رئیس آزمایشگاه امنیت پژوهشگاه ارتباطات و فناوری اطلاعات در نشست تخصصی امنیت سایبری صنعت پتروشیمی، چارچوب ارزیابی و تأیید امنیت تجهیزات کنترل صنعتی (OT) پیش از بهره‌برداری را تشریح کرد و آن را پیش‌نیاز کاهش ریسک‌های عملیاتی و پایداری تولید در صنایع حیاتی دانست.

به گزارش روابط عمومی پژوهشگاه ارتباطات و فناوری اطلاعات، دکتر افشین سوزنی رئیس آزمایشگاه امنیت این پژوهشگاه در نشست تخصصی «بررسی چالش‌های صنعت پتروشیمی در حوزه امنیت سایبری»، به ارائه‌ای تخصصی درباره الزامات فنی و حاکمیتی ارزیابی امنیت تجهیزات صنعتی پرداخت.

وی با اشاره به گسترش اتصال‌پذیری سامانه‌های کنترل صنعتی و یکپارچه‌شدن شبکه‌های عملیاتی و فناوری اطلاعات، اظهار کرد: سامانه‌های کنترل صنعتی دیگر محیط‌های ایزوله گذشته نیستند و اتصال آن‌ها به شبکه‌های ارتباطی، سطح حمله را افزایش داده و تهدیدهای سایبری را مستقیماً وارد محیط تولید کرده است.

سوزنی با معرفی استانداردهای بین‌المللی از جمله چارچوب‌های امنیت صنعتی و الزامات ارزیابی محصولات، تأکید کرد: امنیت در تجهیزات صنعتی باید پیش از استقرار و بهره‌برداری تضمین شود و رویکرد «آزمون پس از حادثه» در زیرساخت‌های حیاتی قابل قبول نیست.

وی فرآیند ارزیابی امنیت را شامل شناسایی دارایی‌ها، تحلیل تهدید، آزمون آسیب‌پذیری، اعتبارسنجی عملکرد امنیتی و صدور گواهی امنیت دانست و افزود: ایجاد زنجیره اعتماد در تجهیزات صنعتی زمانی محقق می‌شود که محصول، تولیدکننده و محیط بهره‌برداری به‌صورت همزمان ارزیابی شوند.

رئیس آزمایشگاه امنیت پژوهشگاه همچنین به مدل‌های پایش مستمر امنیت و چرخه «تشخیص مداوم و کاهش مخاطره» اشاره کرد و گفت: امنیت صنعتی یک وضعیت ایستا نیست و نیازمند پایش، ارزیابی و به‌روزرسانی مستمر در طول چرخه عمر تجهیزات است.

سوزنی با تشریح تقسیم‌بندی مسئولیت‌ها میان بهره‌بردار، تأمین‌کننده و نهادهای ارزیاب تصریح کرد: نبود سازوکار رسمی ارزیابی امنیت محصولات صنعتی، یکی از شکاف‌های اصلی امنیت سایبری در صنایع حیاتی است و استقرار نظام ملی آزمون و گواهی امنیت می‌تواند از ورود تجهیزات ناایمن به شبکه‌های عملیاتی جلوگیری کند.

وی در پایان خاطرنشان کرد: شکل‌گیری نظام ملی ارزیابی امنیت تجهیزات صنعتی، علاوه بر افزایش تاب‌آوری زیرساخت‌های حیاتی، به توسعه بازار محصولات بومی و اعتمادپذیری فناوری‌های داخلی نیز کمک خواهد کرد.