De ce deciziile autonome de securitate necontrolate reprezintă un risc pentru infrastructura critică

• Automatizarea este esențială pentru procesele moderne de aplicare a patch-urilor, de prioritizare a vulnerabilităților, de monitorizare a configurațiilor și de remediere.

• Executarea autonomă și necontrolată a măsurilor de securitate, inclusiv aplicarea patch-urilor, modificările de configurare sau remedierea automată, generează riscuri operaționale în mediile în care perioadele de nefuncționare au consecințe asupra siguranței sau financiare.

• O modificare aplicată într-un moment nepotrivit într-o rețea electrică, o linie de producție sau o rețea de apărare nu reprezintă un inconvenient minor. Este un incident.

• Acest domeniu este reglementat de trei cadre normative: NERC CIP (energie/servicii publice), IEC 62443 (sisteme de control industrial) și NIST SP 800-82 (securitatea sistemelor de control industrial). Toate cele trei pun accentul pe autorizarea documentată, validarea, testarea și asumarea responsabilității pentru modificările aduse securității.

• Fluxurile de lucru autonome pot sprijini guvernanța atunci când etapele de aprobare, politicile și pistele de audit sunt integrate în proces. Ele devin însă un risc atunci când „sistemul a decis” înlocuiește autorizarea umană responsabilă.

• Inteligența artificială oferă cea mai mare valoare la nivelul analizei: rezultate clasificate în funcție de risc, semnale privind abaterile de configurare, lista de patch-uri prioritizate, și nu la nivelul execuției.

• Modelul eficient: IA extrage informațiile, oamenii autorizează acțiunile, iar fiecare modificare este înregistrată sub o identitate responsabilă.

Un patch este implementat în afara intervalului de întreținere la o substație. O regulă de firewall este modificată de un sistem automat de remediere în timpul unui ciclu de producție. O modificare de configurare se propagă într-o rețea OT distribuită înainte ca vreun operator să o verifice.

Scenariile diferă, dar tiparul eșecului este același: un sistem automatizat a acționat fără autorizarea unui om, iar când cineva a observat acest lucru, modificarea ajunsese deja în mediul de producție.

Automatizarea este în prezent esențială pentru operațiunile moderne de securitate, mai ales pe măsură ce intervalele de timp dintre apariția vulnerabilităților și aplicarea patch-urilor se reduc. Riscul nu îl reprezintă automatizarea în sine, ci executarea autonomă a măsurilor de securitate, care aplică modificări cu impact asupra producției fără aprobarea responsabilă a unui om, fără context operațional și fără o pistă documentată a autorizării.

În mediile cu infrastructură critică, aceste decizii implică un risc operațional pe care supravegherea umană structurată are rolul de a-l preveni.

Valul actual de platforme de IA cu capacități agentice reflectă modul în care execuția autonomă transformă operațiunile de securitate, în special în mediile IT corporative, unde viteza reprezintă obiectivul principal al proiectării.

Infrastructura critică funcționează în condiții fundamental diferite.

Un releu de protecție dintr-o rețea electrică nu poate fi repornit în mijlocul ciclului. O modificare de configurare a unui PLC care controlează o linie de producție nu poate fi anulată în câteva secunde. O etapă automată de remediere care se declanșează în timpul unui ciclu de producție afectează procesele fizice, nu doar serverele.

Echipele de securitate din aceste medii trebuie să evalueze capacitățile autonome pornind de la o altă întrebare: nu „cât de repede poate reacționa?”, ci „cine este responsabil atunci când sistemul greșește?”.

Înainte de următorul audit NERC CIP sau IEC 62443, răspundeți la următoarea întrebare: platforma dvs. actuală de securitate generează o înregistrare documentată și marcată temporal cu privire la persoana care a autorizat fiecare modificare de securitate?

Standardul NERC CIP-007 impune proceduri specifice de gestionare a patch-urilor pentru fiecare modificare adusă activelor cibernetice din sistemul electric de mare capacitate: evaluare documentată, dovezi ale testării și termene de implementare. IEC 62443-2-3 definește responsabilitățile de autorizare pentru gestionarea patch-urilor și modificările de configurare în sistemele industriale de automatizare și control, inclusiv cine poartă răspunderea pentru fiecare acțiune. NIST SP 800-82 specifică faptul că modificările de securitate ale sistemelor ICS necesită evaluarea riscurilor, teste de validare și coordonarea cu părțile interesate operaționale înainte de implementare, nu după.

Fluxurile de lucru autonome pot susține acest model de control atunci când guvernanța este integrată în proces prin aprobări bazate pe politici, etape de implementare, controale privind intervalele de întreținere și jurnale de audit detaliate.

Însă execuția autonomă nu se încadrează în acest model atunci când ascunde lanțul de autorizare. Se produce o modificare, jurnalul arată că sistemul a acționat, iar auditorul întreabă cine a aprobat acțiunea. Atunci când nu există nicio autorizare umană care să poată fi trasă la răspundere, înregistrarea este incompletă.

Platformele controlate de oameni, care înregistrează etapele de autorizare, generează o pistă de audit. Platformele autonome necontrolate generează răspundere.

Platformele de gestionare a securității dispun, prin natura lor, de acces privilegiat. O platformă autorizată să aplice modificări de configurare, să implementeze patch-uri și să gestioneze politici în cadrul a sute de implementări este exact genul de resursă pe care un atacator ar viza-o în primul rând.

Atunci când platforma respectivă funcționează în mod autonom, suprafața de atac se extinde semnificativ. Un sistem autonom compromis poate executa acțiuni la scară largă în toate mediile conectate înainte ca un operator uman să detecteze breșa de securitate. Atacatorul preia autoritatea de execuție a platformei și o utilizează simultan în gestionarea patch-urilor, modificarea configurațiilor și aplicarea politicilor.

Nu este vorba doar de o ipoteză teoretică. La începutul anului 2026, trei vulnerabilități critice de tip „zero-day” identificate într-o platformă de gestionare a patch-urilor utilizată pe scară largă au permis executarea de cod la distanță fără autentificare în medii corporative. CISA a clasificat aceste vulnerabilități și altele similare drept „vulnerabilități exploatate cunoscute”, care necesită remediere imediată. O platformă autonomă compromisă prin intermediul unor astfel de vulnerabilități poate transmite modificări malicioase către fiecare terminal conectat înainte ca vreo alertă să fie declanșată.

O platformă care necesită aprobarea unui utilizator uman înainte de a executa modificările limitează amploarea impactului. Atunci când este necesară aprobarea unui utilizator uman înainte de execuție, este puțin probabil ca datele de autentificare furate să declanșeze singure modificări automatizate la scară largă.

Argumentul împotriva execuției autonome necontrolate nu este un argument împotriva IA sau a automatizării în domeniul securității. IA oferă cea mai mare valoare la nivelurile potrivite: analiză, stabilirea priorităților, sprijin pentru coordonare și facilitarea luării deciziilor.

Ghidurile CISA subliniază în mod constant lacunele de vizibilitate ca fiind o provocare esențială pentru organizațiile din domeniul infrastructurii critice care gestionează active distribuite. Inteligența artificială abordează direct această problemă: agregarea datelor privind evenimentele, corelarea semnalelor între diferite implementări, semnalarea abaterilor de configurare și evidențierea constatărilor prioritizate pentru revizuire umană. Analistul rămâne cel care ia decizia, dar inteligența artificială îl ajută să o facă mai repede, pe baza unor informații mai bune.

Gestionarea vulnerabilităților și a patch-urilor pe baza clasificării în funcție de risc este domeniul în care acest lucru se reflectă cel mai vizibil. Clasificarea rapidă a sute de vulnerabilități în funcție de posibilitatea de exploatare, de importanța activelor și de gradul de expunere oferă echipelor de securitate o listă prioritizată pe baza căreia pot acționa în cadrul unei ferestre de întreținere, nu un flux brut pe care trebuie să îl sorteze singure.

Același principiu se aplică și în cazul anomaliilor de configurare: AI-ul identifică abaterile la nivelul a sute de terminale; oamenii decid ce modificări trebuie anulate și când.

Întrebarea relevantă pentru orice funcționalitate de IA dintr-o platformă de securitate nu este „poate acționa în mod autonom?”, ci „contribuie la creșterea eficienței echipei de securitate?”.

Este vorba despre filosofii de proiectare diferite, iar în mediile reglementate, această distincție are importanță.

Gestionarea securității controlată de oameni nu înseamnă o gestionare lentă a securității. Înseamnă o gestionare structurată a securității: inteligența artificială pune în evidență informațiile, automatizarea accelerează fluxurile de lucru, iar oamenii iau deciziile. Fiecare acțiune este înregistrată sub o identitate care poate fi trasă la răspundere.

În practică: un tablou de bord centralizat centralizează evenimentele de securitate, conformitatea cu patch-urile pentru dispozitivele finale, starea configurației și constatările privind anomaliile din toate implementările conectate. Administratorii analizează constatările clasificate în funcție de risc, evaluează contextul operațional (inclusiv dacă la un site țintă este deschisă în prezent o fereastră de întreținere sau dacă o modificare de configurație a fost validată pentru acel hardware specific) și inițiază acțiuni printr-o etapă de autorizare deliberată.

Pentru organizațiile care gestionează medii distribuite, acest lucru necesită o platformă care să acopere toate implementările dintr-o singură interfață, inclusiv mediile izolate fizic și cele offline, în care gestionarea bazată pe cloud nu este o opțiune. Platforma oferă administratorilor datele de care au nevoie pentru a acționa cu încredere.

EPAM Systems (un furnizor global de servicii de inginerie a platformelor digitale și de dezvoltare software, cu aproximativ 40.000 de angajați în 30 de țări) s-a confruntat cu o presiune tot mai mare de a asigura securitatea unei forțe de muncă distribuite, în care se utilizează pe scară largă dispozitive personale (BYOD), fără a-i încetini activitatea. Folosind My Central Management MetaDefender , organizația a obținut vizibilitate și control asupra conformității pentru peste 70.000 de dispozitive utilizate de angajați, clienți și colaboratori din întreaga lume.

Platforma a permis echipei de securitate a EPAM să verifice conformitatea dispozitivelor, să detecteze aplicațiile nedorite, să identifice vulnerabilitățile neacoperite de patch-uri și să aplice politicile de acces, toate acestea fără a afecta productivitatea utilizatorilor. De asemenea, EPAM a integrat MetaDefender pentru a scana fișierele încărcate în spațiul de stocare central, procesând peste 50 de milioane de fișiere pe zi în perioadele de vârf. Echipele de securitate au avut o imagine completă a situației. Fiecare decizie a rămas în competența lor. Citiți povestea completă aici.

Utilizați IA acolo unde generează valoare fără a introduce riscuri legate de execuție: trierea vulnerabilităților în funcție de nivelul de risc, detectarea abaterilor de configurare, corelarea anomaliilor și identificarea constatărilor prioritizate pentru revizuire umană.

Evitați platformele care confundă valoarea analitică a IA cu autoritatea de execuție necontrolată. Evaluați dacă o platformă generează înregistrările de autorizare cerute de cadrul dvs. de conformitate. Dacă răspunsul este „sistemul a decis”, aceasta nu constituie o înregistrare de autorizare suficientă în mediile de infrastructură critică reglementate.