Kamu hizmeti altyapısı ciddi bir modernizasyon ihtiyacı içindedir. Dünyanın birçok yerinde tüketicilere güç ve su sağlayan altyapı, doğal afetlere ve artan enerji taleplerine dayanmaya hazır değil. Gerçek zamanlı veri analitiğini karar alma sürecine entegre etmek, modernizasyon çabalarını başlatmanın bir yoludur, ancak Itron’un 2022 Beceriklilik Raporuna göre, güvenlik ve veri gizliliği endişeleri nedeniyle yaklaşık beş kamu hizmeti kuruluşundan biri sahip oldukları araçları kullanmıyor .
Göz önünde bulundurulması gereken güvenlik etkileri olsa da, veri analitiği araçlarının konuşlandırılmasından vazgeçmek, kamu hizmetleri için uzun vadeli bir çözüm değildir. Müşterilerin taleplerini karşılarken aynı zamanda güvenlik ve mahremiyet hususlarına da öncelik vermek için kamu hizmeti şirketlerinin hem operasyonel teknoloji (OT) sistemlerini hem de müşteri verilerini depolayan ve hizmet veren sistemleri kapsayan bütünsel bir güvenlik programı izlemesi gerekir.
Kamu hizmetleri benzersiz karmaşıklıklarla karşı karşıya
Siber güvenlik, endüstriler ve sınırlar arasında bir önceliktir, ancak birkaç faktör, kamu hizmetlerinin faaliyet gösterdiği benzersiz ortamın karmaşıklığına katkıda bulunur. Sürekli bir saldırı yağmurunun yanı sıra, denetime tabi bir endüstri olarak kamu hizmetleri, 2022 Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA) gibi birkaç yeni uyumluluk ve raporlama zorunluluğu ile karşı karşıyadır. Diğer güvenlik hususları, güncellenmesi ve korunması zor olabilen eskiyen OT’yi, üçüncü taraf teknolojiler ve akıllı ev cihazları ve güneş panelleri gibi IoT cihazları üzerinde kontrol eksikliği ve son olarak en büyük tehdidi içerir: insan hatası.
Başarılı bir saldırı ölümcül sonuçlara yol açabileceğinden, bu risk faktörleri kamu hizmetleri üzerinde ekstra baskı oluşturur. Florida, Oldsmar’daki su kaynağını zehirlemeye çalışan (neyse ki başarısız olan) bir hacker örneği akla gelen bir örnektir.
Kamu hizmetlerinin, karışıma veri analitiği eklemeden önce uğraşması gereken çok şey var. Bununla birlikte, tüketicilerin kamu hizmetleri tarafından toplanan verilerin gizliliği konusunda önemli ölçüde daha az endişe duyduğunu belirtmek ilginçtir. Itron’un 2022 Beceriklilik Raporuna göre, kamu hizmeti yöneticilerinin %81’i müşteri verilerinin gizliliğini sağlama konusunda aşırı veya çok endişeli. Öte yandan, tüketicilerin yarısından azı (%42) kamu hizmetlerinin müşteri deneyimlerini kişiselleştirmek için enerji ve su kullanım verilerine erişmesinden son derece veya çok endişe duyduklarını söylüyor. Aslında birçok tüketici, enerji kullanımlarını azaltmak ve paradan tasarruf etmek için bu gelişmiş içgörülere daha fazla erişim istiyor.
Veriler, tüketici görüşünün veri analitiği tarafında olduğunu gösteriyor. Kamu hizmetleri, tüketicilerin taleplerini karşılamak için daha geniş OT güvenlik kaygılarının veri analitiği araçlarının dağıtımını yavaşlatmasına izin veremez; peki kamu hizmeti şirketleri bu endişeleri azaltmak ve tüketici gizliliğini korumak için hangi adımları atabilir?
Verileri korumak için üç adım
Gerçek zamanlı veri analitiğini gerçeğe dönüştürmek için toplanan büyük miktardaki verileri korumak için kamu hizmetlerinin atabileceği üç temel adım vardır. Hem OT sistemlerini hem de müşteri verilerini depolayan ve hizmet verenleri kapsayan bütünsel bir yaklaşımla, kamu hizmeti yöneticileri teknolojiyi modernize ederken daha güvenli hissedebilirler.
Bu üç adımı daha ayrıntılı inceleyelim.
1. Güçlü askerden arındırılmış bölgeler (DMZ) oluşturarak BT ve OT’yi birbirinden koruyun
Askerden arındırılmış bölgeler (DMZ’ler), güçlü ağ segmentasyonu ve kamu hizmetleri için BT ve OT ortamları arasında bir engel sağlar. Bu, bir bilgisayar korsanının bir yardımcı programın BT ağına girmek için daha geleneksel bilgisayar korsanlığı yöntemleri kullanmasını ve ardından işlerin operasyonel tarafında bir yer edinmesini engeller. Şirketler, BT ve OT sistemlerini olabildiğince ayırmanın yanı sıra, ağlarında da en üst düzeyde basitlik için çaba göstermelidir. Bir sistem ne kadar karmaşıksa, BT ağında o kadar fazla delik bulunur. Kötü niyetli aktörler, bu delikleri tespit etme ve bunlardan yararlanma konusunda uzmandır.
Ancak, herhangi bir stratejide olduğu gibi, hiçbir şey kusursuz değildir. Bu nedenle, yardımcı programların bir sızıntıyı hem tespit edip kontrol altına alacak hem de başarılı bir saldırı durumunda kesinti süresini azaltacak bir yedeği olmalıdır.
2. İnsan unsurunu ele alın
Kurumsal sistemler ve ağlar için gelişmiş önlemler kritik olmakla birlikte, siber güvenlik için en büyük riskin her zaman insan hatası olacağını unutmamalıyız. Standart savunmalar—çok faktörlü kimlik doğrulama, rol tabanlı erişim kontrolleri, iç denetim süreçleri, istenmeyen e-posta filtreleri, Microsoft Office makrolarını önleme, uç nokta algılama ve yanıt verme, veri kaybını önleme çözümleri vb.—çalışanların işlerini kolaylaştırmada çok yol kat eder. doğru kararları verir ve kötü aktörlerin içeri girmesini zorlaştırır.
IBM’in yıllık bir İhlal Maliyeti raporuna göre, “kritik altyapı sektörlerindeki ihlallerin dörtte birinden fazlasından fidye yazılımları ve yıkıcı saldırılar sorumluydu.” Bu tehdidi göz önünde bulundurarak, güvenlik bilincine sahip bir kültür sağlamak için şirket çapında güvenlik farkındalığı eğitimi oluşturmak da akıllıca olacaktır. Son kullanıcılar, ev cihazlarındakiler de dahil olmak üzere tüm olası tehditlerin farkında olmalıdır.
3. En değerli hedeflenen varlıklar üzerinde ek savunma katmanları oluşturun
Hiçbir iç veya dış kullanıcıya güvenilemeyeceği varsayımı altında çalışan sıfır güven mimarisi oluşturmakla başlayın. Ardından, hangi cihazların, uygulamaların ve kullanıcıların ağlara ve sistemlere erişebileceğini doğrulamak için protokolleri uygulayın. Herhangi bir hizmeti internete sunarken, kanıtlanmış ve bağımsız olarak test edilmiş ve doğrulanmış teknolojileri seçerek sektördeki en iyi uygulamalardan yararlanın.
Üçüncü taraf sızma ve güvenlik açığı testleri, bilgisayar korsanları tarafından en çok neyin hedef alınacağını belirledikten sonra, kamu hizmeti şirketleri en savunmasız ve değerli hedeflenen varlıklarını belirleyebilir ve şifreleme veya çok faktörlü kimlik doğrulama gibi ekstra koruma seviyeleri ekleyebilir. Bu önlemleri, kapsamlı izleme ve stratejik olay müdahale planı da dahil olmak üzere sağlam operasyonel en iyi uygulamalarla birleştirin.
Değişim zordur ama kaçınılmazdır (ve faydalıdır)
Kamu hizmeti sektörü, siber saldırılar ve mahremiyet endişelerinin ötesinde, yöneticilerin dikkatini birçok farklı yöne çeviren çeşitli aksaklıklarla karşı karşıyadır. Buna, yenilenebilir enerji kaynaklarının entegre edilmesi, elektrikli araçların yerleştirilmesi ve aşırı hava olaylarına hazırlanma dahildir ve bunların tümü, yaşlanan bir altyapı ve şebekenin olumsuz etkileriyle uğraşılır. Ancak, siber savunmalarını güçlendirmeye odaklanan kamu hizmetlerine yönelik destek olduğunu belirtmek önemlidir. Örneğin, Altyapı Yatırımı ve İstihdam Yasası (IIJA), siber güvenlik çabaları için önemli miktarda fon sağladı; bu, ABD kamu kuruluşları için büyük bir kazanç.
Veri analitiği, modernizasyon arayışlarında kamu hizmetleri için bir anlaşmazlık noktası olduğunu kanıtladı. Bununla birlikte, siber güvenlik endişeleri ele alındığında ve kamu hizmetleri gerçek zamanlı veri analitiğinin gücünü benimsediğinde, kritik altyapı daha güvenilir ve dirençli hale gelecektir. Nihayetinde, ışıkları açık tutan ve suyun akmasını sağlayan şey o olacaktır.