Bir kurumun SCADA sistemlerinde risk sorununu ele alınırken, iş sürekliliği ve Felaket kurtarma planlarını (Disaster Recovery) gözden geçirmesi önemli bir konudur. Kritik altyapıların yönetilmesinde sorumlu olan kurumlar, oluşabilecek siber güvenlik tehditlerinden daha az oranda etkilenmelerini sağlayacak bir süreklilik planına sahip olmaları gerekmektedir. İş sürekliliği planlaması, bir kesinti durumunda üretimi sürdürme veya yeniden devreye alma konusundaki genel sorunları ele almaktadır. Bu kesintiler doğal bir felaket (kasırga, deprem ve sel), kasıtsız insan kaynaklı bir olay (örneğin, kazara ekipman hasarları, yangın veya patlama ve operatör hatası), kasıtlı insan kaynaklı bir olay (ör. bomba, vandalizm ve saldırgan tarafından gerçekleştirilen saldırılar) veya ekipman arızasından kaynaklı olabilir. Potansiyel bir kesinti perspektifinden bakıldığında, doğal bir felaketten kurtulmak için günler, haftalar hatta aylar gerekebilir; veya kötü amaçlı yazılım bulaşmasından veya mekanik/elektrik arızasından kurtulmak için dakikalar veya saatler gerekebilir. Genellikle güvenilirlik, kurumlarda elektrik veya mekanik bakım konuları ile ilgilenen ayrı bir departman bulunduğundan, bazı kuruluşlar iş sürekliliğini bu başarısızlık kaynaklarını dışlayacak şekilde tanımlamayı tercih ederler. İş sürekliliği, öncelikle üretim kesintilerinin uzun vadeli etkileri ile de ilgilendiğinden, bazı kuruluşlar da dikkate alınması gereken risklere minimum kesinti limiti koymayı tercih etmektedir. SCADA siber güvenlik amaçları için, bu kısıtlamaların hiçbirinin yapılmaması önerilmektedir. Uzun vadeli kesintiler (Felaket kurtarma) ve kısa vadeli kesintiler (operasyonel kurtarma) her ikisi de düşünülmelidir. SCADA siber güvenliği amacıyla, bu kısıtlamaların hiçbirinin yapılmaması gerekmektedir.
SCADA sistemlerine istinaden iş sürekliliğini ve felaket kurtarmayı detaylı incelemek için birkaç önemli farklılıklara değinilmesi önemlidir. İş sürekliliği planı (BCP), ilan edilen bir felaket durumunda kuruluş işlemlerini geri yüklemek için özel olarak geliştirilmiş kurtarma zaman çizelgesi metodolojisi, dokümantasyon, prosedürler ve talimatları içeren bir belgeler bütünüdür. Etkili olabilmesi için İş sürekliliği planı ayrıca test, yetenekli personel, önemli kayıtlara erişim ve tesisler de dahil olmak üzere alternatif kurtarma kaynaklarına ihtiyaç duymaktadır. İş sürekliliği, bir felaket durumunda nasıl faaliyette kalabileceğiniz anlamına gelmektedir. SCADA sistemleri için Felaket kurtarma planlaması açısından, afet için planlama, hazırlık ve afete müdahale için bir plan (basılı veya elektronik ortamda) oluşturulması anlamına gelmektedir. Tipik olarak, bu planlar bilgi teknolojisi odaklıdır. Bir kurum, hayatta kalabilmek için hem iş sürekliliği hem de felaket kurtarmaya ihtiyaç duymaktadır.
Bilgi sistemi acil durum planlaması, acil bir olay sonrasında kritik sistem hizmetlerini sürdürmek ve kurtarmak için tasarlanmış geniş bir faaliyet alanını temsil eder. Bilgi sistemi acil durum planlaması, organizasyon ve iş süreci sürekliliği, Felaket kurtarma planlaması ve olay yönetimini içeren çok daha geniş bir güvenlik ve acil durum yönetimi konularını içerir. Nihayetinde, SCADA teknolojisine sahip olan bir kuruluş, kuruluşun bilgi sistemlerini, görev süreçlerini, personelini ve tesisini etkileyen aksaklıklar için müdahale, kurtarma ve süreklilik faaliyetlerini uygun şekilde hazırlamak için bir dizi plan kullanması gerekmektedir.
Süreklilik ve acil durum planlaması, acil durum yönetimi ve örgütsel dayanıklılığın kritik bileşenleridir, ancak genellikle kullanımları birbiriyle karıştırılmaktadır. Süreklilik planlaması normalde misyon / işin kendisi için geçerlidir; acil bir olay sırasında, sonrasında kritik işlevlere ve süreçlere devam etme yeteneği ile ilgilidir. Acil durum planlaması normalde bilgi sistemleri için geçerlidir ve belirlenen bilgi sistemlerinin tamamının veya bir kısmının acil durumda mevcut veya yeni bir konumda çalışmasını sağlamak için gerekli adımları içermektedir. Olay Müdahalesi planlaması, normalde bir bilgisayar güvenliği olayı veya olayının algılanmasına, yanıtlanmasına ve kurtarılmasına odaklanan bir plan türüdür. Bu tür planlar için standart tanımların bulunmaması nedeniyle, kuruluşlar tarafından geliştirilen gerçek planların kapsamı değişebilir. Her kuruluş görev ihtiyaçlarına göre bir planlama yapmalıdır. Bu yazımda kurumların minimumda sahip olması gereken planlama dokümanlarını aşağıda maddeler halinde sizlerle paylaşacağım.
- Prosedürler
- SCADA felaket kurtarma durumunda halkla iletişim
- Risk yönetimi
- Önemli kayıtlar
- Delegasyon Emirleri ve Yetkilendirme (örneğin, bir terör olayı veya salgın durumunda sistemi kim işletecek)
- Yetki Delegasyonu
- Acil durum operasyon merkezleri