Yeni yayınlanan Güvenlik ve Borsa Komisyonu (SEC) siber olay ifşa kuralları karışık incelemelerle karşılanmıştır. Özellikle endişe verici olan, endüstriyel kontrol sistemlerine ve bağlı IoT altyapısına sahip olan ve işleten kamu şirketlerinin operasyonel riski tam olarak tanımlamaya hazır olup olmadıkları ve bu nedenle maddi iş riskini siber olaylardan tam olarak ifşa etmek için donanımlıdır. Bu endişe aynı zamanda hazırlık için yeni bir fırsat sunmaktadır.
Kurallar, tescil ettirenlerin, olayın maddi olduğunu belirledikten sonra en geç dört iş gününden sonra maddi siber güvenlik olaylarını (8 K dosyalama yoluyla) ifşa etmelerini gerektirir. Buna ek olarak, kurallar kamu şirketlerinin her yıl siber güvenlik riski yönetimi ve yönetişim stratejileri ile ilgili bilgileri 10 K dosyalamalarının bir parçası olarak maddi siber güvenlik risklerini değerlendirmek, tanımlamak ve yönetmek için açıklamalarını gerektirir.
OT ve IoT’de operasyonel risk
Siber güvenlik olayları üretimi bozmaya devam ediyor ve Clorox gibi şirketler açıklamadan bir ay sonra ürün kıtlığı bildiriyor. En az bir ABD halka açık şirketi, SEC ile 8 K dosyasında siber güvenlik sorununu açıkladı. Eylül ayında, Las Vegas’taki MGM Resorts, sistemlerini çevrimdışı alan bir olay bildirdi. Casino ödeme altyapısı mevcut değildi, slot makineleri çalışamadı ve konuklar odalara erişemedi.
İnternet üzerinden erişilemeyen bileşenlerle yapılan işlemler, ağa bağlı teknoloji sistemlere sistemlere, sitelere ve insanlara her şeye bağlandığı için giderek daha fazla sayısallaştırılmış ve bağlanmıştır. Operasyonel risk, görünüş ve/veya kontrolün manipülasyondan otomatik veya uzaktan kurtarılamayacağı bağlı süreçlerinize ve işlevlerinize görüş kaybına veya kontrol kaybına neden olan herhangi bir durumu ifade eder.
Yanıt ve iyileşme genellikle planlanmamış kesinti süresine, genişletilmiş manuel işlemlere ve önemli finansal maliyetlere yol açar. İş sürekliliği için hangi süreçlerin ve işlevlerin en önemli olduğunu belirlemek, operasyonların çalışma süresine ve gelirine katkıda bulunan kritik varlıkları tanımlamak için “taç mücevher analizi” olarak adlandırılan bir süreci içerir. Bu varlıkların belirlenmesi, güvenlik ekiplerinin ve yönetici liderlerin OT ve IoT dahil olmak üzere hangi sistemlerin benzersiz güvenlik korumaları ve tespitler gerektirmesine izin verir.
Kritik varlıklar tespit edildikten sonra, ekibiniz kategorize edilmeleri veya envanterleştirilmeleri gerekir, çünkü ekibiniz açıklanmayan, izlenmeyen, bazelize edilmiş, sertleştirilmiş veya sorgulanmayan herhangi bir varlık üzerinde kök neden analizi yapamayacaktır. Operasyonel risklerini ve eleştirel varlıklarını belirleyen ve özetleyen kamu şirketlerindeki güvenlik ekiplerinin 15 Aralık’tan önce üç temel hedefi vardır:
- operasyonel riski anlamak ve şirketlerinin önemlilik tanımlarıyla eşlemek
- Mevcut BT güvenlik kontrolleri veya yetenekleri kapsamında olmayan OT/IoT varlıklarını değerlendirmek ve stoklamak için
- Her iki değerlendirmeyi de, kuruluşun maddi riskleri nasıl değerlendirdiğini, tanımladığını ve yönettiğini açıklamak için SEC kuralında belirtilen raporlama gereksinimlerine dahil etmek
Operasyonel riski azaltmak ve azaltmak
Siber güvenliğin reaktif doğası, kurulların ve yönetici liderlerin riskten kaçınmak için güvenlik ekiplerini görevlendirerek riski azaltmaya çalıştıkları bir gerçeğe yol açmıştır. Bununla birlikte, riskten kaçınma, bir kuruluşu ve varlıklarını olumsuz etkileyebilecek tehlikeleri, faaliyetleri ve maruziyetleri ortadan kaldırır. Alternatif olarak, risk azaltma, tamamen kaçınılamayan durumların olaylarının kaçınılmazlığını ve etkilerini kabul eder.
SEC kuralı, kuruluşların güvenlik ekiplerinin ve yöneticilerinin maddi riski anlamalarını, değerlendirmelerini ve azaltmalarını nasıl sağladıklarını (veya yapmadıklarını) bildirmelerini gerektirir. OT ve IoT varlıklarını ve ağlarını güvence altına almakla görevli ekipler ve yöneticiler genellikle bu sistemlere, bağlantılara ve ağ trafiğine görünürlükten yoksundur. Bu durumsal farkındalık eksikliği, kazaların ve yanlış yapılandırmaların açılmadan gitmesine izin verir ve işinizin bölümlerini manipüle etmek veya yok etmek isteyen tehdit aktörleri için daha uzun süre bekler.
Karmaşık birbirine bağlı süreçleri olan şirketler, yılda yaklaşık 365 gün, 7/24, mal, hizmet ve kaynak tedarik etmek için ekipman, iletişim ve iş operasyonlarına bağlıdır. Bu işlemler ve tam zamanında süreçler, BT veya OT ağlarından kaynaklanan olaylardan önemli ölçüde etkilenebilir. OT’yi doğrudan veya dolaylı olarak etkileyen olaylar-veya işlem makineleri ve mühendislik ekipmanları-başlangıçta yıkıcı olabilecek ve basamaklı etkiler devam ettikçe yüksek sonuçsuzluk olaylara neden olabilir.
Yüksek sonuç etkinliklerine hazırlık, İç Güvenlik Bakanlığı Ulusal Olay Yönetim Sistemi’ne benzer. DHS NIMS beş bileşen içerir: plan, donanım, eğit, egzersiz yapmak, değerlendirme ve değerlendirme ve geliştirin. Bu beş bileşen siber güvenlik için hayati önem taşır. Sağlık ve insan güvenliği, planlanmamış kesinti süresinden kaçınmak ve ortalama iyileşme süresinin artması, maddi etkilerden kaçınmak için önemlidir, operasyonel risk göz ardı edilemez.
Operasyonel riskle durum tespiti yolculuğuna başlayan veya olgunlaşan şirketler için cevaplanacak dört soru vardır:
1. İşletmemiz en çok hangi sistemleri, varlıkları, cihazları ve bileşenlerini güveniyor?
2. OT ve IoT kontrol sistemlerindeki tehdit ve güvenlik açıkları için mevcut tehdit manzarası nedir?
3. İş, operasyonlar ve ağlarımda hangi güvenlik açıkları var ve sömürülebilir?
4. Varsa OT ve IoT cihazlarına ve ağlarına hangi mevcut güvenlik kontrolleri ve politikaları uygulanır?
Bu soruları cevaplamak ve OT ve IoT güvenliği için mevcut (ve bazen sektöre özgü) standartlardan, çerçeveler ve en iyi uygulamalardan yararlanmak SEC raporlama gereksinimlerine yardımcı olabilir.
Siber güvenlik bir sprint değil bir maraton ise, SEC Kural 17’ye hazırlanmak ısınmadır. Operasyonel risk için gereken tespit, uzun vadede gerekli kas ve esnekliği oluşturacaktır.