A különböző esettanulmányokat elég hasznosnak tartom, különösen igaz ez az ICS biztonság területén, ahol azért még ma is meglehetősen kevesen akarnak/mernek/szabad nekik nyilvánosan beszélni a valós életből származó tapasztalataikról. Ebben a témában találtam nemrég egy 5 részes blogsorozatot Steve Mustard-tól.
A sorozat első részében Steve a kockázatkezelés témáját járja körül, a bekövetkezési valószínűségek becslését, a kockázatcsökkentés különböző lehetőségeit és az ALARP (as low as reasonably practicable) pocim-nelkul_4341108nt, vagyis a kockázatcsökkentés és annak költségeinek optimum-pontjának meghatározását bemutatva.
A második rész a Purdue-modellt mutatja be, de nem csak az alapvető, szintekre bontott modellt, hanem az IIoT rendszerek és a Purdue-modell kapcsolatát illetve az egyes szinteken található IT és OT/ICS komponensek válaszidőit is vázolja, illetve a Purdue-hierarchia és a kiberbiztonsági ellenállóképesség kapcsolatát is röviden körüljárja.
A sorozat harmadik része a kapcsolódó folyamatokról szól, az ICS rendszerekkel kapcsolatos projekt menedzsmentről és a kiberbiztonság projektekbe történő beépítéséről, valamint a változáskezelésről, incidenskezelésre történő felkészülésről és red-team gyakorlatokról szól.
A negyedik rész témája az, hogy mit is tanulhatna az ICS kiberbiztonság a safety folyamatoktól és a safety rendszereket és folyamatokat fejlesztő mérnököktől. Részletesebben áttekinti az emberi hibákból eredő fenyegetések hatásait, valamint gyakorlatok és megfelelő kompetenciák kialakításának fontosságát, végül pedig ezeknek a tevékenységeknek a folyamatos kiértékelési rendszerét és ennek fontosságát is bemutatja.
A sorozat utolsó, ötödik része az üzemeltetés támogatásához szükséges kiegészítő tevékenységeket mutatja be, ilyenek például a kiberbiztonsági kontroll-rendszer monitoringja, az ICS/OT rendszerekkel kapcsolatba kerülő emberekhez kapcsolódó kontrollok (például háttér-ellenőrzések, feladatközök szétválasztása, az új belépők, áthelyezett munkatársak és kilépőkkel kapcsolatos szabályok és folyamatok), valamint a leltár-menedzsment, incidens-kezelés (ismét), beszállítók, alvállalkozók és gyártók munkatársaival kapcsolatos szabályok, eljárások és kontrollok, végül pedig a kiberbiztonsággal kapcsolatos biztosítások.