لایب سان

Over the past few decades, the process industry has replaced mechanical safeguards with networked microprocessor-based devices that can be configured remotely. The new systems have more functionality their analog counterparts; however, they have also created greater risk from cyber attack. By focusing on hazard and operability studies (HAZOPs) designated scenarios, it is possible to identify hackable scenarios, rank them appropriately, and design non-hackable safeguards-such as relief valves and current overload relays-that are not vulnerable to the cybersecurity threat vector. Where inherently secure safeguard design is not feasible, the appropriate cybersecurity countermeasures must be deployed. The first step in this decision-making process is the application of a methodology for assessing the potential risks posed by a cyberattack on these process plants. In the process industries, the most widely accepted process for identifying hazards and assessing risk is the process hazard analysis (PHA) method, most commonly performed through a HAZOP. This book reviews the most common methods for PHA of process industry plants and then explains how to supplement those methods with an additional security PHA review (SPR) study to determine if there are any cyberattack vectors that can cause significant physical damage to the facility. If these attack vectors are present, then the study methodology makes one of two recommendations: (1) modify one or more of the safeguards so that they are not vulnerable to cyberattack or (2) prescribe the appropriate degree of cyberattack safeguarding through the assignment of an appropriate security level. SPR examples provide insight for implementing these recommendations.

چکیده فارسی

در چند دهه گذشته، صنعت فرآیند، محافظ‌های مکانیکی را با دستگاه‌های مبتنی بر ریزپردازنده شبکه‌ای که می‌توانند از راه دور پیکربندی شوند، جایگزین کرده است. سیستم های جدید عملکرد بیشتری نسبت به همتایان آنالوگ خود دارند. با این حال، آنها همچنین خطر بیشتری از حملات سایبری ایجاد کرده اند. با تمرکز بر روی سناریوهای تعیین‌شده مطالعات خطر و عملکرد (HAZOPs)، می‌توان سناریوهای قابل هک را شناسایی کرد، آنها را به‌طور مناسب رتبه‌بندی کرد و محافظ‌های غیرقابل هک (مانند شیرهای امداد و رله‌های اضافه بار فعلی) را طراحی کرد که در برابر ناقل تهدید امنیت سایبری آسیب‌پذیر نیستند. . در مواردی که طراحی حفاظتی ذاتاً ایمن امکان پذیر نیست، اقدامات متقابل امنیت سایبری مناسب باید به کار گرفته شود. اولین گام در این فرآیند تصمیم‌گیری، استفاده از روشی برای ارزیابی خطرات احتمالی ناشی از حمله سایبری به این کارخانه‌های فرآیند است. در صنایع فرآیندی، پذیرفته‌شده‌ترین فرآیند برای شناسایی خطرات و ارزیابی ریسک، روش تحلیل خطر فرآیند (PHA) است که معمولاً از طریق HAZOP انجام می‌شود. این کتاب رایج‌ترین روش‌ها برای PHA کارخانه‌های صنعت فرآیند را بررسی می‌کند و سپس توضیح می‌دهد که چگونه می‌توان این روش‌ها را با مطالعه بررسی امنیتی PHA (SPR) تکمیل کرد تا مشخص شود آیا حامل‌های حمله سایبری وجود دارد که می‌تواند آسیب فیزیکی قابل توجهی به تاسیسات وارد کند. اگر این بردارهای حمله وجود داشته باشند، روش مطالعه یکی از دو توصیه را ارائه می‌کند: (1) اصلاح یک یا چند مورد از پادمان‌ها به گونه‌ای که در برابر حمله سایبری آسیب‌پذیر نباشند یا (2) درجه مناسب حفاظت از حمله سایبری را از طریق تعیین سطح امنیتی مناسب نمونه‌های SPR بینشی برای اجرای این توصیه‌ها ارائه می‌دهند.