サイバー攻撃のコンテキストにおける重要インフラストラクチャ (KRITIS): すべての保護対策は、新しい IT セキュリティ法 2.0 に準拠していますか? IT セキュリティ法 2.0 により、重要なインフラストラクチャの運用者は大幅に調整されました。
エネルギー、水、金融、健康の分野の生産者や公益企業、および産業企業が、ますます攻撃者の標的になっています。 その結果、数百万ドルに相当する生産損失と供給のボトルネックが発生し、人命を危険にさらすことさえあります。 最近の例には、米国最大のパイプラインへの攻撃、アイルランドの保健当局、クロアチアの変電所での事件があり、ヨーロッパを停電の瀬戸際に追い込みました。
KRITIS 攻撃には対応が必要
Anhalt-Bitterfeld、Schwerin、Witten などのドイツの地方自治体に対するサイバー攻撃は、IT システムの大部分が故障したか、緊急時にシャットダウンしなければならなかったドイツ当局の脆弱性も浮き彫りにしました。 オーストリアで XNUMX 番目に大きい酪農場に対するサイバー攻撃によって、食品生産がどれほど迅速に停止するかが明らかになりました。この攻撃では、生産から物流、通信に至るまで、会社のすべての分野が影響を受けました。
さらに、フロリダ州のオールズマー地下水処理施設への攻撃は、重要なインフラストラクチャのセキュリティ侵害が生命を脅かす可能性があることを示しました。 攻撃者は、水処理プラントを制御するコンピューター システムへの侵入に成功し、コンピューターを遠隔操作して、水供給の化学的バランスを変更しました。
サイバー戦争:交渉相手が行方不明の時
この攻撃数の増加を背景に、重要なインフラストラクチャの運用者や特に経済的に重要な企業は、脅迫の試みだけでなく、サイバー戦争の話題にも対処する必要があります。 サイバー犯罪者が身代金のみを要求する場合、組織は、たとえばランサムウェア攻撃が成功した場合に備えて、少なくとも適切な行動ガイドラインを事前に実装できます。
しかし、サイバー攻撃が純粋に政治的な動機によるものであり、組織が例を示すために敵対国家によってランダムな犠牲者として選ばれただけである場合、交渉相手は存在せず、被害はビジネス能力に大きな影響を与えるだけでなく、社会全体としての次元も持ちます。
デジタル攻撃によるハイブリッド戦
この新しいハイブリッド戦争は、ウクライナとロシアの紛争で明らかです。この紛争では、デジタル攻撃が軍事攻撃に先行しており、今後もそうなる可能性があります。 2015 年には、ロシアは大規模なサイバー攻撃でウクライナの電力網の一部を麻痺させ、冬には 2022 万人のウクライナ人が電力を利用できなくなりました。 戦争が始まる XNUMX か月前の XNUMX 年 XNUMX 月、Microsoft は、ウクライナの政府機関や組織の数十の重要なシステムで、破壊的なワイパー マルウェアを発見しました。 ウクライナ政府によると、これらの攻撃の背後にロシアがいるという明確な兆候があります。 さらに、そのような事件がウクライナの国境をはるかに超えて広がる可能性を排除することはできません. ドイツの治安当局は、特に重要なインフラストラクチャの運用者に対して、サイバー攻撃の可能性に備えて武装するよう、すでに呼びかけています。
したがって、KRITIS 分野では、IT インフラストラクチャと OT インフラストラクチャの両方に一貫した統合セキュリティ コンセプトを実装することが基本的です。エンド ツー エンドのソリューションとして、金銭目的の攻撃だけでなく、製品を含む国家安全保障に関しても同様です。 、プロセス、資格のあるセキュリティ スペシャリストをすべての分野に配置します。
重要インフラの新しい法的枠組み
立法者は、新しいデジタルの課題に対応しています。 その結果、重要なインフラストラクチャの運用者や特定の公益企業は、サイバー脅威の増加だけでなく、ドイツおよび欧州レベルでの法的枠組みの更新により、大きな課題に直面しています。
ドイツの BSI 法によると、エネルギー、健康、情報技術と電気通信、運輸と交通、水、金融と保険、食品の XNUMX つのセクターのいずれかに属し、重要なサービスを提供し、そうすることで、BSI -KRITIS 規制の超過しきい値に準拠します。
2022 年の KRITIS 事業者に対する追加の法的要件
ドイツでは、情報技術システムのセキュリティを強化するための 2021 番目の法律、つまり IT セキュリティ法 2.0 が、BSI 法の補足として XNUMX 年 XNUMX 月に施行されました。 これにより、重要インフラのグループが拡大され、都市廃棄物処理部門が含まれるようになりました。 さらに、兵器メーカーや経済的に特に重要な企業など、いわゆる「特別な公共の利益」にある他の企業も、将来的に特定のITセキュリティ対策を実施する必要があります。
IT セキュリティ法 2.0 は、企業にとって重要な調整をもたらし、場合によっては重要なインフラストラクチャの運用者にも影響を与えました。
重要インフラ事業者は、遅くとも 1 年 2023 月 XNUMX 日までに攻撃検知システムを実装する必要があります。
さらに、オペレーターは、重要なコンポーネントの計画された初期使用について連邦内務省に通知する必要があります。たとえば、製造業者が第三国によって管理されている場合、またはドイツ連邦政府、EU、または NATO のセキュリティ ポリシーの目標に反する場合です。
特別公益企業は、定期的に自己申告書を提出することが義務付けられています。 過去 XNUMX 年間に実施された IT セキュリティ分野の認定と、IT システムがどのように保護されているかを説明する必要があります。
さらに、欧州委員会は、欧州 NIS 指令 (NIS-2) と「重要施設の回復力指令」を改革して、重要な施設とネットワークのデジタルおよび物理的な回復力を向上させる提案を提示しました。 これらの提案の目的は、現在および将来のリスクを最小限に抑えることです。 したがって、これらの欧州ガイドラインの実施により、IT セキュリティ法 2.0 が新たに改訂される可能性があります。
重要なインフラストラクチャの統合保護とはどのようなものですか?
エネルギー、水、健康分野の生産者と供給業者、および IT と制御技術をサイバー攻撃から保護する必要がある産業企業は、IT セキュリティ法 2.0/BSI 法と ISO 27000 に準拠した統合ソリューションを必要としています。情報セキュリティ条件の基準。 したがって、技術面では、攻撃に対する強固なセキュリティ ネットワークを形成するために、次の能力を関連付ける必要があります。
重要なインフラストラクチャを保護するセキュリティ モジュール
- ログデータ分析 (LDA): セキュリティ情報およびイベント管理 (SIEM) とも呼ばれるログ データ分析は、さまざまなソースからのログの収集、分析、および関連付けです。 これにより、セキュリティの問題または潜在的なリスクに関するアラートが発生します。
- 脆弱性管理とコンプライアンス (VMC): 脆弱性管理により、包括的な検出、コンプライアンス チェック、完全なカバレッジのためのテストにより、継続的な内部および外部の脆弱性スキャンが可能になります。 ソフトウェア コンプライアンスの一環として、一連のルールと継続的な分析を使用して、各サーバーまたはサーバー グループのソフトウェアの許可された使用が決定されます。 操作されたソフトウェアはすぐに認識できます。
- ネットワーク状態監視 (OT モジュール): これは、エラーのない操作の中断を示す通信をリアルタイムで報告するために使用されます。 したがって、技術的な過負荷状態、物理的な損傷、構成ミス、およびネットワーク パフォーマンスの低下が即座に認識され、エラーの原因が直接特定されます。
- ネットワーク行動分析 (NBA): ネットワーク動作分析では、署名および動作ベースの検出エンジンに基づいて、危険なマルウェア、異常、およびネットワーク トラフィックのその他のリスクを検出できます。
- エンドポイントの検出と対応: Endpoint Detection and Response は、コンピューター コンピューター (ホスト) 上の異常の分析、監視、および検出を表します。 EDR を使用すると、アクティブな保護アクションと即時のアラートが提供されます。
複雑さのため、これらのモジュールからのセキュリティ関連情報のさらなる処理は、セキュリティの専門家によって実行されます。 自動的に得られた知識を評価し、優先順位を付けます。 これは、適切な対策を開始するための基礎です。 最後に、セキュリティの専門家は、関連する利害関係者 (IT および OT 運用チームだけでなく管理者も含む) がアクセスできるか、理解できるカスタマイズされたレポートを定期的に受け取る中央ポータルで、すべての情報を明確な方法で利用できるようにします。
ヨーロッパのセキュリティ技術
欧州のセキュリティ技術の使用は BSI 法に基づいているわけではありませんが、KRITIS の運営者や企業が特定の公共の利益のために、次の法的要件を簡単に満たすことができるようにすることをお勧めします。
一般データ保護規則の遵守、および IT システムの完全性、信頼性、機密性
KRITIS オペレーターは、他のすべてのセクターの企業と同様に、EU 一般データ保護規則 (GDPR) の要件の対象であり、常にそれらを遵守し、それに応じて保護する必要があります。
さらに、BSI 法 (§ 8a パラグラフ 1 BSIG) は、重要なインフラストラクチャの運用者が、BSI に対して、情報技術システム、コンポーネント、またはプロセスの可用性、完全性、真正性、および機密性の混乱を回避するための予防措置の適切な証拠を提供することを要求しています。それらによって運用される重要なインフラストラクチャの機能に不可欠なものが関連しています。
Radar Cyber Security の CEO 兼ゼネラル マネージャーである Ali Carl Gülerman 氏 (画像: Radar Cyber Security)。
ヨーロッパで開発された独自の技術に基づいたサービスを提供するヨーロッパのセキュリティ プロバイダーでは、最高のデータ保護基準が適用されるため、上記の要件への準拠は簡単に実現できます。 KRITIS 企業は、サイバーセキュリティ プロバイダーの起源に加えて、セキュリティ ソフトウェアのセットアップ方法とセキュリティ データの収集方法にも注意を払う必要があります。 可能な限り最高のデータ セキュリティを確保するために、オンプレミス ソリューションを最も安全な展開形式として設定することをお勧めします。 傾向がますますクラウドに向かっている場合でも、KRITIS の領域での高いデータ機密性を考慮して、これを批判的に見る必要があります。
重要なコンポーネント: 使用されるメーカーの仕様
ヨーロッパのセキュリティ技術を使用することで、§ 9b BSIG に従って、BSI による重要なコンポーネントのテストも容易になります。 たとえば、BSI は、次の場合に重要なコンポーネントの最初の使用を禁止できます。
- 製造業者は、他の政府機関や軍隊を含む第三国の政府によって直接的または間接的に管理されています。
- 製造業者が、ドイツ連邦共和国、欧州連合の他の加盟国、欧州自由貿易連合、北大西洋条約、またはそれらの機関の公序良俗または安全に悪影響を及ぼす活動に関与していた、または関与している。
- 重要なコンポーネントの使用は、ドイツ連邦共和国、欧州連合、または北大西洋条約のセキュリティ ポリシーの目標と一致していません。
KRITIS 組織の基盤となる強力なサイバー レジリエンス
重要なインフラストラクチャへの攻撃は、サイバー犯罪者にとって有利です。 同時に、コミュニティに損害を与える可能性が特に高い可能性があります。
したがって、KRITIS 組織は、BSI および ISO 27000 規格の要件を完全に満たし、同時に欧州の最高のデータ保護規格に準拠する防御手段のセキュリティ プロバイダーを選択することが不可欠です。 前提として、罰金を回避するだけでなく、特に IT および OT システムの効果的かつ持続可能な保護を確保する必要があります。 ただし、攻撃に対する強力なサイバー レジリエンスは、セキュリティ テクノロジだけに基づくものではなく、適切なプロセスと資格のある専門家が常に含まれています。 この製品、プロセス、専門家の 360 者によってのみ、組織のインフラストラクチャ全体を XNUMX 度見渡すことができ、サイバー脅威に対する全体的な早期検出と迅速な対応を確実に行うことができます。
詳細は RadarCS.com をご覧ください
レーダーサイバーセキュリティについて Radar Cyber Security は、独自の Cyber Detection Platform テクノロジーに基づいて、ウィーンの中心部にあるヨーロッパ最大のサイバー防御センターの XNUMX つを運営しています。 人間の専門知識と経験の強力な組み合わせと、XNUMX 年間の研究開発活動による最新の技術開発を組み合わせることで、同社は、製品 RADAR Services と RADAR Solutions の IT および OT セキュリティに関連する課題に対する包括的なソリューションを組み合わせています。