یک نظرسنجی آنلاین که توسط تیم امنیت NTT انجام شده است نشان میدهد که امروزه ضعف در مهارت یکی از بزرگترین چالشهای پیش روی سازمانهای مدیریت فناوری عملیاتی (operational technology) (OT) است. این نظرسنجی همچنین نشان میدهد که بیشتر افراد احساس میکنند که این بخش به عملکرد مهندسی است و نه بخش امنیت اطلاعات یا IT.
در پاسخ به پرسش درباره بزرگترین چالش برای شرکتهایی که در معرض خطر OT هستند، تنها کمتر از نیمی (۴۶%) از پاسخدهندگان به ضعف در مهارتها اشاره میکنند. در حالی که ۲۹% میگویند ضعف در ارزیابی خطر (risk assessment)، بزرگترین چالش است.
یکچهارم از پاسخگویان بر این باورند که قطع ارتباط بین تیمهای OT و IT میتواند موجب نگرانی شود.
در مورد مسئولیت، ۴۲% پاسخدهندگان بر این باورند که امنیت OT به مدیر مهندسی مربوط میشود، در حالی که بیش از یک سوم (۳۸%) به CTO اشاره دارند. تنها یک پنجم افراد میگویند که این وظیفه CISO است.
هنگامی که پاسخ به یک حمله سایبری به سیستمهای OT مطرح میشود، تنها یک چهارم (۲۶%) پاسخ دهندگان معتقدند که اکثر طرحهای واکنش به رخداد، هم OT و هم IT را پوشش میدهند، در حالی که یک سوم آنها بیان میکنند که به هیچ یک ارتباطی ندارد.
این نقل قولی از تیم انیس، مشاور ارشد فنآوری عملیاتی، مشاور امنیتی سایبری در امنیت NTT است: “روشن است که تمهیدات حفاظتی OT چالش بزرگی برای سازمانها است. بهخصوص وقتی که مشخص کردن دقیق ریسکهای آنها و تاثیرات بالقوهشان بر کسبوکار مطرح است.»
داشتن مهارتهای مناسب، نکته اساسی است. ممکن است درست باشد اگر بگوئیم در مورد امنیت OT، مدیر CISO مسئولیتهایی دارد، اما مدیر مهندسی میتواند برای انجام این کار، بهترین فرد باشد. آنچه مهم است، شکل گرفتن ساختار سازمانی درست است. به نحوی که به تیم OT اجازه دهد تا امنیت را بهبود بخشد و کسبوکار را قادر سازد تا به اهداف خود دست یابد.”
چهار مرحله امنیت NTT برای مدیریت خطر OT:
- تعیین یک برنامه کار برای تضمین فناوری عملیاتی (OT)، از جمله:
- تشکیل یک تیم چند رشتهای
- بازبینی وظایف و مسئولیتها، و حصول اطمینان از اینکه افراد به طور مناسب آموزشدیده و توجیه شدهاند
- تعیین شرایط امنیتی، حصول اطمینان از اینکه امنیت اطلاعات، کسبوکار را قادر میسازد تا به اهدافش دست یابد
- ارزیابی خطرات مرتبط با OT
- شناسایی داراییهای OT
- مشخص کردن یک محدوده برای خطر
- ارزیابی خطرات
- شناسایی وظایف اولویتبندی شده مورد نیاز، در زمانی که به محدوده خطر میرسیم.
- اجرای اقدامات کاهش خطر
- مرور معماری
- شناسایی مفهوم امنیتی برای محیط OT
- ایجاد پایه شبکه، مثلاً “رفتار / رفتار طبیعی” (normal behaviour / behaviour)
- اجرای کنترلهای امنیتی و بررسی اثربخشی این کنترلها در برابر خطرات
- بهبود عملیاتهای امنیتی
- بررسی منظم خطرات و فرصتها
- بررسی و پاسخ به بیقاعدگیها یا ناهنجاریهای شناساییشده (anomalies)
- تمرین برنامه واکنش به حوادث