Gartner: Až tři čtvrtiny CEO budou do roku 2024 osobně odpovědny za incidenty v oblasti kyber-fyzické bezpečnosti
Finanční dopady útoků na kyber-fyzické systémy s fatálními následky v příštích letech porostou. Odpovědnost za tyto incidenty se podle poradenské společnosti Gartner posune z podnikové do osobní roviny a dotkne se až 75 % CEO a generálních ředitelů.
Vzhledem k povaze kyber-fyzických systémů (CPSs, Cyber-Physical Systems) mohou vést útoky a incidenty ke zraněním osob, škodám na majetku nebo environmentálním haváriím. Analytici Gartneru předpovídají, že v nadcházejích letech prudce naroste počet incidentů, které se těchto systémů týkají. Zejména kvůli malému zájmu o jejich bezpečnost a podinvestovanosti ochrany těchto aktiv.
Gartner definuje kyber-fyzické systémy jako ty, které byly navrženy pro koordinaci snímání, výpočtů, ovládání, komunikace a analytiky pro potřeby interakce s fyzickým světem (včetně lidí). Zahrnují tak všechna připojená zařízení v oblasti IT, OT (provoz) a IoT (internet věcí), kde se bezpečnostní aspekty dotýkají kybernetického i fyzického prostředí – například klíčová infrastruktura či klinická prostředí v oblasti zdravotní péče.
„Regulátoři a vlády budou nuceni rychle reagovat na rostoucí počet závažných incidentů souvisejících s neschopností zabezpečit kyber-fyzické systémy, to povede k dramatickému nárůstu pravidel a regulací, které se jich dotýkají,“ vysvětluje Katel Thielemann, viceprezidentka a analytička Gartneru. „V USA již FBI, NSA a CISA (Cybersecurity and Infrastructure Security Agency) zvýšily četnost a podrobnost zpráv o hrozbách týkajících se klíčových infrastrukturních systémů, z nichž většinu provozují soukromé subjekty. Brzy nastane situace, kdy se jejich CEO nebudou moci hájit nevědomostí nebo se ukrýt za pojistné smlouvy.“
Gartner předpovídá, že finanční dopady útoků na kyber-fyzické systémy vedoucí až k obětem na životech, dosáhnou v roce 2023 výše 50 miliard dolarů. I když se nepokusíme vyčíslit hodnotu lidských životů, náklady, jež na organizace dopadnou v podobě kompenzací, soudních sporů, pojištění, regulatorních pokut a ztráty dobrého jména, budou zásadní.
Kyber-fyzické systémy je podle analytiků Gartner potřeba pořádně chránit
„Lídři odpovědní za technologie by měli pomoci CEO pochopit, jaká rizika souvisejí s kyber-fyzickými systémy a proč je nutné věnovat jim pozornost a vyčlenit prostředky na jejich ochranu,“ vysvětluje Thielemann a dodává: „Čím propojenější kyber-fyzické systémy jsou, tím větší je pravděpodobnost incidentu.“
S dalším rozvojem provozních technologií, chytrých měst, připojených aut a autonomních vozidel budou mít incidenty v digitálním světem mnohem větší dopad na svět fyzický. Rizika, hrozby a zranitelnosti nyní existují v obousměrném kyber-fyzickém spektru. Řada podniků si ale neuvědomuje, kolik kyber-fyzických zařízení již dnes využívají, ať už proto že dané (například historické) systémy připojili k podnikové síti lidé mimo IT oddělení, nebo v důsledku nových automatizačních a modernizačních iniciativ řízených přímo byznysem.
„Firmy se musí zaměřit na řízení provozní odolnosti – ORM (Operational Resilience Management), kybernetická bezpečnost orientovaná na IT a informace již dnes nestačí,“ uzavírá Katel Thielemann.
Další informace a analýzy k tématům z oblasti informační bezpečnosti nabídnou analytici Gartneru v rámci online konference Gartner Security & Risk Management Summit 2020, která se uskuteční 14. – 17. září 2020.