Οι συστάσεις του ENISA για την πιστοποίηση των επαγγελματιών ICS/SCADA

Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) δημοσιεύει μια νέα μελέτη, η οποία εξετάζει τις προκλήσεις και παρέχει συστάσεις, με στόχο την ανάπτυξη συστημάτων πιστοποίησης δεξιοτήτων των εμπειρογνωμόνων ασφάλειας στον κυβερνοχώρο.Ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) δημοσιεύει μια νέα μελέτη, η οποία εξετάζει τις προκλήσεις και παρέχει συστάσεις, με στόχο την ανάπτυξη συστημάτων πιστοποίησης δεξιοτήτων των εμπειρογνωμόνων ασφάλειας στον κυβερνοχώρο, οι οποίοι ασχολούνται με τα βιομηχανικά συστήματα ελέγχου (ICS) και τα συστήματα εποπτικού έλεγχου και απόκτησης δεδομένων (SCADA) στην Ευρώπη.

Μια διαδικτυακή έρευνα και συνεντεύξεις με εμπειρογνώμονες από κράτη μέλη της ΕΕ και όλο τον κόσμο, αναλύουν το πώς οι τρέχουσες πρωτοβουλίες για την πιστοποίηση των επαγγελματικών δεξιοτήτων σχετίζονται με το θέμα της ασφάλειας των συστημάτων ICS/SCADA στον κυβερνοχώρο. Η σύγκλιση της Τεχνολογίας επιχειρησιακής λειτουργίας (ΤΕ) για τις βιομηχανικές διαδικασίες και της Τεχνολογίας πληροφοριών (ΤΠ) δημιουργεί την ανάγκη για ασφάλεια των συστημάτων ICS/SCADA, αλλά και για επαγγελματίες με τα κατάλληλα προσόντα. Επί του παρόντος, υπάρχει περιορισμένη επίγνωση των διαθέσιμων προγραμμάτων πιστοποίησης στον τομέα, γεγονός που

έχει ως αποτέλεσμα μικρό αριθμό επαγγελματιών με τα κατάλληλα προσόντα.

Η πολυπλοκότητα των συστημάτων ICS/SCADA έγκειται κυρίως στο διεπιστημονικό χαρακτήρα τους (ασφάλεια στον κυβερνοχώρο, επιχειρησιακή λειτουργία και τεχνολογία των πληροφοριών) και στο ευρύ φάσμα τομέων που χρησιμοποιούν βιομηχανικά συστήματα (όπως αυτοματισμός, ενέργεια, χημικά, φαρμακευτικά προϊόντα, κ.λπ.). Ως εκ τούτου, τα συστήματα ICS/SCADA παρουσιάζουν διαφορές ως προς τις διαδικασίες τους, τις επιχειρησιακές λειτουργίες και τις συνέπειές τους. Μια βασική πρόκληση των τρεχόντων συστημάτων πιστοποίησης είναι η διαχείριση της σύγκλισης της ασφάλειας στον κυβερνοχώρο και της τεχνολογίας επιχειρησιακής λειτουργίας. Μια δεύτερη

είναι η πολυπλοκότητα των διαφορετικών και πολυεπίπεδων επαγγελματικών προφίλ και ρόλων από λειτουργική άποψη. Επιπλέον, είναι αναγκαίο να ενισχυθούν η σημασία, η αξιοπιστία και η δύναμη των μελλοντικών πιστοποιήσεων για την ασφάλεια των συστημάτων ICS/SCADA στον κυβερνοχώρο, λαμβάνοντας την υποστήριξη επαγγελματικών ενώσεων.

Η έκθεση προτείνει μια σειρά από συστάσεις για εναρμόνιση της πιστοποίησης των δεξιοτήτων για τους επαγγελματίες ICS/SCADA στην Ευρώπη. Οι συστάσεις αυτές είναι σημαντικές τόσο για το δημόσιο όσο και για τον ιδιωτικό τομέα σε ολόκληρη την ΕΕ:

• μια ανεξάρτητη οργανωτική επιτροπή θα πρέπει να αξιολογήσει τα τρέχοντα παγκόσμια ή εθνικά συστήματα πιστοποίησης και να προσδιορίσει ένα ευρωπαϊκό σύστημα πιστοποίησης ασφάλειας στον κυβερνοχώρο για τους επαγγελματίες ICS/SCADA. Αυτό είναι σημαντικό προκειμένου να επιτευχθεί ο βαθμός μετρηθείσας γνώσης που μπορεί να εφαρμοστεί στις βιομηχανικές επιχειρησιακές λειτουργίες.

• οι πιστοποιήσεις θα πρέπει να είναι πολυεπίπεδες για να καλύπτουν ευρύ φάσμα επαγγελματιών από διαφορετικούς τομείς πρακτικής, συμπεριλαμβανομένων θεμάτων επιχειρησιακής λειτουργίας και διαχείρισης, καθώς και των πρακτικών πτυχών.

• θα πρέπει να καθιερωθεί σύστημα πιστοποίησης με περιεχόμενο διοίκησης. Αυτό θα προσέθετε αξία, διασφαλίζοντας ότι τα διοικητικά στελέχη διαθέτουν τα κατάλληλα προσόντα για να λάβουν σωστές αποφάσεις σε κρίσιμες καταστάσεις.

• θα πρέπει να αναπτυχθεί περιβάλλον προσομοίωσης τόσο για σκοπούς κατάρτισης όσο και για τη δοκιμή των πρακτικών δεξιοτήτων.

Ο εκτελεστικός διευθυντής του ENISA δήλωσε: «Η ασφάλεια των συστημάτων ICS/SCADA στον κυβερνοχώρο αποτελεί κεντρικό κομμάτι πολλών βιομηχανικών διαδικασιών και αναπτυσσόμενο τομέα που θα παρουσιάσει εμπορικές και βιομηχανικές ευκαιρίες. Τα εξειδικευμένα συστήματα πιστοποίησης των δεξιοτήτων των εμπειρογνωμόνων της ασφάλειας στον κυβερνοχώρο που ασχολούνται με τα συστήματα ICS/SCADA θα ήταν επωφελή για τους τομείς και υποτομείς της βιομηχανίας, καθώς επίσης σημαντικά για τη διασφάλιση του επιπέδου ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ευρώπη».