出典: Alamy Stock Photo経由のsleepyfellow
私たちは、ランサムウェア、フィッシング、設定ミスなど、すでに見たことのあるリスクに備えるのが得意です。しかし、企業や運用環境全体で働く中で、最も危険な脅威のいくつかは自らを知らせることがないことを学びました。それらはおなじみのチェックリストをすり抜け、見過ごされたシステムから現れたり、心配するにはあまりにも投機的だとして無視されたりします。
この記事は予測ではありません。監査、ワークショップ、リスクに関するモデリングディスカッションで浮上したシナリオを振り返るものです。これらは、技術がまだ早すぎると感じても理解し説明しようとしたリスクです。これらは、もっと注目されるべき静かな問題です。
1. デジタルツイン操作
デジタルツインは物理インフラの高解像度モデルです。エネルギー、製造、医療で使用され、運用をシミュレートし、メンテナンスのタイミングからシステム負荷の調整方法までの意思決定を導きます。
しかし、これらのシミュレーションもまたターゲットになる可能性があります。
私が関わったある製油所モデルでは、資産ではなくツインを操作した場合に何が起こるかを探りました。誤った劣化信号が挿入されると、現場では健康に見えるポンプやタービンがシミュレーションで誤診される可能性があります。その結果、攻撃ではなくメンテナンスの見落としのように見える早期摩耗や故障が発生します。
関連記事:AIエージェント時代のセキュリティへのアプローチ方法
脅威は物理的な損害ではありません。それは誤った入力に基づく意思決定です。
ポイント: 重要なインフラにデジタルツインを依存している場合、ライブセンサーデータとモデルの動作の間で定期的な検証を含めてください。シミュレーションとシステムがずれている場合、問題は技術的なものではないかもしれません。それは意図的なものかもしれません。
2. ローカルに見えるサプライチェーンの失敗
1つの弱いサプライヤーがネットワーク全体に影響を与える方法はすでに知っています。しかし、いくつかの内部リスクレビューでは、これらの混乱が既知の侵害からではなく、誰も疑問を持たない通常のシステムから内部から来るように見える場合に何が起こるかを探りました。
あるケースでは、ソフトウェアベンダーからのコード更新が部門全体でパフォーマンス問題を引き起こし始めました。最初は内部の設定ミスのように見えましたが、それはベンダーのパッチが微妙に変更され、広範囲に展開され、私たちの依存関係に対して検証されていなかったことが原因でした。
その結果、すべての内部コントロールを通過したシステムで数週間のダウンタイムが発生しました。
ポイント: ベンダーを監視するだけでは不十分です。彼らの変更を監視する必要があります。サプライチェーンリスクプロセスにバージョントラッキングと動作比較を組み込み、応答としてではなく、常設のコントロールとして行ってください。
関連記事:サイバーレジリエンスの3つの重要な柱
3. 失敗点としての市場信号
特に製造、物流、金融の分野では、小さなデータ入力が大きな意思決定を導きます。在庫レベル、商品価格、出荷タイミングなどです。これらの信号は、誰も侵害されるとは思わない外部ソースから取得されます。
しかし、私はリスクモデルで、小さく不正確なデータポイントが制御された方法で導入されると、全体の調達サイクルを変えたり、リーンであるべきシステムで備蓄を引き起こすことができるのを見てきました。これらは壊滅的な失敗ではありません。それらは過剰反応、整合性の欠如、または人的エラーのように見える混乱です。
ポイント: 外部データフィードによって運用上の意思決定が行われる場合、重要ではないが不規則な異常を探すコントロールを追加してください。ほとんどの失敗は明らかな攻撃から来るわけではありません。それらは誰も疑問を持つ時間がないパターンから来るでしょう。
4. おなじみの行動、異なる意図
私の以前の関与の1つでは、システムユーザーのアクセスが完全に有効に見えるケースをレビューしました。正しいアカウント、正しいツール、アラートはトリガーされませんでした。しかし、彼らの行動のシーケンスは完璧すぎました。それは文書化されたプロセスに正確に一致し、逸脱もなく、一時停止もなく、レビュー行動もありませんでした。
これにより、次の質問が生じました: 正常な行動が新しい攻撃経路である場合はどうなりますか?システムが異常を検出するように訓練されているとき、攻撃者が期待される行動を模倣した場合はどうなりますか?
関連記事:新興AIフレームワークがビジネス価値を促進しリスクを軽減する方法
ポイント: アクセスレビューと監視では、ユーザーが何をしているかを見るだけでなく、リズムとコンテキストを見てください。完璧な行動は時に警告サインであることがあります、特にそれが人間の作業の不一致を欠いている場合は。
静かに潜むリスク
私が最も懸念しているリスクは、騒がしいものではありません。それらは信頼されたシステム、定期的な更新、シミュレーション、誰もフラグを立てない行動の中に潜んでいるものです。
これらのシナリオは投機ではありません。それらは現実のモデリング、フィールド経験、複雑な環境でシステムを維持しようとする他の人々との会話から来ています。
目標はパニックを起こすことではありません。準備をすることです。データの緩やかな変化を認識し、コントロールが紙の上では機能しているが実際には失敗しているときに気づき、問題がまだカテゴリーに当てはまらない場合でも声を上げることができるチームがもっと必要です。
それが私が続けている仕事です。そして、それが私たちが先を行く方法だと信じています。