Siber risk yönetimi, ekipmanı, otomasyonu, güvenliği, ağ iletişimini, bunların altyapısını ve daha fazlasını kontrol eden tüm bileşenler dahil olmak üzere büyük endüstriyel tesislerdeki operasyonel teknolojiye (OT) yönelik saldırı olasılığını hesaba katar. Ancak bu tesislerdeki CISO ile OT yöneticisi arasında, belirli sistem ve cihazlar için OT güvenliğinin denetlenmesinden kimin sorumlu olduğu konusunda genellikle bir boşluk vardır.
Bazı güvenlik açıkları, ekipmanda gizlenen açıkların, daha sonra ilgili sistemleri ve cihazları tehlikeye atacak kötü amaçlı yazılım yüklemesine olanak tanıyabilir. Diğer tehditler arasında donanıma zarar verecek şekilde kontrollerin manipüle edilmesi, operatörleri yanıltmak amacıyla değerlere müdahale edilmesi veya iş kesintisine neden olacak şekilde makinelerin kapatılması yer alır.
Siber olaylar, en hazırlıklı kuruluşlar için bile giderek artan mali zararlara neden oldu. Artan bu tehditlere dayanarak, riske dayalı OT güvenliğinin önümüzdeki yıl özellikle Operasyon Direktörü için daha yaygın hale gelmesini beklemeliyiz.
COO, CISO’lar ile tesis içi tesis yöneticileri arasındaki gri alanın kapatılmasına yardımcı olmak için OT siber karar alma süreçlerine giderek daha fazla dahil olacak. Sonuçta COO, tüm tesislerden maksimum operasyonel üretim elde etmekten sorumludur ve kar ve zarardan (P&L) sorumlu genel müdür olarak etkin bir şekilde hizmet verir.
COO, operasyonlara, bakıma ve güvenilirliğe ne kadar harcanacağını belirleyerek tesisleri kontrol eder. COO aynı zamanda kullanım ömrü sona eren OT sistem altyapısının taşınması ve yükseltilmesi konusunda da önemli bir karar alma rolünü üstleniyor.
Olgun organizasyonlarda COO, siber sorumluluğu CISO’ya veya CIO’ya devredebilir, ancak birçok şirkette Mühendislik/Kontroller/OT çalışanları, BT’den, CIO’dan ve CISO’dan yalıtılmış olarak Operasyon organizasyon şemasına rapor verir. COO, OT siber riskinin bir sorun olmadığını algılarsa, eski sistemlerin yükseltilmesini erteleyebilir ve böylece aslında siber risklerini artırabilir. CISO ve OT saha yöneticisine odaklanmaya devam ederek, tesisin kendisini temsil eden organizasyon şemasının en önemli parçası olan COO’yu gözden kaçırıyoruz.
Ayrıca fiziksel güvenliğin siber güvenlikteki rolünü de göz ardı etmemeliyiz çünkü bu iki disiplin uzun süredir ayrı kalmıştır. Her iki taraftaki uzmanlar, örneğin siber güvenlik değerlendirmelerinin fiziksel güvenlik riskini hariç tutması veya bunun tersi gibi durumlarda diğer riski düzenli olarak hariç tutuyor. Daha iyi siber güvenlik, fiziksel erişim kontrol sistemlerinin korunmasına yardımcı olabileceği gibi, iyileştirilmiş fiziksel güvenlik de birçok siber riskin azaltılmasına yardımcı olabilir. Bu iki ilişkili riskin değerlendirilmesi, fiziksel erişim riskinin siber saldırı vektörü olarak yeniden sınıflandırılmasıyla daha da iç içe geçecek.
COO’lar ayrıca, siber sigorta sağlayıcılarının işletmelere daha iyi siber risk hijyeni sağlamaları konusunda giderek daha fazla baskı yaptığını ve genel olarak riske dayalı siber güvenlik gündeminin iyileştirilmesine katkıda bulunduğunu da kabul edeceklerdir. Geçtiğimiz beş yıl boyunca siber sigortacılar, şirketlere ağ yedeklemeleri, çok faktörlü kimlik doğrulama, çalışan eğitimi ve güçlü şifre yönetimi politikaları dahil olmak üzere poliçe kapsamı için temel siber güvenlik önlemlerinin artık zorunlu olduğunu hatırlattı. Başarılı siber saldırılar imalat, enerji, kamu hizmetleri ve veri merkezi sektörlerinde daha fazla endüstriyel tesisi hedef aldıkça bu eğilim daha da belirgin hale gelecektir.
Bir siber olay nedeniyle işletmenin maruz kalabileceği potansiyel mali kayıpları tahmin eden etki bazlı risk değerlendirmeleri, COO karar vericisi açısından daha iyi yankı bulacaktır. Mali terimlerle açıklanan siber güvenlik, operasyonları kesintiye uğratma potansiyeli ve ne kadar olduğu, COO kontrollü bütçelerden siber güvenlik azaltımlarını haklı çıkarmaya yardımcı olmak için kullanılabilir. Siber güvenliğin hafifletilmesi, operasyonel kayıp azaltma yatırım getirisi ile sunulabilirse, geleneksel yüksek/orta/düşük siber risk sıralamalarına kıyasla COO’nun ödüllendirildiği finansal ölçümlerle çok daha uyumlu hale gelir.
İleriye doğru atılacak bir diğer adım, liderlerin endüstriyel siber risklerle mücadele etme biçiminde devrim yaratmak için dijital ikizlerin yapay zeka ile büyüyen birleşimini içerecek. Dijital bir ikiz oluşturmak, geniş ölçekte “eğer olursa” senaryoları çalıştırarak işletmelere siber suçlulara karşı önemli bir avantaj sağlayabilir. İşletmeler, karmaşık endüstriyel ortamlarını dijital formatta yansıtarak, siber risk ve siber güvenlik programlarının verimliliğini büyük ölçüde artırabilir ve önemli tasarruflar elde edebilir.
Bu kazanımlara rağmen, yapay zeka destekli kimlik avı e-postalarının nasıl tanınacağı konusunda yeniden eğitim alması gereken çalışanlardan, temel siber güvenlik programlarına sahip olmayan iş ortaklarına kadar siber riskler, OT tesisleri için önemli bir sorun oluşturmaya devam edecek. Bu riskler aynı zamanda uygunsuz bir şekilde işe alınan ve ayrılan yüklenicileri veya parola yönetimi politikaları ve ağ bölümlendirme gibi temel siber hijyen uygulamalarını hiçbir zaman uygulamayan şirketleri/tesisleri de kapsayabilir.
OT tesisleri için siber risk yönetiminin, tüm bu tür olayların ciddiyetini tahmin etmek ve ardından finansal öncelikleri buna göre belirlemek için bir yol gerektirdiğini biliyoruz. İşletmeler bu şekilde başarılı bir saldırının yol açabileceği potansiyel zararları modelleyebilir, buna etki bazlı risk değerlendirmesi denir. Titiz bir siber risk yönetimi yaklaşımının, herhangi bir zamanda bir kuruluşun siber güvenlik durumunu tanıması gerekir, ancak aynı zamanda sektörüne, ana sağlayıcılara, dağıtılan ürünlere, yakınsamaya, BT-OT entegrasyonuna, güvenlik açıklarına göre işletmenin ne kadar hedeflendiğini de hesaplamalıdır. ve diğer birçok parametre.
Etkiye dayalı risk değerlendirmeleri, tüm bu bağlamsal bilgilerin değerlendirmeye eklenmesiyle siber güvenlik değerlendirmelerinin geliştirilmesi açısından kritik hale geldi. Bu şekilde kuruluşlar, risk azaltma projelerine öncelik vermek ve net bilgiye dayalı siber güvenlik yatırım kararları vermek için siber risk portföylerini proaktif bir şekilde yönetebilirler.
Reklam