Dijital sistemler, fiziksel makineler ve bunların çıktıları üzerinde kontrol uyguladığı sürece, bunların orantılı olarak nasıl güvence altına alınacağına ilişkin ihtiyaç ve ilgili sorular mevcuttu. Üretim, tarım, kritik ulusal altyapı ve sağlık hizmetleri, yalnızca birkaçını saymak gerekirse, fiziksel çevreyle etkileşime giren ve fiziksel çevreyi etkileyen Operasyonel Teknoloji (OT) sistemlerini ve ekipmanlarını korumak için siber güvenlik kontrollerine her zamankinden daha fazla ihtiyaç duyulan endüstriyel sektörlerdir. .
Tarihsel olarak, daha basit ve daha az bağlantılı bir dünyada, endüstriyel kontrol ve otomasyon sistemleri, statik bir karar verme çerçevesi içerisinde sınırlı sayıda şeyi yapmak üzere tasarlanmıştı. Böylelikle bu sistemler izole edilmiş, kendi kendine yeten, bakımı ve kontrolü kolay hale gelmiştir.
Bununla birlikte, çeşitli endüstriyel ortamlara daha gelişmiş bilgisayar sistemlerini entegre etme, iletişim için ağ bağlantısını genişletme, otomasyonu artırma ve dinamik veri odaklı karar almayı uygulama konusunda ilerledikçe, bilgisayar sistemleri ve fiziksel makineler arasındaki etkileşim ve karşılıklı bağımlılık düzeyleri aktüatörler ve sensörlerin sayısı önemli ölçüde arttı. Bu dijital dönüşüm birçok fayda sağlarken, aynı zamanda genellikle siber güvenlik düşünülmeden tasarlanan, geleneksel olarak yalıtılmış Siber-Fiziksel Sistemleri çok sayıda siber güvenlik tehdidine maruz bırakıyor. Endüstriyel OT ortamlarına yönelik artan tehdit ortamı dikkate alındığında, Colonial Pipeline fidye yazılımı saldırısı gibi güvenlik olayları ve Sellafield Nükleer tesisine yönelik yakın zamanda bildirilen tehditler, hızla dijitalleşen ortamlar ve endüstriler arasında bu tür konuşmaların önemini ortaya koyuyor.
Aşağıda, siber-fiziksel güvenliği sağlamak için çalışan tüm kuruluşlar için bir rehber görevi görecek olan, Exalens CEO’su Dr Ryan Hartfield ile BT Güvenliği Gurusu arasında yapılan bir Soru-Cevap görüşmesi bulunmaktadır.
Hedef kitlemiz için siber-fiziksel tehditlerin ciddiyetini özetleyebilir misiniz?
Varoluştan başka bir şey değiller. Hiç kimse bir kuruluş için veri ihlallerinin ciddiyetini veya hassas belgelerin düşman bir ulus devlet tarafından ele geçirilmesini inkar etmese de, bu hasar, siber-fiziksel bir ortamda mevcut olan potansiyel fiziksel etkilerle karşılaştırıldığında önemsiz kalabilir.
Anahtar kelime fiziksel. Pek çok siber güvenlik olayının tehditleri ticari, ekonomik veya jeopolitik tehditler kategorisine girse de bunlar yalnızca kategori 1 siber-fiziksel tehdidin yan ürünlerinden bazılarıdır. Bir siber saldırı nedeniyle ulusal altyapının önemli bir parçası (Ulusal şebeke veya gıda tedarik zincirinin önemli parçaları gibi) tehlikeye girerse, yalnızca yaygın ekonomik etkiler ve jeopolitik etkiler görmekle kalmayacak, aynı zamanda ciddi risklerle de karşı karşıya kalacağız. toplumsal huzursuzluk ve fiziksel tehlike.
Siber fiziksel sistemlerin yeterli düzeyde güvenlik altına alınmasını engelleyen kültürel engeller nelerdir?
Öncelikle şunu belirtmek gerekir ki, bu konuya mutlaka önem vermesi gereken firmalar Yapmak Doğrudan iş riskiyle ilgili olduğundan siber güvenliğe önem verin. Ancak siber güvenliğe önem verip vermediklerini sormak muhtemelen bu tür konuşmalara yaklaşmanın yanlış yoludur.
Bunun yerine sorulacak en önemli şey ‘bir günlük kesintinin maliyeti ne kadar olur?’ olacaktır. Üst düzey endüstriyel, üretim veya kritik altyapı pozisyonlarındaki kişilerle kesinti süresi ve kesinti süresinin önlenmesi (ve dolayısıyla ilgili itibar ve mali kayıplar) ve siber dayanıklılığın artık bu gereksinimin önemli bir unsuru olduğu hakkında konuşabiliyorsanız, o zaman çok daha olumlu bir konuşma yapmak için.
Komuta zincirinin daha aşağısındaki bir sorun, siber güvenlik ve BT uzmanlarından oluşan orta düzey yönetime ve fabrikaların fabrika yöneticilerine gittiğinizde operasyonel sürtüşmenin ortaya çıkmasıdır. Siber güvenlik ekiplerine yetkisiz sistem erişimini önlemek için sistemleri kilitleme ve izleme talimatı verilir ve çoğu zaman bu durum ters yönde işleyebilir ve sonuçta fabrikayı çalışır durumda tutmakla görevli olan tesis yöneticilerinin ihtiyaçlarına müdahale edebilir. Süreçleri ve çıktıyı optimize etmek. Biraz paradoksal olarak mühendisler, OT sistemleri genelinde artan siber güvenlik kontrollerinin uygulamaya konulmasını, bu sistemlerin güvenli ve güvenilir bir şekilde çalışması açısından başlı başına bir risk olarak bile değerlendirebilir.
Sonuç olarak, bu argümanda gri tonlar olsa da, şu anda siber güvenlik ve endüstri mühendisliği ekipleri aynı sistemleri ve ortamı farklı merceklerden görüyor; biri güvenliği güçlendirme, diğeri ise organizasyonu hareket halinde tutma ve en önemlisi karlılık. Buradaki zorluk, bu mercekleri, her iki tarafın da kendi hedeflerine ulaşmada birbirlerini nasıl desteklediklerini görecek şekilde şekillendirmektir. Bu tamamen teknik bir zorluk değil, ekipler ve gelişen iş süreçleri arasındaki kültürel bir zorluktur.
İşin bu iki kolunun aynı hedefe doğru ilerlediklerini ve uzun vadede sağlam bir siber güvenlik politikasının aslında verimliliği ve çıktıyı mümkün kılacağını ve iyileştireceğini anlamalarını sağlamak, siber güvenlik ekiplerine ve kuruluşların daha geniş liderliğine bağlıdır. , herkesin riskini azaltırken. Temelde bu, fabrika yöneticilerinin şu bilmecesine basit ve net bir cevap olabilir: “Bundan bana ne çıkar?”.
Hükümetler ve düzenleyiciler siber-fiziksel güvenliği geliştirmek için ne yapabilir?
Satıcıların siber fiziksel ortamlarını güvence altına almayı ümit eden kuruluşlarla yapabileceği görüşmeler ancak bu kadar sonuç verebilir. OES sağlayıcılarını (temel hizmetlerin operatörleri) teşvik etmek hükümetin sorumluluğundadır. Bunun alternatifi, kuruluşların kendi tedarik zincirleri tarafından güvenliği bir öncelik haline getirmeye zorlanmasıdır, bu da onları proaktif değil reaktif bir temele yerleştirir.
ABD’deki pek çok mevzuat, endüstriyel sektörlerde belirli düzeylerde güvenlik kontrolü sağlamaya, hatta muhtemelen zorlamaya çalıştı. Birleşik Krallık NCSC ve Hükümeti bunun bir sorun olduğunu biliyor ve anlıyor ve uymanız gereken siber güvenlik alanlarını ayrıntılandıran siber güvenlik düzenleme ve uyumluluk çerçeveleri oluşturmaya devam etmeleri gerekiyor. Aslında NCSC Siber Değerlendirme Çerçevesi (CAF) ve NIS İlkeleri tamamen bununla ilgilidir. Ancak çoğu zaman çerçeveler zorunlu olmaktan ziyade tavsiye niteliğindedir. Finansal sistemlerde gördüğümüz benzer kontrollerin siber fiziksel endüstriyel sistemlere de uygulanmasını görmek isterim; bu, eğer kuruluş standart, en iyi uygulama güvenlik kontrolleri ve politikalarının uygulanması ve sürdürülmesinde başarısız olursa, sadece kendi sistemleri, tedarik zinciri, ve itibarları risk altında olabilir, ancak çevrelerinin riske atılması ve bozulması durumunda, aşağı yöndeki toplumsal ve ekonomik etkilerden mali olarak sorumlu olacaklardır.
Sıklıkla kullanmaktan hoşlandığım bir benzetme araba kullanmaktır; Araçlarımızın kapı kilitleri ve frenler gibi işleyen güvenlik ve güvenlik kontrolleriyle donatılmış olmasını ve bu kontrollere sahip olmasını istiyoruz. Arabalarımızı sürerken yoldaki tehditlere karşı gözümüzü açık tutarken bu kontrollerin bütünlüğünü sürekli olarak izliyoruz. Ayrıca bu faaliyetleri belli bir standartta yürütebildiğimizi kanıtlayan bir testten geçmemiz gerekiyor. Artık sertifika alıyoruz ve araç kullanırken en iyi uygulamaları gerçekleştiriyoruz çünkü sürüşle ilgili riskler Olumsuz bunu yapmak çok harika. Kritik endüstriyel sektörlerimizi çalışır durumda tutan siber-fiziksel sistemlere yatırım yapma ve siber güvenlik önlemlerini uygulama konusunda nasıl düşündüğümüz açısından bu aşamaya gelmemizin çok önemli olduğunu düşünüyorum; özellikle de kuruluşlar dijital dönüşümü gerçekleştirmek için bu sistemleri birbirine bağlamaya ve otomatikleştirmeye devam ederken. endüstriyel operasyonlar genelinde.
Siber fiziksel boşluğu doldurma hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: https://www.exalens.com/