Bilişim Teknolojilerini (IT) ve operasyon teknolojilerini (OT) yakınlaştırmakta ve her zamankinden daha fazlasını yapmak için mobil, analitik, bulut ve sanallaştırma gibi yeni teknolojileri kullanmaktadırlar. Ancak, imalat ve endüstriyel işlemlerinin doğası değiştikçe, güvenlik risklerini de beraberinde getirmekte. Daha fazla bağlantılı işlem güvenlik tehditleri için daha fazla potansiyel giriş noktaları oluşturabilir. Bu tehditler pek çok farklı biçimlerde (fiziksel, dijital, dahili, harici, kötü niyetli veya kasıtsız) meydana gelebilir.
Bunun bir sonucu olarak, endüstriyel güvenlik bütüncül olmak zorundadır. Bu işletmeden tesis seviyesine ve hatta son cihazlara kadar uzanmalıdır ve insanlar, süreçler ve teknolojilerdeki riskleri ele almalıdır. Bu aynı zamanda IT ve OT personeli arasındaki işbirliğini de içermelidir. Her iki kesiminde oynayacağı hayati rolleri vardır.
Bütüncül Bir Yaklaşım
Güvenliğe yönelik bütüncül bir yaklaşımın üç temel öğesi:
- Güvenlik değerlendirmesi: Risk alanlarınızı ve potansiyel tehditleri anlamak için tesis genelinde bir değerlendirme yürütün.
- Derinlemesine savunma yaklaşımı: Birden fazla savunma cephesi ve aşaması tahsis eden çok katmanlı bir güvenlik yaklaşımını yerleştirin.
- Güvenilir satıcılar: Otomasyon satıcılarının ürünlerinin tasarımını yaparken temel güvenlik ilkelerine uyduklarını teyit edin.
Güvenlik değerlendirmesi
Etkili bir endüstriyel güvenlik programının geliştirilmesi ve uygulanması için ilk önce kuruluşunuzdaki güvenlik açıklarının ve risklerin anlaşılması gerekmektedir.
Bir güvenlik değerlendirmesi yazılım, ağlar, kontrol sistemi, politikalar ve süreçler ve hatta çalışan davranışlarına dair mevcut güvenlik vaziyetinizi anlamanıza yardımcı olacaktır. Bu herhangi bir güvenlik politikası için başlangıç noktası olmalıdır.
En azından, bir güvenlik değerlendirmesi aşağıdakileri içermelidir:
- Yetkili ve yetkisiz aygıtlara ve yazılımlara ait bir envanter.
- Sistem performansının ayrıntılı şekilde gözlemlenmesi ve belgelenmesi.
- Hoşgörü eşiklerinin ve risk/güvenlik açığı göstergelerinin tanımlanması.
- Etki ve sömürme potansiyeline dayalı olarak her bir güvenlik açığının önceliklendirilmesi.
Tüm güvenlik değerlendirmelerine ait nihai sonuçlar bir işlemin kabul edilebilir bir risk durumuna getirilmesi için gerekli hafifletme tekniklerinin belgelendirilmiş ve uygulanabilir bir listesini içermelidir.
Derinlemesine savunma güvenliği
Endüstriyel güvenlik, işlemlerinizin genelinde bütün bir sistem olarak en iyi şekilde uygulanır ve derinlemesine savunma (DiD) güvenlik çerçevesi bu yaklaşımı destekler. Korunan herhangi bir noktanın bertaraf veya ihlal edilebileceği fikrine dayalı olarak, DiD güvenliği fiziksel, elektronik ve yöntemsel önlemlerin bir kombinasyonu sayesinde çok katmanlı bir koruma tesis eder.
Derinlemesine savunma güvenlik yaklaşımı altı ana bileşenden oluşmaktadır. Bu ana bileşenler, tanımlı politikalar ve prosedürler, fiziksel güvenlik, ağ altyapısı, bilgisayar/yazılım, uygulama ve aygıt doğrulama ve tanımlamadır.
Güvenilir satıcılar
Otomasyon satıcıları üretim, kalite ve güvenlik hedefleri gibi güvenlik hedeflerinizi karşılamanıza yardımcı olan ayrılmaz bir parçadır.
Satıcıları seçmeden önce, kendi güvenlik politikalarını ve uygulamalarını size açıklamalarını talep edin. Bir kontrol sisteminde kullanılan tasarım ürünlerine yönelik beş temel güvenlik ilkesini izliyorlarsa, değerlendirin. Bu ilkeler şunlardır:
- Güvenli bir ağ alt yapısı: Satıcılar otomasyon katmanındaki bilginin güvenilir ve gizli tutulmasına yardımcı olabilir. Örneğin, aygıtlar bir ağa erişim sağlamadan önce gömülü teknoloji onları denetleyebilir ve doğrulayabilir.
- Kimlik doğrulama ve politika yönetimi: Şirket politikaları çalışanlara yönelik veri erişim seviyeleri belirlerler. Otomasyon ürünleri aygıtlara ve uygulamalara kullanıcı erişimlerini yönetmek için erişim kontrol listelerini kullanan bu politikaları destekleyebilir.
- İçerik koruma: Fikri mülkiyet işlemlerinizin can damarıdır. Otomasyon çözümleriniz yordamlara ve eklenti talimatlarına şifreler atamak suretiyle onları korumaya yardımcı olabilir ve dijital hakların yönetimini kullanarak kullanıcıların aygıt verilerini görüntüleme ve düzenleme yetkilerini sınırlayabilir.
- Dış müdahaleyi (kurcalama) algılama: Yerleşik kurcalama algılaması tüm yetkisiz sistem faaliyetlerini tespit edebilir ve doğru personeli ikaz eder. Bu aynı zamanda izinsiz giriş kalkışmasının nerde meydana geldiği, nasıl olduğu ve herhangi bir şeyin değiştirilip değiştirilmediği gibi kilit ayrıntıları kaydeder.
- Sağlamlık: Sağlam bir satıcı güvenlik yaklaşımı güvenliğe yönelik tasarım geliştirme uygulamalarını kullanarak çalışanlara güvenlik eğitimi vermeyi ve küresel güvenlik standartlarında ürünleri test etmeyi içerir. Bu aynı zamanda ürünler piyasaya sürülmeden önce nihai güvenlik incelemelerinin gerçekleştirilmesini, süreçlerin standartlar ve teknolojiler ile uyumlu olduğunun teyit edilmesini ve güvenlik açıklarını gidermeye yönelik bir plana sahip olmayı içermektedir.
İzleyin ve Geliştirin
Güvenlik tehditleri pes etmemektedir. Endüstri güvenlik uygulamalarını değiştirdikçe veya yeni savunmalar uyguladıkça onlar sadece gelişmeye devam edeceklerdir. Risk yönetim stratejinizin bunlara ayak uydurması lazımdır ve bu sürekli olmalıdır ve değişen tehdit vaziyetleri ile aynı anda veya daha önce gelişmelidir.
Daha büyük bağlanabilirliğe doğru işlemlerin sürekli gelişim göstermesi ile günümüzün güvenlik sorunlarının genişliği göz korkutucu olabilir. Burada ana hatları verilen yaklaşımlar fikri mülkiyeti, tesisleri, varlıkları, çalışanları ve rekabetçi avantajları korumak için en iyi endüstri uygulamaları ile şirketinizi aynı hizaya getirmeye yardımcı olabilir.
Kaynak : 