Według raportu ABI Research Industrial Control Systems: Integrating Embedded Secure Hardware, środowiska przemysłowe są opóźnione o 10–15 lat względem IT pod względem dojrzałości w zakresie cyberbezpieczeństwa. Choć presja regulacyjna rośnie, a krajobraz zagrożeń dla sieci OT (Operational Technology) stale się poszerza, tempo wdrażania bezpiecznych systemów sterowania przemysłowego ICS (industrial control systems) nadal pozostaje niezadowalające.
– Niestety, bezpieczeństwo sprzętowe wciąż znajduje się na końcu listy priorytetów wielu organizacji przemysłowych. Wdrożenie bezpiecznych ICS to kosztowny i czasochłonny proces, dlatego firmy wolą obecnie stosować rozwiązania na poziomie sieci, które nie wymagają ingerencji w sprzęt i pozwalają spełnić aktualne wymagania zgodności – mówi Michela Menting, dyrektor ds. badań w ABI Research.
Jednak coraz większa liczba przepisów i norm w dziedzinie bezpieczeństwa przemysłowego wymusza stosowanie zaufanych komponentów sprzętowych i programowych w systemach przemysłowych poprzez bezpieczne projektowanie aplikacji (secure-by-design, SbD), wymagania dotyczące wykazu materiałów oprogramowania (bill of materials, BOM) oraz ‘rozliczalność’ łańcucha dostaw, co w dłuższej perspektywie będzie napędzać rozwój rynku zabezpieczeń wbudowanych.
Według analityków ABI Research, ewolucja cyberzabezpieczeń w przemyśle będzie jednak powolna – determinowana przez długą żywotność infrastruktury ICS. W miarę wymiany starszych urządzeń na nowe, organizacje będą sięgać po rozwiązania wyposażone w funkcje, takie jak: sprzętowy moduł zaufania HWRoT (hardware root of trust), bezpieczny rozruch (secure boot), zaufane środowisko wykonawcze TEE (trusted execution environments) czy bezpieczna komunikacja.
Firmy takie jak Siemens, Bachmann czy HMS, już oferują rozwiązania ICS z wbudowanymi zabezpieczeniami na poziomie sprzętu i oprogramowania. Veridify Security rozwija protokoły odporne na zagrożenia ze strony komputerów kwantowych, a startup RDDL, wykorzystujący technologię blockchain w aplikacjach przemysłowych, współpracuje z Tropic Square nad wdrażaniem elementów zaufania w sprzęcie.
Raport ABI Research wskazuje, że takie inicjatywy to dopiero początek. Bezpieczne środowiska OT i architektury zero trust będą możliwe dopiero wtedy, gdy zaufanie zostanie zaimplementowane już na poziomie sprzętowym ICS.
