Cyber-Physical Risk — ارزیابی یکپارچه ریسک سایبری-فیزیکی منطبق با IEC 62443 و ISA-TR84

+۱٬۸۰۰

سناریوی Cyber-Physical مدل‌سازی‌شده در پلتفرم

فاز پیاده‌سازی

قابلیت تخصصی صنعت

+۴۵ کانکتور آماده برای سامانه‌های PSM

ادغام آماده

Sector Realities

نشانه‌های شکاف میان HSE و امنیت OT در سازمان شما

01 / 04

تیم HSE و تیم CyberSec دو زبان متفاوت صحبت می‌کنند

ریشه: نبود چارچوب مشترک ارزیابی ریسک میان Process Safety و OT Security

هزینه پنهان: تصمیمات سرمایه‌گذاری ایمنی و امنیتی غیرهماهنگ و موازی‌کاری در دو حوزه

02 / 04

رویدادهای سایبری در HAZOP و LOPA دیده نمی‌شوند

ریشه: متدولوژی سنتی HAZOP فقط Initiating Eventهای فیزیکی را در نظر می‌گیرد

هزینه پنهان: سناریوهای کلاس Stuxnet خارج از Safety Case باقی می‌مانند

03 / 04

هیئت‌مدیره نمی‌تواند ریسک‌های OT را با ریسک‌های مالی مقایسه کند

ریشه: خروجی ارزیابی به‌صورت ماتریس ۵×۵ کیفی است، نه ارزش مالی

هزینه پنهان: اولویت‌بندی نادرست بودجه امنیت و ایمنی در سطح C-Level

04 / 04

بیمه‌گر برای پوشش Cyber-Physical نرخ‌گذاری نمی‌کند یا حق بیمه را چندبرابر می‌کند

ریشه: نبود مستندسازی کمی ریسک و کنترل‌های موجود برای Underwriter

هزینه پنهان: پرداخت حق بیمه ۲ تا ۴ برابر یا نبود پوشش در سناریوهای Cyber-Physical

Industry Bundle

قابلیت‌هایی که شکاف Safety–Security را پر می‌کنند

بسته‌ی راهکار اختصاصی برای این صنعت — قابلیت‌هایی که در پیاده‌سازی‌های میدانی تأیید شده‌اند.

هسته متدولوژی

Bow-Tie یکپارچه (Safety + Cyber)

اولین موتور Bow-Tie بومی که Threat سایبری و Hazard فرآیندی را روی یک Top Event ادغام می‌کند.

حذف نقاط کور سایبری در Safety Case

کتابخانه تهدید

Threat Vector Library

بیش از ۴۲۰ Threat Vector دسته‌بندی‌شده در ۴ گروه Insider، Ransomware، Nation-State و Supply-Chain.

صرفه‌جویی ۲۰۰+ ساعت در ساخت Threat Catalog

ISA-TR84.00.09

Cyber-PHA Workflow

گردش کار کامل Cyber-PHA منطبق با ISA-TR84.00.09 و IEC 62443-3-2.

کاهش ۶۵٪ زمان مستندسازی IEC 62443-3-2

شبیه‌سازی

Digital Twin Attack Simulation

اجرای سناریوهای حمله روی Digital Twin فرآیندی بدون لمس سامانه عملیاتی.

اعتبارسنجی واقعی اثربخشی Barrierها

کمی‌سازی مالی

FAIR Financial Loss Estimation

محاسبه Loss Exposure مالی هر سناریو با مدل FAIR و Monte-Carlo.

زبان مشترک ریسک با هیئت‌مدیره و CFO

بیمه

Insurance Underwriting Bridge

بسته داده استاندارد قابل ارائه به بیمه‌گر برای Cyber-Physical Coverage.

کاهش ۲۵–۴۰٪ حق بیمه Cyber-Physical

تحلیل

Scenario Replay

بازپخش گام‌به‌گام سناریوهای حمله یا حوادث واقعی برای آموزش و Lessons Learned.

آموزش مؤثر تیم بحران و افزایش آمادگی

داشبورد

Board Risk Heatmap

نمای سطح C-Level از ریسک‌های Cyber-Physical به‌صورت Heatmap مالی.

تصمیم‌سازی ریسک در سطح هیئت‌مدیره

بلوغ

Maturity Model

مدل بلوغ Cyber-Physical Risk Management با ۵ سطح، منطبق با C2M2 و IEC 62443.

نقشه راه چندساله ارتقای بلوغ

میدان

Mobile Workshop App

اپلیکیشن موبایل برای اجرای Workshop HAZOP/Cyber-PHA در سایت.

افزایش ۳ برابر بهره‌وری Workshopهای میدانی

تصور کنید ارزیابی ریسک شما این‌گونه باشد

وضعیت فعلی

پس از پیاده‌سازی

HAZOP در Excel، Cyber-PHA در ابزار جداگانه

Bow-Tie یکپارچه با Threat و Hazard در یک نما

سناریوهای سایبری در Safety Case غایب

Threat Vectorهای Insider/Ransomware/APT در کنار Process Hazards

خروجی کیفی ۵×۵ بدون عدد

Loss Exposure مالی با مدل FAIR و فواصل اطمینان

ممیزی IEC 62443-3-2 چندماهه

گزارش‌های آماده ZCR/SuC با یک کلیک

Workshop کاغذی با ۱۲ کارشناس در اتاق

اپلیکیشن موبایل با Live Voting و Audit Trail

بیمه‌گر داده‌ای برای Underwriting ندارد

بسته داده استاندارد قابل ارائه به Reinsurer

GITA CP Risk یک پلتفرم بومی است که برای اولین بار در ایران، چارچوب‌های Process Safety (HAZOP، LOPA، Bow-Tie) و OT Cybersecurity (IEC 62443، Cyber-PHA) را در یک مدل داده واحد ادغام می‌کند. تیم متدولوژی ما متشکل از Process Safety Engineerهای ارشد و کارشناسان IEC 62443 Certified است که در فاز Discovery، چارچوب ریسک سفارشی صنعت شما را طراحی می‌کنند.

Standards & Ecosystem

ادغام با اکوسیستم Safety و OT Security شما

+۴۵ کانکتور آماده برای سامانه‌های PSM، HSE و OT

نیاز به کانکتور سفارشی برای DCS خاص خود دارید؟

Process Safety Management

Sphera PHA-ProioMosaic PHAWorksABS PHAPSM بومی GITAExcel-based HAZOP

HSE Management

GITA HSEEnablonIntelexSphera EHS

OT Security

Claroty CTDNozomi NetworksDragosGITA OT MonitorTenable.ot

SIEM و Log Analytics

GITA SIEMSplunkQRadarElastic SecurityMicrosoft Sentinel

CMDB و Asset Inventory OT

GITA OT CMDBServiceNow OT ManagementIndustrial Defender ASM

DCS و SCADA (Read-Only)

Honeywell ExperionYokogawa CENTUMEmerson DeltaVABB 800xASiemens PCS 7

From the Field

بازخورد از تیم‌های Safety و OT Security

«برای اولین بار تیم HSE و تیم OT Security ما در یک Workshop واحد نشستند و در یک Bow-Tie مشترک کار کردند. این تغییر فرهنگی، مهم‌تر از خود ابزار بود. حالا وقتی از ریسک حرف می‌زنیم، همه یک زبان داریم.»

مدیر HSE — پالایشگاه نفت با ظرفیت ۳۲۰ هزار بشکه در روز

«Loss Curveهای FAIR را در جلسه هیئت‌مدیره ارائه کردیم و برای اولین بار، بودجه ارتقای SIS و IDS صنعتی در یک تصمیم واحد تصویب شد. قبلاً دو پروژه جدا با دو منطق متفاوت بودند و یکی همیشه قربانی می‌شد.»

مدیر ریسک سازمانی — هلدینگ پتروشیمی

«در مذاکره با بیمه‌گر، گزارش استاندارد CP Risk باعث شد نرخ Cyber-Physical Coverage ما ۳۲ درصد کاهش پیدا کند. Underwriter برای اولین بار داده کمی‌شده دید و حاضر به پوشش بدون استثنای سنگین شد.»

مدیر بیمه و ریسک — نیروگاه سیکل ترکیبی ۱۲۰۰ مگاوات

پالایشگاه‌های نفتی

ارزیابی یکپارچه سناریوهای Loss of Containment با منشأ سایبری روی واحدهای Crude، FCC و Reformer — همراه با Cyber-PHA رسمی واحدهای SIS.

مجتمع‌های پتروشیمی

تحلیل ریسک حملات روی Compressor، Reactor و Polymerization Loops با Digital Twin و مدل‌سازی Consequence فشار/دما در زمان واقعی.

نیروگاه‌ها

Cyber-PHA برای Turbine Control، DCS و GIS Substation — منطبق با NERC CIP و الزامات افتای صنعت برق.

آب و فاضلاب

ارزیابی ریسک Chlorination Plants، SCADA توزیع و Pump Stations — با درس‌آموخته حملات واقعی Oldsmar و Florida Water.

خطوط لوله نفت و گاز

Bow-Tie یکپارچه برای Pipeline SCADA و Compressor Stations با Threat Vectorهای Colonial Pipeline و Ransomware.

معادن و صنایع فلزی

ارزیابی ریسک Conveyor، Mill و Smelter Control Systems با تأکید بر Insider Threat و Supply-Chain ابزارهای OT.

کارخانه‌های کود شیمیایی

تحلیل سناریوهای Ammonia Release با منشأ سایبری و ادغام با Process Safety Management (PSM) موجود.

عملیات فرودگاهی

Cyber-PHA برای Baggage Handling، Jet Bridge Control و Fuel Hydrant Systems — منطبق با ICAO و الزامات سازمان هواپیمایی کشوری.

Common Questions

سؤال‌های متداول این صنعت

01تفاوت Cyber-PHA با HAZOP سنتی چیست؟

HAZOP سنتی فقط Initiating Eventهای فیزیکی (نشت، انسداد، خرابی تجهیز) را بررسی می‌کند. Cyber-PHA که مطابق ISA-TR84.00.09 تعریف شده، همان Process Hazardها را با Initiating Eventهای سایبری (دستکاری Setpoint، تغییر لاجیک PLC، Ransomware در HMI) نیز ارزیابی می‌کند. در GITA CP Risk هر دو در یک Bow-Tie واحد ادغام می‌شوند.

02آیا برای اجرای Cyber-PHA نیاز به دسترسی Live به DCS دارید؟

خیر. اجرای متدولوژی Cyber-PHA با اسناد طراحی (P&ID، Logic Diagram، Network Diagram) امکان‌پذیر است. اتصال Read-Only به DCS و CMDB OT اختیاری است و برای Continuous Risk Assessment استفاده می‌شود؛ هیچ Write-Back به سامانه عملیاتی انجام نمی‌شود.

03مدل FAIR چگونه با ماتریس ۵×۵ موجود ما تطبیق پیدا می‌کند؟

GITA CP Risk هر دو خروجی را به‌طور همزمان تولید می‌کند. ماتریس ۵×۵ برای ارتباط با تیم‌های عملیاتی و خروجی FAIR (Loss Exposure مالی) برای هیئت‌مدیره. نقشه تبدیل بین این دو با Calibration Workshop در فاز Discovery تنظیم می‌شود.

04Digital Twin Attack Simulation چقدر دقیق است؟ آیا جایگزین SAT می‌شود؟

Digital Twin برای تحلیل Consequence سناریوهای فرضی استفاده می‌شود و جایگزین SAT یا Penetration Test روی محیط عملیاتی نیست. دقت آن وابسته به کیفیت Process Model است؛ در پروژه‌های واقعی، خطای کمتر از ۸٪ در پارامترهای کلیدی فرآیندی مشاهده شده است.

05Threat Library چطور بومی‌سازی شده است؟

تیم Threat Intel بومی GITA با همکاری مرکز افتا و پروژه‌های میدانی، احتمال وقوع و Capability Required هر Threat Vector را برای صنعت ایران کالیبره می‌کند. به‌عنوان مثال، احتمال Nation-State Threat برای زیرساخت‌های نفتی ایران بر اساس حوادث ۲۰۱۰ تا ۲۰۲۵ به‌روزرسانی می‌شود.

06آیا با ابزار PHA-Pro یا PHAWorks موجود ما کار می‌کند؟

بله. کانکتور دوطرفه برای Sphera PHA-Pro و ioMosaic PHAWorks وجود دارد. می‌توانید Worksheetهای HAZOP موجود را Import کنید و GITA CP Risk لایه Cyber-PHA و Quantification را به آن اضافه می‌کند. خروجی نیز قابل Sync با ابزار اصلی است.

07برای ممیزی افتا چه خروجی‌هایی تولید می‌شود؟

بسته گزارش افتا شامل Asset Inventory طبقه‌بندی‌شده، Risk Assessment Report منطبق با ابلاغیه CIIP، Zone & Conduit Diagram، Control Maturity Score و Remediation Roadmap است. تمام شواهد در Evidence Vault با امضای دیجیتال و timestamp غیرقابل تغییر ذخیره می‌شوند.

08آیا سناریوی Stuxnet-class در پلتفرم موجود است؟

بله. کتابخانه شامل بازسازی دقیق Stuxnet (PLC Logic Manipulation روی Centrifuge)، TRITON (دستکاری SIS)، Industroyer-2 (Substation Attack) و Colonial Pipeline (Ransomware روی IT با اثر OT) است. این سناریوها قابل اجرا روی Digital Twin و قابل تنظیم برای محیط شما هستند.

09Mobile Workshop App چطور در محیط بدون شبکه OT کار می‌کند؟

اپلیکیشن به‌صورت کامل Offline-first طراحی شده است. تمام داده‌ها روی دستگاه رمزنگاری‌شده ذخیره و پس از خروج از محیط OT و اتصال به شبکه امن، Sync می‌شوند. Live Voting در شبکه Local Wi-Fi ایزوله نیز پشتیبانی می‌شود.

10زمان معمول رسیدن به اولین Board Report چقدر است؟

بر اساس تجربه، یک Pilot روی یک واحد فرآیندی منتخب در ۶ تا ۸ هفته به اولین Board Report می‌رسد. این شامل Discovery (۲ هفته)، Workshop میدانی (۲ هفته)، Quantification و Bow-Tie سازی (۲ هفته) و آماده‌سازی Board Deck (۱–۲ هفته) است.

ارزیابی Cyber-Physical Risk را روی یک واحد فرآیندی شروع کنید

یک جلسه ۴۵ دقیقه‌ای با تیم متدولوژی ما — یک سناریوی واقعی از صنعت شما را روی پلتفرم اجرا می‌کنیم و Loss Curve مالی نمونه می‌سازیم. رایگان و بدون تعهد.

تماس مستقیم ایمیل تخصصی صنعت

تلفن

+۹۸ ۲۱ ۱۲۳۴ ۵۶۷۸

ایمیل

cprisk@gitiafrooz.com

ساعات

شنبه تا چهارشنبه — ۹ تا ۱۸

NDA و محرمانگی کامل از جلسه اول

GITA OS v3

سیستم‌های سازمانی

هوش مصنوعی و پلتفرم داده

زیرساخت و Cloud Native

امنیت سایبری

Vertical Solutions

نفت، گاز و پتروشیمی

انرژی، آب و یوتیلیتی

بهداشت، درمان و سلامت

HSE، امنیت OT و انطباق

Field Engineering

مشاوره استراتژیک و معماری

پیاده‌سازی و یکپارچه‌سازی

عملیات، SRE و Managed Services

آموزش، ممیزی و انطباق

وقتی یک کلیک می‌تواند یک پالایشگاه را خاموش کند، ریسک سایبری و ریسک فرآیندی یک ریسک واحد است