[By Blake Benson, Senior Director – Industrial Cybersecurity Practice at ABS Group]
Amerika’nın kritik altyapısı her zamankinden daha çeşitli tehditlerle karşı karşıya. Pek çok sektörün hızla dijitalleşmesi ve diğerlerinde nispeten benzer operasyonel ortamlar, güvenlik uzmanlarının ve analistlerin her ikisinin de ihtiyaçlarını karşılamak için farklı eylem planları geliştirmesine yol açtı.
Giderek birbirine bağlanan fiziksel ve BT altyapımızı daha iyi korumak için federal risk analistleri, karşılaştığımız tehditlere ilişkin kapsamlı ve entegre bir bakış açısına sahip olmalıdır. Bu, siber tarafından başlatılan olayların tehditlerini ve kinetik sonuçlarını doğru bir şekilde yakalamak için mevcut risk çerçevelerinden ve modellerinden yararlanmayı ve siber-fiziksel korumaları birleştirmeyi içerir.
Daha güvenli bir dünya için küçük değişiklikler
Hem siber hem de fiziksel tehditler arasındaki farkları kabul eden ancak bunları yine de birbirleriyle birlikte ele alan bir yaklaşım geliştirmek, muhtemelen uzmanların ve kurumların önemli bir kararlılığını gerektirecektir. Ancak süreç sıfırdan başlama çabasından ziyade bir evrim niteliğinde olmalıdır. Örneğin, ABD güvenlik topluluğunun şu anda limanlarda ve diğer savunmasız bölgelerdeki terörle mücadele çabaları için kullandığı risk modelleri, halihazırda eldeki görev için sağlam bir temel sağlıyor.
Ancak bunun siber-fiziksel bir dünyada işe yaraması için birkaç temel özelliğin değişmesi gerekecek.
Başlangıç olarak federal hükümetin siber riski tanımlama ve önceliklendirme konusundaki düşünce yapısını yeniden şekillendirmesi gerekiyor. Geleneksel terörle mücadele programları için kullandığımız modeller, kinetik düşmanlık eylemlerinin neden olduğu fiziksel sonuçları yakalamada olağanüstü bir iş çıkarıyor ve ekonomi veya ilgili bağımlılıklar üzerindeki ikincil ve üçüncül yansımaların çoğunu yakalıyor.
Aynı sonuçlar siber-fiziksel ortamlar için de geçerlidir ve yeni bağlanan sistemlerin bu olaylara nasıl katkıda bulunabileceği denklemin bir parçası olmalıdır, ancak bunlar yalnızca şudur: bir kısım ondan. Karma değerlendirme çerçevesi aynı zamanda tedarik zinciri kesintileri, liman kapanmaları veya veri sızıntıları gibi olayların topluluklar üzerindeki etkilerini patlamalar veya gaz sızıntıları gibi daha geleneksel fiziksel tehditlerle birlikte dikkate almalıdır.
Riskin bu şekilde yeniden tanımlanması, güvenlik uzmanlarının siber tarafından başlatılan olayları geleneksel risk modelleriyle birleştiren daha konsolide ve kapsamlı bir risk çerçevesi oluşturmasına olanak tanırken, etkilerin daha iyi önceliklendirilmesine ve karşılaştırılmasına da olanak tanıyacak. Bir zamanlar ayrı olsalar da ikisi artık ayrılmaz bir şekilde birbirine bağlı hale geldi. Siber tarafından başlatılan olaylar artık başlangıçta dijital araçlarla ilişkili olmayan olayları kopyalayabiliyor; bu da risk çerçevelerinin hem siber hem de siber olmayan sistemler ve bunların nasıl etkileşime girdiğine ilişkin korumaları, hafifletme önlemlerini ve diğer ilgili bilgileri doğru bir şekilde yakalamasını daha da önemli hale getiriyor.
Son olarak, olaylar, etkili hafifletme eylemleri, tehditler, güvenlik açıkları ve diğer ilgili faktörler hakkında şeffaflığı teşvik etmek için daha geniş güvenlik topluluğu bir araya gelmelidir. Bu tür veri setine erişim, yalnızca daha etkili siber öneriler sağlamaya yardımcı olmakla kalmayacak, aynı zamanda işletmelerin daha güvenli operasyonlar, daha etkili risk modelleri ve zayıf yönleri düzeltmek için daha etkili önceliklendirme stratejileri izlemesine de yardımcı olabilir. Bu şeffaflığı teşvik etmek için hükümet düzeyindeki kurumlar, kritik altyapıyı daha iyi korumak amacıyla mevcut kaynakların sürekli iyileştirilmesine yardımcı olmak için sektörler arası, organizasyonlar arası tehditler, olaylar ve etkili hafifletme eylemleri veri tabanının geliştirilmesinde de görev almalıdır. .
Bilmek ve yapmak
Yaygın değişimin gerekli olduğu çoğu zaman olduğu gibi, ne yapmanız gerektiğini bilmek bir şeydir; aslında bunu yapmak başkadır. Bu alanda sorumlulukları olan kurumlar, diğer politikaların ve önceliklerin federal ve sektör paydaşlarına anlamlı risk satın alma faaliyetleri sağlama yeteneklerine nasıl müdahale ettiğini dikkatli bir şekilde değerlendirmelidir.
Operasyonel siber faaliyetlerin sorumluluğu sektöre ve olgunluk düzeyine bağlı olarak değişme eğilimindedir. CISA’nın ve gözetim ve tehdit danışmanlığı sorumluluklarına sahip diğer federal kurumların rol ve sorumluluklarının yanı sıra bu kurumlar ve ilgili sektör paydaşları arasındaki işbirliği süreçleri de açıkça tanımlanmalıdır.
Yukarıdakiler, ABD’nin daha iyi, daha kapsamlı bir OT siber risk yönetimi programı oluşturmasına yardımcı olmak için yapılması gereken teorik değişiklikleri destekleyebilecek yalnızca iki pratik düzenlemedir. Sonuçta ayrıntılar sonuçtan daha az önemlidir; Siber ve fiziksel ulusal güvenlik programlarının birleştirilmesi, ABD hükümetinin, özel şirketlerin ve OT ve BT uzmanlarının, günümüzün siber-fiziksel güvenlik kaygılarını hafifletmeyi umuyorlarsa zamanlarını ayırmaları gereken sürekli bir taahhüt olacaktır.
Reklam