یک نظرسنجی آنلاین که توسط تیم امنیت NTT انجام شده‌ است نشان می‌دهد که امروزه ضعف در مهارت یکی از بزرگ‌ترین چالش‌های پیش روی سازمان‌های مدیریت فناوری عملیاتی (operational technology) (OT) است. این نظرسنجی همچنین نشان می‌دهد که بیشتر افراد احساس می‌کنند که این بخش به عملکرد مهندسی است و نه بخش امنیت اطلاعات یا IT.

در پاسخ به پرسش درباره بزرگ‌ترین چالش برای شرکت‌هایی که در معرض خطر OT هستند، تنها کمتر از نیمی (۴۶%) از پاسخ‌دهندگان به ضعف در مهارت‌ها اشاره می‌کنند. در حالی که ۲۹% می‌گویند ضعف در ارزیابی خطر (risk assessment)، بزرگ‌ترین چالش است.

یک‌چهارم از پاسخگویان بر این باورند که قطع ارتباط بین تیم‌های OT و IT می‌تواند موجب نگرانی شود.

در مورد مسئولیت، ۴۲% پاسخ‌دهندگان بر این باورند که امنیت OT به مدیر مهندسی مربوط می­‌شود، در حالی که بیش از یک سوم (۳۸%) به CTO اشاره دارند. تنها یک پنجم افراد می‌گویند که این وظیفه CISO است.

هنگامی که پاسخ به یک حمله سایبری به سیستم‌های OT مطرح می‌شود، تنها یک چهارم (۲۶%) پاسخ دهندگان معتقدند که اکثر طرح‌های واکنش به رخداد، هم OT و هم IT را پوشش می‌دهند، در حالی که یک سوم آنها بیان می­‌کنند که به هیچ ­یک ارتباطی ندارد.

این نقل قولی از تیم انیس، مشاور ارشد فن‌آوری عملیاتی، مشاور امنیتی سایبری در امنیت NTT است: “روشن است که تمهیدات حفاظتی OT چالش بزرگی برای سازمان‌ها است. به‌خصوص وقتی که مشخص کردن دقیق ریسک‌های آنها و تاثیرات بالقوه‌شان بر کسب‌وکار مطرح است.»

داشتن مهارت‌های مناسب، نکته اساسی است. ممکن است درست باشد اگر بگوئیم در مورد امنیت OT، مدیر CISO مسئولیت‌­هایی دارد، اما مدیر مهندسی می‌تواند برای انجام این کار، بهترین فرد باشد. آنچه مهم است، شکل گرفتن ساختار سازمانی درست است. به نحوی که به تیم OT اجازه دهد تا امنیت را بهبود بخشد و کسب‌وکار را قادر سازد تا به اهداف خود دست یابد.”

چهار مرحله امنیت NTT برای مدیریت خطر OT:

  1. تعیین یک برنامه کار برای تضمین فناوری عملیاتی (OT)، از جمله:
  • تشکیل یک تیم چند رشته‌ای
  • بازبینی وظایف و مسئولیت‌ها، و حصول اطمینان از اینکه افراد به طور مناسب آموزش‌دیده و توجیه شده‌­اند
  • تعیین شرایط امنیتی، حصول اطمینان از اینکه امنیت اطلاعات، کسب‌وکار را قادر می‌سازد تا به اهدافش دست یابد
  1. ارزیابی خطرات مرتبط با OT
  • شناسایی دارایی‌های OT
  • مشخص کردن یک محدوده برای خطر
  • ارزیابی خطرات
  • شناسایی وظایف اولویت‌بندی شده مورد نیاز، در زمانی که به محدوده خطر می‌رسیم.
  1. اجرای اقدامات کاهش خطر
  • مرور معماری
  • شناسایی مفهوم امنیتی برای محیط OT
  • ایجاد پایه شبکه، مثلاً “رفتار / رفتار طبیعی” (normal behaviour / behaviour)
  • اجرای کنترل‌های امنیتی و بررسی اثربخشی این کنترل‌ها در برابر خطرات
  1. بهبود عملیات‌های امنیتی
  • بررسی منظم خطرات و فرصت‌ها
  • بررسی و پاسخ به بی‌قاعدگی‌ها یا ناهنجاری‌های شناسایی‌شده (anomalies)
  • تمرین برنامه واکنش به حوادث