امروزه با حضور تجهیزات و سیستمهای کنترلی مبتنی بر کامپیوتر در صنعت، امکان کنترل دقیقتری در فرآیندهای صنعتی بوجود آمده است و بسیاری از صنایع بزرگ، با تغییر سیستمهای هیدرولیک و نیوماتیک قدیمی، به PLCها و سیستمهای DCS و SCADA مجهز شده اند؛ از طرفی با توسعه شبکه های کامپیوتری، تجهیزات و شبکه های فیلدباس در جهان به سرعت در حال تحول می باشند و بسیاری از فرآیندهای صنعتی توسط این سیستمها که دارای مزایای بسیار زیادی نسبت به سایر روشها بوده کنترل و نظارت می شوند. PLCها، سیستمهای DCS و SCADA به طور گسترده جهت نظارت و کنترل فرآیندهای صنعتی از جمله نفت، گاز، پتروشیمی، برق، هسته ای و غیره مورد استفاده قرار می گیرند. پیشرفتهای روزافزون در سیستمهای کنترل صنعتی و تجهیزات مورد استفاده در آنها نه تنها باعث افزایش کارآیی و بهبود عملکرد سیستم و فرآیند شده، بلکه کنترل بسیاری از فرآیندهای ناممکن و یا پیچیده را تسهیل بخشیده و امکان نظارت و کنترل از راه دور را نیز فراهم ساخته است. علیرغم پیشرفتهای بسیار زیادی که در ساختار و عملکرد سیستمهای کنترل صنعتی و SCADA وجود داشته، این سیستمها از دیدگاه سایبری دارای ضعفهای بسیاری بوده و همین امر باعث شده که مورد تهدید و حملات سایبری قرار بگیرند. آسیب پذیریهای موجود در بخشهای مختلف سیستمهای کنترل صنعتی و SCADA این امکان را برای مهاجمین سایبری فراهم ساخته تا به فکر حمله به زیرساختهای حیاتی کشورها، آسیب رساندن و یا ایجاد اختلال در فرآیند کاری آنها باشند. از آنجا که بروز هرگونه نارسایی در بخشهای مذکور ممکن است اثرات مخرب و جبران ناپذیری برجای گذارد، لذا اهمیت شناخت تهدیدات، آسیبپذیریها و یافتن راهکارهای تدافعی و بهبود امنیت این سیستمها بیش از پیش احساس می شود. در همین راستا و به منظور امن سازی سیستمهای کنترل و شبکه های صنعتی لازم است طرح مناسب امنیت سایبری (Operational Technology-Cyber Security Management System) مطابق با استانداردهای مطرح بینالمللی از جمله IEC62443، NIST SP 800-82 برای آنها تدوین و اجرا گردد. این طرح امنیتی می تواند مکمل سایر طرحهای امنیتی در حوزه زیرساختهای IT (مانند استقرار استانداردهای مدیریت امنیت اطلاعات (ISMS) و یا ارزیابی های امنیتی دوره ای) باشد و اطمینان کاملی را از امنیت سایبری برای کارفرمایان و صاحبان کسب و کار فراهم آورد. به این ترتیب می توان از استقرار استانداردهای امنیتی و تداوم کسب و کار سازمانها در شرایط مختلف، اطمینان حاصل کرد.
اهداف استقرار OT-CSMS
اهم اهداف سازمانها از استقرار OT-CSMS به شرح ذیل است:
- حرکت به سمت استقرار سیستم مدیریت امنیت سایبری صنعتی، به عنوان یک مزیت رقابتی
- برآورده سازي الزامات استانداردهاي امنيتي در استقرار نظام مدیریت امنیت سایبری صنعتی
- ايجاد تشکيلات سازماندهي امنيت اطلاعات صنعتی
- شناسايي، ارزيابي و مستندسازي وضعيت موجود امنيت صنعتی در سازمان
- شناسايي و طبقه بندي داراييهاي سایبری صنعتی شركت و ارزشگذاري آنها
- شناسایی ضعفها و آسیب پذیریهای سایبری حوزه صنعتی و ارائه راهکارهای برطرف نمودن آنها
- آموزشهاي لازم به کارکنان در حوزه سيستم مدیریت امنیت سایبری صنعتی در سطوح مختلف
- امن سازي سيستمهاي صنعتی و فرآيندهاي مربوط به آن
- ايجاد راهکارهاي الزامي کارکنان و مديران نسبت به رعايت مسائل امنيتي
- جلوگیری از حملات و دسترسیهای غیر مجاز علیه سرمایه های سایبری صنعتی سازمان
- ارتقاء سطح امنيت منابع طبقه بندي شده صنعتی متناسب با حساسيت آنها
- کاهش وقفه در تداوم کسب و کار سازمان