Въпреки че оперативните технологии (OT) стоят в основата на критичната инфраструктура, тяхната киберсигурност все още често е подчинена на IT структури, които не отразяват реалните рискове и нужди на индустриалната среда. Скорошни инциденти показаха, че това не е просто организационно неудобство, а сериозна уязвимост, която в момент на криза може да струва скъпо — не само на системно, но и на национално ниво.

Къде се къса връзката между OT и IT

В много организации OT сигурността продължава да бъде „захваната“ към IT, като често се отчита пред CISO или директор по информационна сигурност, без пряк достъп до оперативните ръководства. Това води до забавени реакции, неразбирателства между екипите и липса на реална координация по време на атака.

Докато IT се фокусира върху конфиденциалност, цялост и достъпност, OT приоритизира наличност и безопасност — различие, което води до сериозни пропуски, когато двата свята се сблъскат в криза. Реакциите често са закъснели, неадекватни и без връзка с реалната ситуация в индустриалната среда.

Моделите на отчетност: централизирани, децентрализирани и хибридни

Експертите идентифицират три основни модела на отчетност за OT сигурността:

• Централизиран модел – контролира се от IT, но често липсва оперативна експертиза.

• Децентрализиран модел – ръководи се локално, но страда от липса на стандартизация и слаба координация.

• Хибриден модел – комбинира централна стратегия с локално изпълнение, но изисква ясни роли и структури, за да бъде ефективен.

Точно хибридният модел набира популярност под натиска на регулаторни рамки като NIS2, директивите на TSA и правилата за разкриване на киберинциденти на SEC. Тези норми изискват не само видимост, но и ясна отчетност — нещо, което старите модели не предоставят.

Регулациите ускоряват трансформацията

Нови регулации ускоряват нуждата от преструктуриране. Докато досега OT сигурността често бе третирана като допълнение към IT, днес организациите осъзнават нуждата от специализирано ръководство, собствен бюджет и директен достъп до бордовете.

Според експерти от индустрията, най-ефективният подход е създаването на позиция като „индустриален CISO“, който разбира специфичните рискове на OT и е способен да координира между технически екипи, оперативни мениджъри и ръководството. Само тогава OT киберсигурността може да бъде позиционирана като стратегически приоритет, а не като технически апендикс.

Инцидентите – най-доброто доказателство за слабите места

Атаки като тези срещу Colonial Pipeline и водоснабдителната станция в Oldsmar демонстрираха колко пагубни могат да бъдат организационните пропуски. Закъснели реакции, липса на координация и неясни отговорности в кризисни ситуации извадиха на показ острия дефицит на интеграция между IT и OT звената.

Тези уроци не могат да бъдат пренебрегнати. Ефективната защита на индустриалните системи изисква предварително изградени, общи планове за реакция, споделени инструменти и редовни симулации с участието на  двата домейна.

Финални изводи

Докато заплахите към OT системите се увеличават по обем и сложност, продължаващото третиране на OT сигурността като „второстепенен проблем“ е неустойчиво. Компаниите, които искат да изградят устойчива и единна киберотбрана, трябва ясно да дефинират отговорностите, да предоставят пряк достъп до бордовете на OT специалистите и да интегрират подходите си към сигурността в двете среди.

Истинската защита на критичната инфраструктура не започва с технологии, а със структура и отчетност.