Wanneer dit by OT kom, is sigbaarheid die fondament van effektiewe sekuriteit

Deur Phil Muncaster • 18 November 2025

IT haal dikwels die opskrifte, veral nou dat ons 'n nuwe era van KI-aangedrewe alles betree. Maar dit is operasionele tegnologie (OT) wat steeds 'n groot deel van die wêreld laat draai. Van vervaardigingsaanlegte tot kragstasies, en hospitale tot vervoernetwerke, hierdie tegnologie koppel tipies met die fisiese wêreld om noodsaaklike industriële masjinerie te beheer. Daar is net een probleem: dit was nooit regtig ontwerp om die kuberbedreigingslandskap van die 21ste te hanteer nie.^st eeu.

Dit is die rede waarom nuwe leiding van die Nasionale Kubersekuriteitsentrum (NCSC) behoort deur OT-operateurs verwelkom te word. Dit beklemtoon die noodsaaklike eerste stap om OT te verseker: sigbaarheid. En dit stel ISO 27001 voor as 'n goeie manier om dit te bereik.

Waarom OT-sekuriteit saak maak

Aangesien OT industriële beheerstelsels bedryf, verg dit nie 'n groot sprong van verbeelding om te verstaan wat op die spel is nie. Die kaping van sulke stelsels sou bedreigingsakteurs in staat stel om kritieke infrastruktuur (KNI) moontlik te ontwrig. Trouens, Chinese staatsgeborgde teenstanders is verlede jaar binne Amerikaanse KNI-netwerke ontdek, nadat hulle hulself vooraf geposisioneer om vernietigende aanvalle in die geval van 'n militêre konflik te aktiveer.

Afgesien van die potensiële fisiese skade aan individue en hele samelewings wat uit sulke aanvalle kan voortspruit, kan dit 'n swaar finansiële en reputasie-tol op CNI-verskaffers en ander OT-operateurs eis. Net 'n paar maande gelede het versekeringsmaatskappye Marsh McLennan het probeer om te kwantifiseer die omvang van hierdie risiko, deur gebruik te maak van sy eie eisedatabasis en ander intelligensie. Dit het bereken dat die jaarlikse finansiële risiko wat met OT-voorvalle verband hou, soveel as $329.5 miljard (£250 miljoen) kan beloop.

Die uitdaging is dat OT-stelsels dikwels swak beveilig word. Toerusting hou baie langer as tipiese IT-toerusting, wat beteken dat dit dikwels ou sagteware en bedryfstelsels moet gebruik waarvoor kolle nie meer beskikbaar is nie. As sekuriteitsopdaterings teoreties beskikbaar is, word voorkeur gewoonlik gegee aan bedryfstyd bo sekuriteit. En hierdie masjiene werk dikwels in kritieke omgewings waar dit logisties uitdagend is om hulle vanlyn te neem om kolle te toets en toe te pas. Verouderde en onveilige kommunikasieprotokolle kan ook bykomende sekuriteitsrisiko's skep.

Wat die NCSC sê

Die NCSC se benadering is gesond: jy kan nie beskerm wat jy nie kan sien nie. Daarom wil hulle hê OT-operateurs moet eers fokus op die skep van 'n "definitiewe beeld" van hul OT-argitektuur. Dit gaan veel dieper as 'n blote lys van bates, insluitend:

komponente soos toestelle, beheerders, sagteware en gevirtualiseerde stelsels, alles geklassifiseer volgens kritieke, blootstelling en beskikbaarheidsvereistes
Connection: d.w.s. hoe hierdie bates binne die OT-netwerk en verder interaksie het
Breër stelselargitektuur insluitend sones, leidings en segmenteringsmaatreëls; veerkragtigheidsbepalings; en die redenasie agter ontwerpkeuses
Voorsieningsketting en toegang tot derde partye: d.w.s. watter verskaffers, integrators en diensverskaffers aan die OT-omgewing koppel, en hoe verbindings bestuur en beskerm word
Besigheids- en impakkonteks: Verstaan wat vanuit 'n operasionele, finansiële en veiligheidsperspektief sou gebeur as 'n bate/verbinding faal of gekompromitteer word.

Die NCSC se riglyne, wat ook deur agentskappe in die VSA, Kanada, Nieu-Seeland, Nederland en Duitsland gevorm is, is gebaseer op vyf beginsels. Dit lei OT-operateurs om prosesse te ontwerp vir die vestiging en bestuur van hul "definitiewe rekord", die identifisering en kategorisering van bates, die identifisering en dokumentasie van konnektiwiteit, en die dokumentasie van derdeparty-risiko.

Beskerming van u definitiewe rekord

Miskien is die interessantste Beginsel 2: die vestiging van 'n OT-inligtingsekuriteitsbestuursprogram. Dit word noodsaaklik gegewe die sensitiwiteit van die inligting wat in die definitiewe rekord vervat is. Dit kan ontwerp- en besigheidsinligting, identiteits- en magtigingsdata, operasionele data wat verband hou met intydse beheer van OT-stelsels, en kuber- en veiligheidsrisikobepalings insluit.

Teenstanders kan hierdie intelligensie gebruik om hul aanvalle te "verfyn" deur 'n kontekstuele prentjie van stelselargitektuur op te bou en komponente te kies om te teiken en te benut, sê die NCSC. "Jou organisasie moet duidelik gedokumenteerde beleide en prosedures hê oor hoe elke tipe inligting beveilig moet word," voeg dit by – en dring organisasies aan om die klassieke "CIA"-triade te oorweeg. Dit beteken om te verseker:

Sensitiewe inligting is slegs toeganklik vir stelsels en gebruikers wat gemagtig is om toegang te hê (vertroulikheid)
Inligting is volledig, ongeskonde en vertroubaar, en nie gewysig nie (integriteit)
Organisasies beskerm die inligting teen onderbrekings, vertragings en diensverswakking (beskikbaarheid)

Die ISO 27001-voordeel

Die NCSC beveel aan dat OT-operateurs "standaarde soos ISO / IEC 27001 om te help met die implementering van 'n OT-inligtingsekuriteitsbestuurstelsel.” Dis musiek in die ore van ISMS.online se hoofbemarkingsbeampte, Sam Peters, wat sê dit weerspieël 'n groeiende konsensus: “die beginsels van 'n gestruktureerde, risikogebaseerde inligtingssekuriteitsbestuurstelsel is net so effektief op OT van toepassing as op IT.”

Peters vertel aan ISMS.online dat hy, nadat hy jare lank met die standaard gewerk het, presies weet hoe doeltreffend dit kan wees om OT-verwante risiko's te help bestuur.

“Ek weet eerstehands dat ISO 27001 'n konsekwente benadering tot batesigbaarheid, konfigurasiebestuur en veranderingsbeheer bied – wat alles krities is in komplekse, ouer OT-omgewings waar onbeplande veranderinge werklike veiligheidsimplikasies kan hê,” voeg hy by. “Dit versterk ook versekering oor voorsieningskettings deur te formaliseer hoe toegang, opstel en instandhouding van derde partye beheer word.”

ISO 27001 help ook vanuit 'n tegniese perspektief om organisasies te help om die IT-OT-kloof te oorbrug deur "gedeelde terminologie, gestandaardiseerde beheermaatreëls en bewysgebaseerde risikohantering," sê Peters.

“Dit ondersteun beslis die NCSC se oproep vir 'n definitiewe siening van die OT-argitektuur, wat verseker dat sekuriteitsbesluite gedryf word deur akkurate, huidige stelselkennis eerder as aannames,” sluit hy af.

“Om dit duidelik te stel, dit gaan nie daaroor om IT-beheermaatreëls op OT te plaas nie. Dit gaan oor die toepassing van 'n bewese bestuurstelsel wat die unieke beperkings van industriële stelsels akkommodeer, beskikbaarheid, veiligheid en veerkragtigheid prioritiseer terwyl naspeurbaarheid en voortdurende verbetering gehandhaaf word. Daardie balans is presies wat OT al 'n geruime tyd nodig het.”

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

Informasiesekuriteit 9 Desember 2025

'n jaar in voldoening vyf dinge wat ons in 2025 geleer het banier

'n Jaar in Nakoming: Vyf Dinge wat Ons in 2025 Geleer het

Die afgelope 12 maande het weereens bewys dat die kuberveiligheidslandskap selde 'n tekort aan voorvalle het. Groot sekuriteitsbreuke kos organisasies ...

Phil Muncaster

cyber Security 3 Desember 2025

wat die wetsontwerp op kuberveiligheid en veerkragtigheid vir kritieke infrastruktuur beteken

Wat die Wet op Kuberveiligheid en Veerkragtigheid vir Kritieke Infrastruktuur beteken

Dit het lank geneem om te kom. Nadat dit so ver terug as die King's Speech in 2024 geslaap is, het die Kubersekuriteits- en Veerkragtigheidswetsontwerp (CSRB) finaal...

Phil Muncaster

cyber Security 11 November 2025