides bewährte Verfahren sind. „Ohne Versuche, die Effektivität zu messen und die Risiken von IoT und OT zu bewerten, ist der Erfolg von Initiativen zur Risikominderung unbekannt“, heißt es in dem GAO-Bericht.

Im Jahr 2010 veröffentlichte das GAO über 90 Empfehlungen zum Schutz kritischer Infrastrukturen. Im Juni 2022 waren mehr als 50 dieser Empfehlungen noch immer nicht umgesetzt. Von den 14 Empfehlungen, die als vorrangig eingestuft wurden, waren zehn noch nicht umgesetzt worden. Infolgedessen warnt der Überwachungsausschuss des Kongresses davor, dass „Bundesbehörden in ihrer Fähigkeit eingeschränkt sein könnten, den Schutz kritischer Infrastrukturen vor schädlichen Bedrohungen der Cybersicherheit zu gewährleisten.“

Hauptempfehlungen von OTORIO

Kritische Infrastruktursektoren in den USA sind in hohem Maße von elektronischen Systemen abhängig, darunter das industrielle Internet der Dinge (IIoT) und OT-Geräte und -Systeme. In Anbetracht des GAO-Berichts hat OTORIO mehrere wichtige Empfehlungen, um Bundesbehörden und privaten Einrichtungen zu helfen, ihre IoT- und OT-Cybersicherheitsrisiken besser zu verwalten:

1. Laufende Risikobewertungen durchführen

OT/IoT-Betreiber sollten die Gesundheit und Sicherheit ihrer OT-Umgebungen sicherstellen, indem sie Gefahren durch kontinuierliche Risikobewertungen identifizieren. Sie sollten sich ein klares Bild von den Stärken und Schwächen Ihrer OT-Umgebung im Bereich der Cybersicherheit verschaffen, damit sie einen vorausschauenden Plan entwickeln können, indem sie den folgenden Ansatz verfolgen:

  • Legen Sie eine Grundlinie für Ihr OT-Netzwerkdesign, Ihre Anlagen und Ihre Kommunikation fest.
  • Testen Sie Ihre OT-Sicherheit auf Cybersecurity-Penetrationsfähigkeit und nutzen Sie spezifische Playbooks und Empfehlungen, um Ihre OT-Sicherheitslage zu verbessern.
  • Nutzen Sie die Risikobewertungsplattform von OTORIO, um Ihre Anlagen, einen einzelnen Standort oder die Sicherheitslage Ihres gesamten Unternehmens an mehreren Standorten zu prüfen.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

2. Schaffung eines Programms für Cybersicherheit oder Risikomanagement

Da die Risiken für kritische Infrastrukturen weiter zunehmen, können die Behörden mit einer integrierten Sicherheitsstrategie, die über die traditionellen OT-Ansätze hinausgeht, ihre Sicherheitsbemühungen mit der betrieblichen Widerstandsfähigkeit verknüpfen. Alle cyber-physischen Systeme – OT, IoT, IIoT – und die IT sollten in ein gemeinsames Governance-Modell einbezogen werden.

Wenn Sicherheitsdisziplinen (physische Sicherheit, Cybersicherheit und Sicherheit der Lieferkette) durch funktionale Silos getrennt sind, ist es wahrscheinlicher, dass die daraus resultierenden Schwachstellen von Angreifern ausgenutzt werden. Eine einheitliche, umfassende Sicherheitsstrategie für das gesamte Unternehmen ermöglicht es, digitale Sicherheitsbedrohungen zu bewerten, einzugrenzen und schnell und zuverlässig zu beseitigen. Dies ist ein entscheidender Bestandteil dessen, was OTORIO seinen Kunden in den Bereichen kritische Infrastrukturen, industrielle Fertigung und intelligenter Transport bietet. Ein integrierter Ansatz für die OT-Sicherheit ermöglicht es Sicherheitsfachleuten, Risiken kontinuierlich zu mindern und Betriebsumgebungen auf der Grundlage einer einzigen Quelle der Wahrheit zu schützen.

3. Tools und Automatisierung integrieren

OT-Systeme sind auf maximale Leistung und Zuverlässigkeit ausgelegt, doch sie sind ständigen Bedrohungen ausgesetzt und weisen einzigartige Sicherheitsschwachstellen auf. Um diese zu beseitigen, sind die richtigen Tools und Automatisierungen erforderlich. Da sie für industrielle Betriebsabläufe und Prozesse unerlässlich sind, hat der Schutz von OT-Systemen vor Cyberangriffen und unbeabsichtigten Störungen oberste Priorität.

Automatisierte Sicherheitstools können Bedrohungen effektiv erkennen und Teams dabei helfen, Risiken proaktiv zu mindern. Die Automatisierung vereinfacht und rationalisiert Sicherheitsprozesse und ermöglicht es Unternehmen, Schwachstellen effizienter zu erkennen und zu beheben. Eine automatisierte Plattform zur Bewertung von Sicherheits- und Compliance-Risiken trägt dazu bei, dass der laufende Betrieb so weit wie möglich aufrechterhalten wird.

Cullen Dave

OTORIO -

Field CTO

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.