תשתיות ותעשיה
זוהי המסגרת המחייבת, במיוחד עבור גופים המוגדרים כ"תשתית מדינה קריטית" (תמ"ק). הביקורת בוחנת את המרכיבים הבאים:
אבטחת מערכות בקרה (OT/SCADA): בחינת הבקרות על מערכות המפעילות קווי ייצור, שנאים, משאבות וחיישנים. הביקורת מוודאת עמידה בפרוטוקולי אבטחה ייעודיים לעולם התעשייתי.
הפרדה רשתית (Air-Gapping / DMZ): וידוא הפרדה לוגית או פיזית מוחלטת בין רשת ה-IT המשרדית לרשת ה-OT התפעולית, למניעת זליגת מתקפות מהאינטרנט אל רצפת הייצור.
ניהול גישה מרחוק: בחינת הבקרות על טכנאים וספקים חיצוניים המתחברים מרחוק לצורך תחזוקת מערכות, תוך שימוש במנגנוני אימות חזקים (MFA) וחיבורים מאובטחים.
חוסן תפעולי ובטיחות (Industrial Safety)
בסקטור זה, אירוע סייבר עלול להוביל לנזק פיזי לסביבה או לחיי אדם:
רציפות תפקודית במערכות קריטיות: בחינת יכולת הארגון להמשיך לייצר או לספק שירות (חשמל, מים, גז) גם תחת מתקפת סייבר, תוך שימוש במערכות גיבוי ידניות או אנלוגיות.
ניהול שרשרת האספקה: בחינת רמת האבטחה של רכיבי חומרה ותוכנה המשולבים במערכות הייצור (Supply Chain Security) ווידוא שהספקים עומדים בדרישות ה-CyberReady.
אבטחת IoT ותעשייה חכמה (Industry 4.0)
המעבר למפעלים חכמים מציב אתגרים חדשים שהביקורת בוחנת:
הגנה על חיישני IoT: בחינת רמת האבטחה של רכיבי קצה המחוברים לרשת, ניהול עדכוני קושחה (Patch Management) וחסימת נקודות תורפה.
שימוש בבינה מלאכותית לניטור חריגות: בחינת מערכות הניטור (IDS) המזהות התנהגות חריגה בפרוטוקולים תעשייטיים, העשויה להעיד על ניסיון שיבוש או חבלה פיזית.
סטנדרטים ומתודולוגיות
הביקורת מתבססת על תקנים בינלאומיים המחמירים ביותר לעולם התעשייה:
IEC 62443: התקן הבינלאומי המוביל לאבטחת מערכות בקרה ואוטומציה תעשייתית.
NIST SP 800-82: הנחיות לאבטחת מערכות בקרה תעשייתיות (ICS).
ISO 27001: בתוספת בקרות ייעודיות לניהול תשתיות.