Útmutató az új kritikus infrastruktúrák kiberbiztonságához
A Black & Veatch, a Takepoint Research-szel együttműködve készült jelentése bemutatja, hogy miért elengedhetetlen a secure by design a modern beruházási projektekhez, és hogyan vezethet a megvalósítás késedelme jelentős hosszú távú működési és pénzügyi kockázatokhoz. A legfontosabb megállapítás nem technológiai, hanem szervezeti jellegű, a kiberbiztonság késői bevezetése mögött elsősorban fragmentált felelősségi struktúra áll. A válaszadók 68%-a jelölte meg a nem egyértelmű felelősségi köröket, míg 57% az asset owner és a kivitelező mérnöki szereplők közötti koordináció hiányát. Ez a széttagolt irányítási modell azt eredményezi, hogy a biztonsági döntések nem a tervezési szakaszban, hanem utólag, már működő rendszereken jelennek meg.
A gyakorlatban ez egy execution gap-ként jelenik meg, a szervezetek 72%-a csak későn vagy egyáltalán nem integrálja a kiberbiztonságot a beruházási projektekbe. Ennek következménye a költséges utólagos módosítás, valamint az, hogy az üzemeltetési csapatok öröklik a beépített kockázatokat. A rendszerarchitektúra, hálózati kapcsolatok és OT/ICS komponensek biztonsági paraméterei ugyanis már a korai fázisokban eldőlnek, később csak korlátozottan módosíthatók.
A kutatás rámutat arra is, hogy a secure by design nem biztonsági kérdésként bukik el, hanem ösztönzési és governance problémaként. A különböző szereplők eltérő prioritások mentén működnek, és a kiberbiztonság gyakran nem illeszkedik ezekhez azonnali üzleti driverként. Emiatt a biztonság háttérbe szorul a projekt korai szakaszaiban, noha a későbbi működés során jelentős kockázatcsökkentő hatása lenne.
A tanulmány szerint a korai integráció egyértelmű operatív előnyökkel jár, a válaszadók 78%-a csökkentett leállási kockázattal, 61% pedig alacsonyabb teljes életciklus költséggel köti össze. Ennek ellenére a jelenlegi modell reaktív marad, ahol a biztonságot utólag ráépítik a már kialakított rendszerekre.
