Sektörden Haberler

Avustralya’da CISC Kurumu, Enerji Sektöründeki Kritik Altyapılar İçin Risk Değerlendirme Raporunu Yayınlamıştır

18 Ocak 2023

Avustralya'nın Siber ve Altyapı Güvenlik Merkezi (CISC), (10.01.2023) Salı günü enerji sektöründeki kritik altyapılar için Risk Değerlendirme raporunu yayınlamıştır. Yayınlanan belge, paydaşların, ülkenin ekonomik ve sosyal refahı için gerekli olan varlıkların işletilmesiyle ilgili risklerin doğru bir şekilde tanımlanmasını garanti etmek için, risk yönetim yaklaşımlarını değiştirmeleri gerekliliğini vurgulamaktadır.

Risk değerlendirme raporu, Avustralya'nın kritik altyapısına yönelik risklerin değerlendirilmesinde paydaşlara rehberlik etmesi için tasarlanmıştır. Önerilen risk değerlendirme yaklaşımlarının sağlanması yoluyla,  sektör paydaşlarının mevcut risk uygulamalarını uyarlamalarına ve kuruluşların daha geniş ulusal kritik altyapı bağlamındaki riskleri anlamalarına yardımcı olmayı amaçlamaktadır. 

Belge, kurumların geçmişte riske bakışından farklı olabilecek kritik altyapı risklerini belirleyerek başlamakta ve Avustralya'nın veya halkının sosyal veya ekonomik istikrarı, Avustralya'nın savunması veya ulusal güvenliği üzerinde en büyük etkiye sahip risklerin de dikkate alınması ve kritik altyapı birimlerinin mevcut risk yönetimi stratejileri içinde çerçevelenmesi gerekliliğini vurgulamaktadır.

Belgede,  risk tanımlamasının bir parçası olarak kuruluşlar, varlıklarının gizliliğinin, kullanılabilirliğinin, bütünlüğünün ve güvenilirliğinin herhangi bir olay sırasında ve sonrasında nasıl etkilenebileceğini geniş ölçüde değerlendirebileceğine yer verilmiştir. Bu potansiyel 'ilgili etkiyi' anlamak, riske öncelik vermek ve hem riskin oluşma olasılığını en aza indirmenin hem de potansiyel etkinin nasıl azaltacağının belirlemesi için önemlidir.

Avustralya Risk Değerlendirme raporu, enerji sektöründeki bazı kuruluşların güvenlikle ilgili düzenlemelerin zaten yürürlükte olduğunu belirterek, sektördeki kuruluşların Avustralya Enerji Sektörü Siber Güvenlik Çerçevesi (AESCSF) veya Avustralya Yurtiçi Gaz Güvenlik Mekanizması (ADGSM) gibi kılavuzları dikkate alması veya düzenleyici çerçeveler için eyalet veya bölge hükümet regülasyonlarına bakması ve bunları nasıl dahil edebileceklerini düşünmesi gerektiğini; kuruluşların daha fazla bilgi için diğer CISC sektör rehberlerine de başvurması gerekliliğini  vurgulamıştır.

Danışmanlık, yakınsama riskleriyle mücadele etmek ve yanıtların kapsamlı ve entegre olmasını sağlamak için, tüm tehlikeleri içeren bir risk yönetimi yaklaşımının benimsenmesi çağrısında bulunmuştur. Bu işlemin içişleri birimleri, sektör ve tedarik zinciri paydaşları, kolluk kuvvetleri ve acil servisler de dahil olmak üzere tüm paydaşlar arasında iş birliği gerektirdiğini, ayrıca kuruluşların, uygun tehditleri ve tehlikeleri değerlendirmek için devlet paydaşlarından gelen bilgilerden yararlanması gerektiğini belirtmektedir. Çok disiplinli yaklaşımları benimsemek, kritik bir altyapı kuruluşlarının risk değerlendirmesine dahil edilmek için iyi bir yaklaşımdır.

Danışmanlık belgesi ayrıca, enerji sektörü kritik altyapı sağlayıcıları için, kritikliğin belirlenmesi ve değerlendirilmesine geçmiştir. Bu, bir varlığın hangi bölgelerinin ve bileşenlerinin kritik kabul edilmesi gerektiğini belirlemeyi içermektedir ve bir varlığın ve faaliyetlerinin tehditlere ve/veya tehlikelere nasıl maruz kalabileceğinin veya bunlardan nasıl zarar görebileceğinin tanımlanmasını ve analiz edilmesini içermektedir.

Operasyonları etkileyebilecek makul risk senaryolarının tanımlanmasına girdi sağlayan süreç, tüm tehlike risk yönetimi için hayati öneme sahiptir. Bir varlığın kritik bölgeleri ve bileşenleri, onun etkin işleyişi için en hayati olanlardır ve bu nedenle Avustralya'nın ulusal güvenlik çıkarlarının ayrılmaz bir parçasıdır. Kritikliğin oluşturulması, varlığın operasyonel kapasitesini en iyi şekilde korumak için kaynakların tahsisine rehberlik etmek üzere tasarlanmıştır.

Önemli trendleri ve teknoloji sürücülerini ve bunların riski nasıl etkilediğini belirlemek zor olabilir; eğilimler, bazen derin sonuçlarla birlikte öngörülemeyen şekillerde etkileşime girer. Kuruluşlar, dahili risk değerlendirmeleri yoluyla tehditleri izleme ve değerlendirme sürecine katkıda bulunabilirler. Kuruluşlar, ortaya çıkan riskleri belirleyerek güvenlik duruşlarını doğrudan geliştirebilir ve bu bilgileri harici güvenlik kuruluşlarıyla paylaşabilir.

Danışmanlık belgesi ayrıca sektör bağımlılıklarını ve ilişkilerini de ele almaktadır. Kritik işlevler, başka bir kritik altyapı sektöründe arıza olması durumunda açığa çıkabileceğinden ve savunmasız kalabileceğinden, kritik bir altyapı biriminin, herhangi bir kritik altyapı risk değerlendirmesinin parçası olarak operasyonlarıyla etkileşime giren sektörün karşılıklı bağımlılıklarını dikkatli bir şekilde değerlendirmesi gerekmektedir.

Enerji Sektörü, bir dizi başka kritik altyapı sektörünün üretime dönük bir bağımlılığıdır; risk değerlendirmesi danışmanlığı, diğer sektörlerin enerji sektörüne bağımlı olduğunu belirtmiştir. 

Belge ayrıca enerji sektörünün tehdit ve tehlike ortamını da tanımlamaktadır. Risk değerlendirmesi, hem insan kaynaklı, hem de doğal tehditleri ve tehlikeleri dikkate alır. Kritik altyapıdaki rolü ve hizmetlerinin temel ekonomik önemi göz önüne alındığında; enerji sektörü çekici bir hedeftir ve varlıklarının ülke çapında dağılmış yapısı, doğal afetlere karşı duyarlılığını artırmaktadır. 

Risk Değerlendirme raporu, Sektöre yönelik fiziksel, personel, siber ve tedarik zinciri tehditlerinin giderek daha karmaşık hale geldiğini ve saldırıların sıklığının ve büyüklüğün arttığını söylemektedir. Ek değerlendirmeler arasında jeopolitik gerilimler, salgın hastalıklar ve siber teknolojilerin ulus devletler veya diğer aktörler tarafından uzun mesafeli bir saldırı eylemi olarak kullanılması için gösterilen potansiyel yer almaktadır.

Tehditlerin devam edeceğini ve karmaşıklık seviyesinin artacağını, enerji sektörünün birbirine daha bağlı hale geleceğini de eklemiştir. Bu durum, enerji sektöründeki paydaşların riskleri düzenli olarak yeniden değerlendirmeleri gerektiği anlamına gelmektedir.

Risk Değerlendirme raporu, farklı kritik altyapı sektörlerinin varlıkları arasındaki karşılıklı bağımlılık nedeniyle, birçok riskin toplu olarak yönetmesinin gerekli olduğunu açıklamaktadır. Birçok risk, yeni olduklarından, nedenleri veya sonuçları hala yanlış anlaşıldığından veya bunların nasıl ele alınacağına dair rehberlik eksikliğinden dolayı yetersiz bir şekilde ele alınmaktadır. Bazı risklerin ele alınmasına yönelik sorumluluklar da belirsiz olmaktadır. Sonuç olarak, sorunların herhangi bir kuruluşun kendi başına çözemeyeceği kadar büyük olduğunu söylemektedir.

Enerji sektörü için, kaynakların devre dışı bırakılması, diğer sektörlerde potansiyel olarak aşağı yönlü, enerji varlığına doğrudan zarar vermekten daha zararlı olan, sorunlara neden olacaktır. Risklerin devam eden analizi, çözüm stratejilerinin kaynakta uygulanmaları da dahil olmak üzere daha iyi anlaşılmasına yol açabilir. İş sürekliliği planlaması, sonuç yönetimi, acil durum yönetimi, afet hafifletme, güvenlik açığı değerlendirmesi, sigorta ve diğer ilgili disiplinlerin tümü, çeşitli olası eylemler sağlamaktadır. 

Risk Değerlendirme Danışmanlığı ayrıca, risk yönetimi süreçlerini iyileştirmek isteyen enerji sektörü kuruluşlarının dikkate almak isteyebileceği bir 'Risk Değerlendirme Metodolojisi' de içermektedir. Risk değerlendirmesine yönelik altı adımlı yaklaşım, özellikle kritik altyapı varlıklarını karşılamak için geliştirilmiştir. Kritik varlıkların belirlenmesi, tehditlerin analiz edilmesi, tehlikeler ve güvenlik açıklarının tespiti, her tehdidin oluşturduğu riskin değerlendirilmesi, tedbirlerin, gerekli önlemlerin ve uygulama kontrollerinin belirlenmesi, risklerin sürekli olarak izlenmesi ve gerektiğinde çözüm stratejilerinin güncellenmesi bu altı aşamalı yaklaşımı göstermektedir. 

Geçen hafta, ABD Enerji Bakanlığı (DOE) ve Ulusal Yenilenebilir Enerji Laboratuvarı (NREL) , ikinci Temiz Enerji Siber Güvenlik Hızlandırıcısı (CECA) çalıştayı için başvuru çağrısını duyurmuştur. Siber Güvenlik Hızlandırıcı Programı katılımcılarına, temiz enerji geleceğine geçişi desteklerken siber inovasyonu ilerletme ve şebeke güvenlik açıklarını ele alma çalışmaları sağlayacaktır.

 

 

Kaynak: https://industrialcyber.co/utilities-energy-power-water-waste/australias-cisc-releases-risk-assessment-advisory-for-critical-infrastructure-across-energy-sector/?utm_campaign=meetedgar&utm_medium=social&utm_source=meetedgar.com#industrialcyber