Atténuation des cybervulnérabilités dans les systèmes automatisés du cannabis

Alors que la technologie continue d’accroître son influence sur l’industrie du cannabis, il est important de veiller à ce que la sécurité de nos systèmes de technologie opérationnelle (OT) évolue.

Souvent, lorsque la cybersécurité est évoquée, les gens pensent avant tout aux systèmes et aux vulnérabilités des technologies de l’information (TI), mais il est tout aussi important pour les organisations de tenir compte des menaces qui pèsent sur leur OT et des impacts en cascade d’une attaque.

Comme le Dr Jon Vaught, PDG et co-fondateur de Front Range Biosciences, basé au Colorado, l’a récemment déclaré à MJBizDaily, « COVID accélère les plans des entreprises et la mise en œuvre de la technologie ».

Les progrès technologiques au sein de l’industrie du cannabis ont entraîné une réduction de la consommation d’eau et d’énergie, une baisse des coûts de main-d’œuvre, une augmentation des rendements et de la qualité ainsi qu’une amélioration de la sécurité au travail.

Cependant, ils introduisent également de nouveaux risques pour les entreprises qui, s’ils ne sont pas contrôlés, peuvent avoir de graves répercussions sur les opérations et les résultats d’une entreprise.

En 2019, la société de conseil en risques Kroll a écrit sur le potentiel des acteurs malveillants à motivation criminelle de prendre le contrôle de systèmes automatisés pour modifier radicalement les contrôles de l’eau, de l’éclairage ou de la température afin de ruiner efficacement une récolte.

Ce scénario représentait une « menace mixte », dans laquelle une cyber-attaque peut avoir des impacts physiques et réels sur une entreprise.

Bien qu’il puisse être facile de dire que les exploitants de cannabis ne priorisent pas correctement les mesures de cybersécurité, il s’agit d’un problème qui préoccupe tous les secteurs.

En 2020, TrapX Security a interrogé 150 professionnels de la cybersécurité et a constaté que 53 % convenaient que l’infrastructure OT de leur organisation était vulnérable à certains types de cyberattaques.

Nous savons également que les acteurs de la menace sont plus persistants que jamais. Selon le « Rapport sur l’état des technologies opérationnelles et de la cybersécurité 2022 » de Fortinet, 93 % des entreprises ont enregistré plus d’une intrusion au cours de l’année écoulée, tandis que 78 % ont enregistré plus de 3 intrusions.

La Cybersecurity & Infrastructure Security Agency (CISA) et la National Security Agency (NSA) ont récemment publié un document d’orientation complet pour ceux qui cherchent à renforcer davantage leur résilience.

Le 22 septembre 2022, la CISA et la NSA ont publié un avis conjoint sur la cybersécurité concernant la défense des systèmes de contrôle pour les technologies opérationnelles (OT) et les systèmes de contrôle industriels (ICS).

L’avis, Control System Defense: Know the Opponent (AA22-265A) vise à fournir aux propriétaires et aux opérateurs une compréhension des tactiques, techniques et procédures (TTP) utilisées par les cyberacteurs malveillants afin que les organisations puissent mieux se défendre contre eux.

Plus important encore, cet avis fournit des mesures simples, pratiques et réalisables pour renforcer la cyber-résilience que les organisations peuvent appliquer dès maintenant (si elles ne l’ont pas déjà fait).

Le nouvel avis s’appuie sur les directives antérieures de la NSA et de la CISA :

Selon l’alerte CISA/NSA, « La complexité d’équilibrer la sécurité du réseau avec les performances, les fonctionnalités, la facilité d’utilisation et la disponibilité peut être écrasante pour les propriétaires/exploitants.

« Cela est particulièrement vrai lorsque les outils système et les scripts permettent une utilisation facile et augmentent la disponibilité ou la fonctionnalité du réseau de contrôle ; ou lorsque les fournisseurs d’équipements ont besoin d’un accès à distance pour la conformité à la garantie, les obligations de service et les fonctionnalités financières/de facturation.

« Cependant, avec l’augmentation du ciblage des OT/ICS par des acteurs malveillants, les propriétaires/exploitants devraient être plus conscients des risques lorsqu’ils prennent ces décisions d’équilibrage.

« Les propriétaires/exploitants doivent examiner attentivement les informations sur leurs systèmes qui doivent être accessibles au public et déterminer si chaque connexion externe est vraiment nécessaire. »

Alors que la menace pour OT persiste, les organisations de cannabis peuvent appliquer quelques bonnes pratiques de sécurité ICS simples pour contrer les TTP adverses.

Limitez l’exposition des informations système. Il est essentiel de protéger et d’éviter de divulguer des informations opérationnelles et système et des données de configuration sur le matériel, les micrologiciels et les logiciels du système dans tout forum public. L’éducation à la protection de l’information devrait également être intégrée à la formation de sensibilisation. Identifier et sécuriser les points d’accès distants. La découverte et l’identification de tous les actifs, y compris les points d’accès distants opérant dans l’environnement de contrôle, sont essentielles pour les protéger. Restreindre les outils et les scripts. Appliquez soigneusement les limitations d’accès et d’utilisation aux processus et composants particulièrement vulnérables afin de limiter la menace posée par les outils et les scripts d’application légitimes du réseau et du système de contrôle. Effectuez des audits de sécurité réguliers. Effectuer des audits de sécurité indépendants de l’environnement du système de contrôle, en particulier des points d’accès et des systèmes des fournisseurs tiers, afin d’identifier et de documenter les vulnérabilités, les pratiques et les procédures du système qui doivent être éliminées pour améliorer la position de cyberdéfense. Mettre en œuvre un environnement de réseau dynamique. Les propriétaires/exploitants doivent envisager d’apporter périodiquement des modifications gérables au réseau. Un petit changement peut grandement contribuer à perturber l’accès précédemment obtenu par un acteur malveillant.

Bien que la fin octobre ait mis fin au Mois de la sensibilisation à la cybersécurité, cela ne signifie pas que nous voulons perdre notre élan dans la promotion de l’importance de la cybersécurité.

Selon Chris Foulon, animateur du podcast « Breaking Into Cybersecurity » et fondateur de CPF Coaching, il est important d’établir une culture « safe first » où les employés sont non seulement formés sur ce qu’il faut rechercher, mais sont encouragés à signaler toute activité suspecte. .

« Les organisations doivent non seulement fournir une formation aux employés, mais également les tenir informés des derniers TTP des acteurs de la menace. L’environnement des menaces évolue constamment et il est important que chacun dans l’organisation sache ce qu’il faut rechercher. Si la cybersécurité reste au premier plan des préoccupations des employés, cela minimise la probabilité que des erreurs coûteuses soient commises. »

Si vous souhaitez en savoir plus sur d’autres principes de cybersécurité qui peuvent aider à protéger votre organisation de cannabis, consultez cet article qui détaille les leçons tirées de l’authentification multifacteur (MFA) suite à la récente violation d’Uber.

Catégorierp