Ulusal Güvenlik Ajansı (NSA), Avustralya, Kanada, Almanya, Japonya, Hollanda, Yeni Zelanda, Güney Kore ve Birleşik Krallık’taki siber güvenlik kurumlarıyla birleşti. bir rehber yayınlamak Güvenli, güvenlik açısından kritik bir altyapı operasyonel teknolojisi (OT) ortamının oluşturulmasına ve bakımına rehberlik etmek için kullanılabilecek altı ilkenin ana hatlarını çiziyor. “Operasyonel Teknoloji Siber Güvenliğinin İlkeleri” güvenlik uygulayıcılarına su, enerji ve ulaşım sistemleri de dahil olmak üzere kritik altyapının güvenliğini artırmanın yollarını sunuyor.
Belge, kuruluşları, OT sistemlerinde değişiklik yapmanın, OT ortamında güvenlik açıklarına neden olabilecek ilkelerden herhangi birini etkileyip etkilemeyeceğini veya ihlal edip etmeyeceğini belirlemeye ve riski azaltmak için doğru güvenlik kontrollerinin uygulanıp uygulanmadığını incelemeye teşvik ediyor.
Altı prensip şu şekildedir:
Güvenlik her şeyden önemlidir. Kurumsal BT sistemlerindeki değişiklikler iş sürekliliğini bozabilir ancak OT ortamları için riskler daha yüksektir. Kritik altyapıda yapılacak değişiklikler, insan hayatına yönelik ölümcül tehditlere veya ekipman veya çevreye ciddi zararlar verilmesine yol açabilir. Su ve enerji altyapısındaki başarısızlıklar topluluklar ve bireyler için felaket olabilir. Toplulukları güvende tutmak amacıyla OT yöneticileri, kesinti potansiyelini en aza indirmek için sistemlerin nasıl yeniden başlatılabileceğini ve yedeklenebileceğini düşünmelidir. Güvenlik ve güvenilirlik üzerine düşünmek, en yaygın siber hijyen görevleri de dahil olmak üzere tüm görevlere nüfuz etmelidir.
İş bilgisi çok önemlidir. Ekipler nelerin korunması gerektiğini ve hizmet sağlamak için işin hangi bölümlerinin gerekli olduğunu bilmelidir. Liderlik paydaşları siber güvenlik endişeleri ve uygulamalarının farkında olduğunda sonuçlar iyileşir. Uygulamada bu prensibi destekleyen faaliyetler arasında siber güvenlik olaylarına müdahale taktik kitaplarının ve yeterli bilgiyi içeren iş sürekliliği planlarının oluşturulması yer alabilir. Uygulayıcıların acil bir durumda hızlı bir şekilde çalışabilmesi için kablo türlerinin renk kodlu olması ve işlevlerinin tanımlanması başka bir fikirdir.
OT verileri son derece değerlidir ve korunması gerekir. OT altyapısı nadiren değiştiğinden, yapılandırmasıyla ilgili bilgilerin güvenliğinin sağlanması son derece önemlidir. Mühendislik yapılandırma verileri (ağ diyagramları gibi), operasyon sırasını özetleyen belgeler, mantık diyagramları ve şemalar, rakiplerin sistemin nasıl çalıştığına veya ağın nasıl yapılandırıldığına dair derinlemesine bilgi edinmelerini sağlayacak bilgileri sağlar. Basınç göstergesi ayarları ve voltaj seviyeleri gibi kısa ömürlü veriler bile kuruluşun faaliyetleri, müşteri davranışları ve genel OT ortamı hakkında bilgi sağlamaya devam edebilir. OT verileri kurumsal ortamlardan ve internetten ayrılmalıdır. Verilere kimin erişimi olduğunu, verilere ne zaman ve nasıl erişildiğini takip edin.
OT’yi diğer tüm ağlardan bölümlere ayırın ve ayırın. Kuruluşlar, İnternet’ten veya e-posta veya Web’de gezinme gibi sistemlerden kaynaklanan riskleri azaltmak için OT ağlarını İnternet’ten ve BT ağlarından bölümlere ayırmalı ve ayırmalıdır. OT ağları aynı zamanda satıcılardan da ayrılmalıdır. Örneğin, elektrik iletim ağlarının (ETN’ler) OT ağları, diğer ETN’lerin veya satıcıların veya elektrik dağıtım ağlarının OT ağlarına bağlanabilir. Ağlar kurumsal ortamlarda da yönetilebilir ve bu da daha büyük risklere olanak tanır.
Tedarik zinciri güvenli olmalıdır. Satıcılar, OT ekiplerinin farkında olması ve en aza indirmesi gereken risk maruziyetini sunar ve yazıcılar ve terminaller veya HVAC gibi bina yönetim sistemlerine kadar OT ağına dokunan tüm cihazlar hakkında farkındalığa sahip olmaları gerekir. Neyin nerede olduğunu, onu kimin yönettiğini ve satıcının sisteminin siber güvenlik olgunluk düzeyinin ne olabileceğini bilin.
İnsanlar OT siber güvenliği için çok önemlidir. Bir siber güvenlik olayı durumunda, eğitimli OT profesyonellerinin müdahale etmek için hazır olması gerekir. Güçlü bir siber güvenlik kültürü, farklı beceri, bilgi ve deneyime sahip çok çeşitli insanlara sahip olmak gibi bir zorunluluktur. BT, kontrol sistemi mühendisleri, saha operasyon personeli ve varlık yöneticileri de dahil olmak üzere roller genelinde güvenlik kültürü vurgulanmalıdır.
“Kamu güvenliği ve siber güvenlik duruşumuzu güçlendirmek, bu özel CSI’ın kalbinde yer alıyor [cybersecurity information sheet]NSA siber güvenlik direktörü Dave Luber bir açıklamada şunları söyledi: “Bu CSI’da araştırılan operasyonel teknoloji siber güvenliğinin altı ilkesi, siber güvenlik duruşunu güçlendirmek isteyen herkes için hayati önem taşıyor ve özellikle de destekleyici operasyonel teknoloji ortamında çalışanlar için önemli. Ülkemizin kritik sistemleri.”
