İşletmeniz güvenli mi?

Daha çok bağlantılı işlem, artan güvenlik tehditleri anlamına gelebilir. Endüstriyel güvenliğe yönelik bütüncül bir yaklaşımın riskleri azaltmaya nasıl yardımcı olabileceğini öğrenin. İmalat ve endüstriyel tesisler, 10 yıl önce hayal bile edemeyecekleri şekillerde faaliyet göstermektedirler.

A+ A-

Daniel DEYOUNG (Rockwell Automation-Yönetici, Pazar Geliştirme)

Daha çok bağlantılı işlem, artan güvenlik tehditleri anlamına gelebilir. Endüstriyel güvenliğe yönelik bütüncül bir yaklaşımın riskleri azaltmaya nasıl yardımcı olabileceğini öğrenin. İmalat ve endüstriyel tesisler, 10 yıl önce hayal bile edemeyecekleri şekillerde faaliyet göstermektedirler. Daha büyük bağlanabilirlik ve bilgi paylaşımları, kayda değer şekilde şirketleri ve onların işlemlerini dönüştürüyor.
Bilişim teknolojilerini (IT) ve operasyon teknolojilerini (OT) yakınlaştırmakta ve her zamankinden daha fazlasını yapmak için; mobil, analitik, bulut ve sanallaştırma gibi yeni teknolojileri kullanmaktadırlar. Ancak, imalat ve endüstriyel işlemlerinin doğası değiştikçe, güvenlik risklerini de beraberinde getirmekte. Daha fazla bağlantılı işlem, güvenlik tehditleri için daha fazla potansiyel giriş noktaları oluşturabilir. Bu tehditler, pek çok farklı biçimlerde (fiziksel, dijital, dâhili, harici, kötü niyetli veya kasıtsız) meydana gelebilir.
Bunun bir sonucu olarak, endüstriyel güvenlik bütüncül olmak zorundadır. Bu; işletmeden tesis seviyesine ve hatta son cihazlara kadar uzanmalıdır ve insanlar, süreçler ve teknolojilerdeki riskleri ele almalıdır. Bu aynı zamanda,
IT ve OT personeli arasındaki iş birliğini de içermelidir. Her iki kesimin de oynayacağı hayati rolleri vardır.

Bütüncül bir yaklaşım
Güvenliğe yönelik bütüncül bir yaklaşımın üç temel öğesi şunlardır:
1. Güvenlik değerlendirmesi: Risk alanlarınızı ve potansiyel tehditleri anlamak için tesis genelinde bir değerlendirme yürütün.
2. Derinlemesine savunma yaklaşımı: Birden fazla savunma cephesi ve aşaması tahsis eden çok katmanlı bir güvenlik yaklaşımını yerleştirin.
3. Güvenilir satıcılar: Otomasyon satıcılarının, ürünlerinin tasarımını yaparken temel güvenlik ilkelerine uyduklarını teyit edin.

Güvenlik değerlendirmesi
Etkili bir endüstriyel güvenlik programının geliştirilmesi ve uygulanması için ilk önce, kuruluşunuzdaki güvenlik açıklarının ve risklerin anlaşılması gerekmektedir.
Bir güvenlik değerlendirmesi; yazılım, ağlar, kontrol sistemi, politikalar ve süreçler ve hatta çalışan davranışlarına dair mevcut güvenlik vaziyetinizi anlamanıza yardımcı olacaktır. Bu, herhangi bir güvenlik politikası için başlangıç noktası olmalıdır. En azından, bir güvenlik değerlendirmesi aşağıdakileri içermelidir:
♦ Yetkili ve yetkisiz aygıtlara ve yazılımlara ait bir envanter.
Sistem performansının ayrıntılı şekilde gözlemlenmesi ve belgelenmesi.
Hoşgörü eşiklerinin ve risk/güvenlik açığı göstergelerinin tanımlanması.
Etki ve sömürme potansiyeline dayalı olarak her bir güvenlik açığının önceliklendirilmesi.
Tüm güvenlik değerlendirmelerine ait nihâi sonuçlar bir işlemin kabul edilebilir bir risk durumuna getirilmesi için, gerekli hafifletme tekniklerinin belgelendirilmiş ve uygulanabilir bir listesini içermelidir.

Derinlemesine savunma güvenliği
Endüstriyel güvenlik, işlemlerinizin genelinde bütün bir sistem olarak en iyi şekilde uygulanır ve derinlemesine savunma (DiD) güvenlik çerçevesi bu yaklaşımı destekler. Korunan herhangi bir noktanın bertâraf veya ihlal edilebileceği fikrine dayalı olarak, DiD güvenliği fiziksel, elektronik ve yöntemsel önlemlerin bir kombinasyonu sayesinde çok katmanlı bir koruma tesis eder.
Derinlemesine savunma güvenlik yaklaşımı altı ana bileşenden oluşmaktadır. Bu ana bileşenler; tanımlı politikalar ve prosedürler, fiziksel güvenlik, ağ alt yapısı, bilgisayar/yazılım, uygulama ve aygıt doğrulama ve tanımlamadır.

Güvenilir satıcılar
Otomasyon satıcıları; üretim, kalite ve güvenlik hedefleri gibi güvenlik hedeflerinizi karşılamanıza yardımcı olan ayrılmaz bir parçadır. Satıcıları seçmeden önce, kendi güvenlik politikalarını ve uygulamalarını size açıklamalarını
talep edin. Bir kontrol sisteminde kullanılan tasarım ürünlerine yönelik beş temel güvenlik ilkesini izliyorlarsa, değerlendirin. Bu ilkeler şunlardır:
Güvenli bir ağ alt yapısı: Satıcılar, otomasyon katmanındaki bilginin güvenilir ve gizli tutulmasına yardımcı olabilirler. Örneğin; aygıtlar bir ağa erişim sağlamadan önce gömülü teknoloji onları denetleyebilir ve doğrulayabilir.
Kimlik doğrulama ve politika yönetimi: Şirket politikaları, çalışanlara yönelik veri erişim seviyeleri belirlerler. Otomasyon ürünleri, aygıtlara ve uygulamalara kullanıcı erişimlerini yönetmek için erişim kontrol listelerini kullanan bu politikaları destekleyebilir.
İçerik koruma: Fikri mülkiyet işlemlerinizin can damarıdır. Otomasyon çözümleriniz yordamlara ve eklenti talimatlarına şifreler atamak suretiyle onları korumaya yardımcı olabilir ve dijital hakların yönetimini kullanarak, kullanıcıların aygıt verilerini görüntüleme ve düzenleme yetkilerini sınırlayabilir.
Dış müdahaleyi (kurcalama) algılama: Yerleşik kurcalama algılaması tüm yetkisiz sistem faaliyetlerini tespit edebilir ve doğru personeli ikâz eder. Bu aynı zamanda; izinsiz giriş kalkışmasının nerde meydana geldiği, nasıl olduğu
ve herhangi bir şeyin değiştirilip değiştirilmediği gibi kilit ayrıntıları kaydeder.
Sağlamlık: Sağlam bir satıcı güvenlik yaklaşımı güvenliğe yönelik tasarım geliştirme uygulamalarını kullanarak, çalışanlara güvenlik eğitimi vermeyi ve küresel güvenlik standartlarında ürünleri test etmeyi içerir. Bu aynı zamanda, ürünler piyasaya sürülmeden önce nihâi güvenlik incelemelerinin gerçekleştirilmesini, süreçlerin standartlar ve teknolojiler ile uyumlu olduğunun teyit edilmesini ve güvenlik açıklarını gidermeye yönelik bir plana sahip olmayı içermektedir.

İzleyin ve geliştirin
Güvenlik tehditleri pes etmemektedir. Endüstri güvenlik uygulamalarını değiştirdikçe veya yeni savunmalar uyguladıkça, onlar sadece gelişmeye devam edeceklerdir. Risk yönetim stratejinizin bunlara ayak uydurması lâzımdır ve bu sürekli olmalıdır ve değişen tehdit vaziyetleri ile aynı anda veya daha önce gelişmelidir.
Daha büyük bağlanabilirliğe doğru işlemlerin sürekli gelişim göstermesi ile günümüzün güvenlik sorunlarının genişliği göz korkutucu olabilir. Burada ana hatları verilen yaklaşımlar; fikri mülkiyeti, tesisleri, varlıkları, çalışanları ve rekabetçi avantajları korumak için en iyi endüstri uygulamaları ile şirketinizi aynı hizâya getirmeye yardımcı olabilir.