Endeavor Energy, önümüzdeki beş yıl içinde teslim edilecek 21 güvenlik ile ilgili projeden biri olan elektrik ve BT altyapısına karşı sofistike saldırıları sürekli olarak tespit etmek ve düzeltmek için bir siber savunma ve müdahale merkezi inşa edecek.
Gijo Varghese (Resim Kredisi: Endeavor Energy/Facebook)
Konuşurken Itnews podcast, Bilgi Güvenliği Müdürü Gijo Varghese, merkezin bilgi teknolojisi ve operasyonel teknolojiyi kapsayan “tek bir ortam” olarak hareket edeceğini söyledi.
Varghese, “Özünde mühendislik ağı ve sonra BT ortamımıza genişleyeceğiz” dedi.
“Bu, ızgaralarımızdaki sofistike saldırıları tespit etmemize yardımcı olacak çok ilginç bir yolculuk.”
IT-OT entegrasyonu Endeavor için yeni değil: Varghese’nin “yaklaşık 25-30 kişi” ekibi hem BT hem de OT alanlarında faaliyet gösteriyor.
Entegre Güvenlik Mükemmelliği, Endeavor Energy’nin mevcut beş yıllık siber güvenlik stratejisinin temel hedeflerinden biridir.
“Esasen siber güvenlik stratejimizin elde etmek istediğimiz üç ana hedefi var. İlk hedef, siber güvenliği gömmek istiyoruz, böylece temiz enerji geçişine geçerken saldırı yüzeyini insanlar, süreç ve teknoloji üzerindeki azaltabiliriz ”dedi.
Enerji akışları ile giderek daha fazla yönlü – çatı katı güneşli müşteriler arasında – şirket, bu bağlantının güvenliğini korumaya öncelik veriyor.
“Siber güvenlik stratejimizin ikinci amacı, sofistike siber saldırıları daha iyi tespit etmek ve bunlara yanıt vermektir. Saldırıların olduğunu biliyoruz [volumes] Artış olmasa da tutarlı olacaklar ve bunlara hazır olmak istiyoruz ”dedi.
“Üçüncü hedef, IT-OT’de ISO 27001’e sertifikalandırılacak bir mükemmellik hedefidir ve [meet] Avustralya Enerji Sektörü Siber Güvenlik Çerçevesi (AESCSF) Gereksinimleri. ”
Endeavor Energy, geçen yılın sonunda ISO 27001: 2022 sertifikasına ulaşarak bu üçüncü hedefe doğru büyük bir adım attı.
Bu, ISO standardının 2022 versiyonundan önce gelen Endeavor’un ilk siber güvenlik stratejisi ile 2016 yılında başlayan yıllar süren çalışmaların doruk noktasıydı.
Varghese, “Endüstriyel ağların çoğu hala BT ve OT’de farklı anlayış ve güvenlik hedefleri ile mücadele ediyor” dedi.
“Bu hizalamanın ilerlemesinin değerini gördük [ISO certification]. “
Hazırlamak ve onaylamak için resmi sürecin tamamlanması yaklaşık 18 ay sürdü.
Endeavor, üçüncü taraf bir değerlendirici tarafından gerçekleştirilen gerçek sertifika ile Cyber CX ile çalıştı.
Sertifikasyon, “20 fiziksel yer için güvenliği kapsar, [including] 16 Trafo Maddesi ”ile birlikte kontrol odaları, bir veri merkezi ve bir eğitim tesisi.
Varghese, ISO sertifikasından üç temel sonucunu vurguladı, bu da öncelikle Endeavor güvenlik açısından “sürekli bir iyileştirme zihniyeti” kurulmasını destekledi.
“Artık çevredeki riskleri ve boşlukları belirleme, onları belgeleme ve sonra bir plan koyup takip etme sürecimiz var” dedi.
“Sürekli bir iyileştirme kaydı oluşturuldu. Teknoloji operasyonlarımızın tüm portföylerinde var ve yol haritamızın ne olduğunu gerçekten anlamada şeffaflık var. ”
İkinci bir sonuç, “operasyonel teknoloji ağı, karşılıklı bağımlılıkları ve onunla ilişkili siber riskler hakkında daha derin bir anlayıştır, çünkü şimdi yönettiğimiz ve sürdürdüğümüz belgelenmiş bir risk kaydımız var.”
Üçüncüsü, Varghese sertifikasyon sürecinden geçtikten sonra “önemli ölçüde gelişmiş… üçüncü taraf satıcı yönetimine” işaret etti.
“Kritik altyapı bileşenlerimizi de yöneten satıcılarımız var ve şimdi üçüncü taraflara bağımlılıklarımızın neler olduğunu gerçekten anlıyoruz? Bu üçüncü partiler kimler? Hangi erişim seviyesine sahipler ve siber bir saldırı olması durumunda bunları nasıl kullanıyorlar? ”
Varghese, ISO sertifikasının, ENDEAVOR enerjisinin kritik altyapı (SoCI) yükümlülüklerinin bir kısmını karşılamasına yardımcı olmak için ek bir “hayati rol” oynadığını da sözlerine ekledi.
“Soci, kritik bir altyapı risk yönetim planı (Cirmp) oluşturmak için her kritik altyapı organizasyonunu zorunlu kılmaktadır.
“Bu özel Soci gereksinimi için ISO 27001 standardından yararlanabildik ve bu nedenle siber güvenlik duruşumuzu artırdık.
“Buna ek olarak, Soci sadece Siber’e bakmakla kalmıyor, aynı zamanda kişisel, fiziksel, çevresel ve tedarik zincirini içeren güvenlik arasındaki tüm tehlikeleri arıyor.
“ISO 27001 de bu unsurlara bakarken bütünsel.”
FY24’teki Temel Başarılar
ISO 27001: 2022 sertifikası dışında Varghese, siber güvenlik perspektifinden de etkili olan mali yıl boyunca toplam sekiz çalışmaya sahip üç girişimi vurguladı.
Bu girişimlerden biri OT ortamı için ağ görünürlüğünü geliştirdi; Bir diğeri çok fazlı siber olay müdahale egzersizi yapmayı; Üçüncü bir girişim, sürekli bir düşman simülasyon egzersizi uygulandı.
Çok fazlı egzersiz, “sadece bir siber saldırıya yanıt verme işlevsel yeteneğimizi test etmekle kalmadı, aynı zamanda yönetici liderlik ekibimizi ve yönetim kurulumuzu, karar verme süreçlerinin siber saldırı sırasında nasıl ilerleyeceği konusunda test ettik.”
Varghese, “Bu oldukça ilginç bir faaliyetti ve olay müdahale planımızı güçlendirmek için bunu yapmaya devam edeceğiz” dedi.
Bu arada simülasyon egzersizi, OT ortamı ve trafo merkezleri için mor bir takım girişimiydi.