Hem bilgi teknolojisi (BT) hem de operasyonel teknoloji (OT) ortamlarını etkileyen son olayların ışığında, kuruluşlar artan BT/OT yakınlaşmasıyla ilişkili riskleri giderek daha fazla değerlendiriyor.
BT ortamları, bulut bilişimi, dahili ve dış kaynaklı İnternet uygulamalarını ve e-ticaret, insan kaynakları ve mühendislik gibi kuruluş genelinde kullanılan iş ve teknik sistemleri içerir. OT ortamları hem endüstriyel olmayan hem de endüstriyel Nesnelerin İnterneti’ni (IoT) içerir; sürekli ve toplu DCS, PLC ve SCADA kontrolörleri gibi endüstriyel kontrol sistemleri (ICS); ve ayrı imalat ve robotik için endüstriyel otomasyon sistemleri, HVAC kontrolü, elektrik dağıtımı ve tıbbi cihazlar gibi bina yönetim sistemleri.
Kuruluşların işleyiş biçimlerini değiştirmek için yeni dijital dönüşüm girişimlerini benimsemesiyle OT her yerde bulunabilecek, daha bağlantılı ve BT ile daha yakınlaşacak. Buna karşılık, tehdit aktörleri yeni ortama uyum sağlayacak ve faaliyetlerinden öğrenilen hileleri BT ağlarına karşı getirecektir. OT ortamları tipik olarak daha az korunan bir saldırı yüzeyine sahip olduğundan, kuruluşların daha yüksek düzeyde siber güvenlik yetkinliğine sahip personele ve endüstriyel ortamlarda halihazırda mevcut olan güvenlik önlemlerine güvenlik kontrolleri eklemeye odaklanmaya ihtiyacı vardır.
IT ve OT Standartlarının Güvenlik Programlarına Dahil Edilmesi
Güvenlik standartları, bir şirketin en önemli mücevherlerini oluşturan otomasyon ve kontrol sistemlerini güvence altına almak için pragmatik bir yaklaşım sunar. Şirketler, genel siber güvenlik programlarına hem BT hem de OT standartlarını dahil etmelidir, çünkü tehditler ve saldırılar her iki yönden de gelebilir ve işletmenin hem iş hem de operasyon taraflarına zarar verebilir.
Ön kapınız için bir güvenlik sistemine 1 milyon dolar harcamak, arka kapıyı açık bırakırsanız güvenlik sorununu çözmez.
İyi düşünülmüş, kurumsal düzeyde bir siber güvenlik programı, ISO 27001 ve 2 gibi yaygın olarak kullanılan BT standartlarını ISA/IEC 62443 gibi OT standartlarıyla bütünleştirir. Çoğu zaman, bu standartlar bir/veya senaryosunda mutlak değerler olarak tartışılır. Ancak gerçekte bu bir “ve” stratejisidir (ISO 27001/2 VE IEC 62443).
Birçok kuruluş, BT güvenlik politikalarını ve prosedürlerini ağırlıklı olarak ISO/IEC 27001/2’ye dayandırmış ve bu yapıyı OT sistemlerine genişletmeye çalışmıştır. Bazı güvenlik kazanımları mümkün olsa da, gerçek şu ki ISA/IEC 62443 serisi, OT sistemlerinin güvenliğini sağlamak için özel olarak oluşturulmuş standarttır.
ISA/IEC 62443, ISO 27001/2’yi tamamlar ve OT’nin kuruluşun bilgi güvenliği yönetim sistemine genişletilmesine izin verir. ISA/IEC 62443, güvenlik kilitleri olan ve düzenleyici dile uyum ihtiyacı, endüstriyel ekipman izleme, tehlikeli alanlarda güvenlik sistemleri, karmaşık analizörler ve özel amaçlı üretim alanları dahil olmak üzere ISO 27000’in genel olarak uygulanamadığı işletmenin operasyonel kısımlarını ele alır. endüstriyel ağlar.
Bu tesislerdeki kurumsal BT ekiplerinin OT risklerini, koruma planlarını ve müdahale planlarını anlaması ve genel siber güvenlik yönetim sistemlerine dahil etmesi gerekecektir. ISA/IEC 62443, entegre siber güvenlik ekiplerinde BT ve OT arasındaki boşlukları kapatmak için en kullanışlı dil olarak kabul ediliyor.
ISA/IEC 62443 ile birlikte ISO 27001/2 serisini kullanan kuruluşlar, her iki standardın da en iyisini harmanladıkları için BT ve OT’yi güvence altına alarak çok daha üstün sonuçlar elde eder.
ABD’de kamu politikasında yüksek oranda referans verilen bir siber güvenlik çerçevesi olan Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Siber Güvenlik Çerçevesi, uluslararası kabul görmüş ISA/IEC 62443 standart ailesine 112’den fazla referans içerir. Bu standart ailesi, otomasyon ve kontrol sistemlerinin riskini değerlendirme sürecinde kuruluşlara yardımcı olur, OT güvenliğine uygunluğu ölçmek için ölçümler ve kıyaslamalar sağlar ve bu riski azaltmak için güvenlik önlemlerinin belirlenmesi ve uygulanması için rehberlik sağlar.
Yasa koyucular, bileşenlerinin yaşamlarını etkileyen otomasyonu güvence altına almak için standartların değerini kabul ediyor ve bu “en iyi uygulamaların” çoğunu zorunlu kılıyor. New York’ta yakın zamanda çıkarılan mevzuat, ulaşım, su ve atık su arıtma tesisleri, kamu hizmetleri, kamu binaları, hastaneler, halk sağlığı tesisleri ve belirli finansal hizmet kuruluşları dahil olmak üzere eyaletin kamu altyapısına ISA/IEC 62443’ün uygulanması çağrısında bulunuyor.
Paylaşılan Sorumluluk Zihniyeti Kritiktir
Bir şirketin siber güvenlik programının başarılı olması için BT ve OT liderlerinin siber güvenlik sorumluluğunu paylaşması gerekir. Mühendislik ve tedarik firmaları, entegratörler, ekipman satıcıları, bakım sağlayıcıları ve personel ekiplerinin tümü siber güvenlik paydaşlarıdır ve çevreyi koruma ve riski azaltma konusundaki benzersiz rollerini anlamalıdır.
Çoğu siber güvenlik uzmanının anladığı gibi, tehdit aktörlerinin otomasyonumuza ve kontrollerimize saldırmasını tamamen engelleyemeyiz. Hedeflerimiz, en değerli fikri mülkiyeti ve varlıkları korumak, rakipleri yavaşlatmak, rakiplerin saldırı başlatma maliyetlerini artırmak ve bir şeyler ters gittiğinde hızla tespit etmektir. Bir organizasyonun her bir parçasının oynayacak bir rolü vardır ve hem BT hem de OT standartlarını entegre eden kapsamlı, kurumsal düzeyde bir siber güvenlik programı daha iyi sonuçlara yol açacaktır.