Ulusal Güvenlik Ajansı, Avustralya, Kanada, Almanya, Japonya, Hollanda, Yeni Zelanda, Güney Kore ve Birleşik Krallık’taki siber güvenlik kuruluşlarıyla birleşti. bir rehber yayınlamak Güvenli, güvenlik açısından kritik bir altyapı operasyonel teknolojisi (OT) ortamının oluşturulmasına ve bakımına rehberlik etmek için kullanılabilecek altı ilkenin ana hatlarını çiziyor. “Operasyonel Teknoloji Siber Güvenliğinin İlkeleri” güvenlik uygulayıcılarına su, enerji ve ulaşım sistemleri de dahil olmak üzere kritik altyapının güvenliğini artırmanın yollarını sunuyor.
Belge, kuruluşları, OT sistemlerinde değişiklik yapmanın, OT ortamında güvenlik açıklarına neden olabilecek ilkelerden herhangi birini etkileyip etkilemeyeceğini veya ihlal edip etmeyeceğini belirlemeye ve riski azaltmak için doğru güvenlik kontrollerinin uygulanıp uygulanmadığını incelemeye teşvik ediyor.
Altı prensip şu şekildedir:
-
Güvenlik her şeyden önemlidir. Kurumsal BT sistemlerindeki değişiklikler iş sürekliliğini bozabilir ancak OT ortamları için riskler daha yüksektir. Kritik altyapıda yapılacak değişiklikler, insan hayatına yönelik ölümcül tehditlere veya ekipman veya çevreye ciddi zararlar verilmesine yol açabilir. Su ve enerji altyapısındaki başarısızlıklar topluluklar ve bireyler için felaket olabilir. Toplulukları güvende tutmak amacıyla OT yöneticileri, kesinti potansiyelini en aza indirmek için sistemlerin nasıl yeniden başlatılabileceğini ve yedeklenebileceğini düşünmelidir. Güvenlik ve güvenilirlik üzerine düşünmek, en yaygın siber hijyen görevleri de dahil olmak üzere tüm görevlere nüfuz etmelidir.
-
İş bilgisi çok önemlidir. Ekipler nelerin korunması gerektiğini ve hizmet sağlamak için işin hangi bölümlerinin gerekli olduğunu bilmelidir. Liderlik paydaşları siber güvenlik endişeleri ve uygulamalarının farkında olduğunda sonuçlar iyileşir. Uygulamada, bu prensibi destekleyen faaliyetler, yeterli bilgiyi içeren siber güvenlik olay müdahale taktik kitapları ve iş sürekliliği planları oluşturmak veya uygulayıcıların acil bir durumda hızlı bir şekilde çalışabilmesi için kablo türlerini renk kodlaması ve işlevlerini tanımlamak gibi bir şey olabilir.
-
OT verileri son derece değerlidir ve korunması gerekir. OT altyapısı nadiren değiştiğinden, yapılandırmasıyla ilgili bilgilerin güvenliğinin sağlanması son derece önemlidir. Ağ diyagramları, operasyon sırasını özetleyen belgeler, mantık diyagramları ve şemalar gibi mühendislik yapılandırma verileri, rakiplerin sistemin nasıl çalıştığına veya ağın nasıl yapılandırıldığına ilişkin derinlemesine bilgi edinmelerini sağlayacak bilgileri sağlar. Basınç göstergesi ayarları ve voltaj seviyeleri gibi kısa ömürlü veriler bile kuruluşun faaliyetleri, müşteri davranışları ve genel OT ortamı hakkında bilgi sağlamaya devam edebilir. OT verileri kurumsal ortamlardan ve internetten ayrılmalıdır. Verilere kimin, nasıl ve ne zaman eriştiğini, ne zaman ve nasıl erişildiğini takip edin.
-
OT’yi diğer tüm ağlardan bölümlere ayırın ve ayırın. Kuruluşlar, internetten veya e-posta veya web tarama gibi sistemlerden kaynaklanan riskleri azaltmak için OT ağlarını internetten ve BT ağlarından bölümlere ayırmalı ve ayırmalıdır. OT ağları aynı zamanda satıcılardan da ayrılmalıdır. Örneğin, elektrik iletim ağlarının OT ağları, diğer ETN’lerin veya satıcıların veya elektrik dağıtım ağlarının OT ağlarına bağlanabilir. Ağlar kurumsal ortamlarda da yönetilebilir ve bu da daha büyük risklere olanak tanır.
-
Tedarik zinciri güvenli olmalıdır. Satıcılar, OT ekiplerinin farkında olması ve en aza indirmesi gereken risk maruziyetini sunar ve yazıcılar ve terminaller veya HVAC gibi bina yönetim sistemlerine kadar OT ağına dokunan tüm cihazlar hakkında farkındalığa sahip olmaları gerekir. Neyin nerede olduğunu, onu kimin yönettiğini ve satıcının sisteminin siber güvenlik olgunluk düzeyinin ne olabileceğini bilin.
-
İnsanlar OT siber güvenliği için çok önemlidir. Bir siber güvenlik olayı durumunda müdahale edecek eğitimli OT profesyonellerinin hazır bulunması gerekir. Güçlü bir siber güvenlik kültürü, farklı becerilere, bilgi ve deneyime sahip çok çeşitli insanlara sahip olmak gibi bir zorunluluktur. BT, kontrol sistemi mühendisleri, saha operasyon personeli ve varlık yöneticileri de dahil olmak üzere roller genelinde güvenlik kültürü vurgulanmalıdır.
“Kamu güvenliği ve siber güvenlik duruşumuzu güçlendirmek, bu özel CSI’ın kalbinde yer alıyor [cybersecurity information sheet]NSA Siber Güvenlik Direktörü Dave Luber, yaptığı açıklamada şunları söyledi: “Bu CSI’da araştırılan operasyonel teknoloji siber güvenliğinin altı ilkesi, siber güvenlik duruşunu güçlendirmek isteyen herkes için hayati önem taşıyor ve özellikle destekleyici bir operasyonel teknoloji ortamında çalışanlar için önemli. Ülkemizin kritik sistemleri.”