Blog

OT güvenliği neden aniden sıcak bir konu haline geldi?

Şirketlerin giderek daha karmaşık Bilgi Teknolojisi (BT) ve Operasyonel Teknoloji (OT) iş çözümleri sunduğu, hızla değişen, dijital bir dünyada yaşıyoruz. Dijital Dönüşümdeki temel amaç, kârlılığı önemli ölçüde etkileyen verimlilik ve üretkenlik artışlarını bulmaktır.

Endüstri sektörleri genelinde, işletmelerin hiçbir zaman ağa bağlanmaması gereken eskiyen altyapıyı yeni ekipman ve teknolojiyle harmanlayarak bakımı zorlaştırdığını görüyoruz. Bir ağda ne kadar çok cihaz olursa, saldırı yüzeyi o kadar büyük olur ve bu da istemeden verileri, insanları, süreçleri ve kritik altyapıyı riske atar.

Kurumsal BT ağlarına bulaşmak için tasarlanan, verileri ve finansmanı tehdit eden yazılım istismarları, hızlı bir şekilde operasyonel ağlara ve hatta endüstriyel kontrol sistemi ağlarına yayılabilir. Bu, büyük çaplı aksamalara neden olabilir, kritik altyapıyı kapatabilir ve hatta insan hayatını tehdit edebilir.

Bu saldırıların haberlerini her zaman duyuyoruz. Son örnekler arasında, bir bilgisayar korsanının su arıtma sistemine eriştiği ve sodyum hidroksit seviyelerini artırmaya çalıştığı ve binlerce şehir sakinini zehirlenme riskiyle karşı karşıya bıraktığı Oldsmar, Florida ihlali sayılabilir. Ardından, dünyanın en büyük alüminyum üreticilerinden biri olan Norsk Hydro‘nun ihlali oldu; benzer şekilde Avustralya’lı içecek üreticisi LION‘a yönelik fidye yazılımı saldırısı, üretimi durdurmaya zorlayarak müşterileri, tedarikçileri ve tüm tedarik zincirini etkiledi.

Farklı dikeylerde çalışan endüstriyel kontrol sistemlerine gerçekleştirilen bu saldırılar OT Güvenliğinin yüksek önemini her seferinde gözler önüne seriyor.

OT güvenliği için yeni bir yaklaşım gerekli

BT, OT ve endüstriyel kontrol sistemi (EKS) ağlarının yakınsaması, bir işletmenin veri, insan, altyapı ve endüstriyel kontrol sistemi ağlarından, üretim süreçleri, dağıtım ve tedarikçi ağına kadar her yönünü hesaba katan yeni bir güvenlik yaklaşımı talep ediyor.

Genişletilmiş siber güvenlik prosedürlerini yerleştirme ihtiyacı, 5G’nin yakında kullanıma sunulmasıyla daha da kritik hale gelecek ve OT, BT ve IoT ağlarından veri patlamasını kolaylaştıracak. Şirketler, üretkenlik iyileştirmeleri elde etmek için büyük miktarda veriyi hızla toplamanın, analiz etmenin ve yönetmenin avantajlarından yararlanacak olsa da, bilgisayar korsanları da ağları ihlal etmek için bol fırsatlara sahip olacak.

İhlal riskleri artık veri ve mali kayıpla sınırlı değil… üretim süreçleri ve tedarikin kesintiye uğramasına ve hatta potansiyel yaralanma veya insan yaşamının kaybına kadar uzanıyor.

OT ve BT yakınsamasının zorlukları

Günümüzde işletmeler için en büyük zorluklardan biri, kuruluşun tüm yönlerinin hedeflerini ve önceliklerini dikkate alan birleşik bir siber güvenlik stratejisi oluşturmaktır. Bunun nedeni BT ve OT yöneticileri arasındaki kopukluktur.

Güvenlik Operasyon Merkezindeki Zorluklar

Bir tesisin nasıl çalıştığını tam olarak anlamayan bir BT güvenlik uzmanı, bir güvenlik yükseltmesi gerçekleştirmek için tesisin bir alanını izole etmenin akış etkisini fark etmeyebilir. Düzenli bakım veya acil yama uygulamak, uygun şekilde planlanmadığı takdirde üretim kaybına, kaçırılan teslim tarihlerine ve hatta sahada karışıklığa neden olacaktır.

Sahadaki zorluklar

Öte yandan, siber saldırı tehditlerini net bir şekilde anlamadan, sahadakiler bir saldırının üretkenlik üzerindeki etkisinin farkına varamayabilirler. Örneğin, tesisin hızlı bir şekilde kapatılması, kaynakların boşa gitmesine, müşteri siparişlerinin karşılanamamasına ve büyük itibar ve mali zarara neden olabilir. Personel, ekipmanı bozan bir siber saldırının kazalara ve hatta ölümlere yol açabileceğini fark etmeyebilir.

Ek olarak, altyapıyı siber saldırılara karşı korumak için önlemler alınmadığı sürece, çalışanlarına veya üçüncü şahıslara verilen zararlardan şirketin sorumlu tutulabileceğinin farkında olmayabilirler.

Güvenlik tehdidi gerçektir, ancak saldırı olasılığını sürekli üretim adına alınmaya değer bir risk olarak algılayabilirler.

Güvenlik bir seçenek değil; yasal bir zorunluluktur

Siber saldırıların kamusal ve özel alanda kritik altyapı varlıkları üzerindeki artan risk ve etkilerini kabul eden Türk Hükümeti, şu anda Güvenlik Mevzuatı yasasını değiştirmektedir.

Ülkemizde yürürlükteki 2019/12 sayılı “Bilgi ve İletişim Güvenliği Tedbirleri” başlıklı Cumhurbaşkanlığı genelgesi ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından Temmuz 2020 yılında yayınlanan Bilişim Güvenliği Rehberi gibi son dönemde çıkarılmış önemli düzenlemeler, kritik altyapılar ve endüstriyel kontrol sistemlerin siber tehditleri algılama ve engelleme yeteneklerini göstermelerini ve onaylanmış çözümleri kullanmalarını gerektirir. Ancak hergün değişen tehdit profilleri operatörlerin uyumluluk için adaptasyon kabiliyetlerini arttırmaları ve kendi özel siber güvenlik yol haritalarını oluştururken proaktif olmalarını gerektirmektedir.

Kritik altyapı varlıklarına sahip işletmelerin aşağıdakileri yapması gerekir:

1. Tüm tehlikeleri içeren bir yaklaşım uygulayarak riskleri yönetmek ve azaltmak için kritik bir altyapı risk yönetimi programını benimsemeli ve sürdürmeli
2. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak yayımlanmasını müteakip Rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilmeli
3. Siber güvenlik denetimleri yapılmalı ve Denetim sonuçlan ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisine iletilmeli

Etkili bir şekilde bu, şirketleri yasal olarak siber saldırı riskini azaltmak ve süreçlerin izolasyonunu, onarımını, raporlanmasını ve yeniden kurulmasını minimum kesinti ile yönetmek için bir siber güvenlik programına sahip olmaya mecbur kılar.

Gerçekten de, bir siber saldırının etkileri geniş kapsamlıdır. Bir kaza olursa ve saldırı sonucu ölüm olursa, nasıl olduğunun bir önemi yoktur; kuruluşunuz olacak bir siber olay riskini belirlemek için gerekli adımları atmalıdır.

Bu nedenle, siber güvenlik sürecinizin bir parçası olarak riskleri tanımlamanız, bir olayın meydana gelme olasılığını değerlendirmeniz, riskleri azaltmak, izlemek ve yönetmek için adımlar atmanız ve bir olayı raporlamanız gerekir.

Bir olayın ardından, durumu değiştirmek için harekete geçmeniz gerekir ve yeni ekipman kurulduğunda veya sahaya yeni insanlar geldiğinde, herkesin süreçleri ve kontrolleri anlamasını sağlamak için uygun eğitim almış olmalısınız.

Yönetimler Çözüme katılmalı

Bazı kuruluşlar, yönetim kurullarının dikkatini altyapı güvenliği ihtiyacına odaklamayı ve bunun için gerekli masrafları haklı çıkarmayı daha da zorlaştırsa da, değiştirilen güvenlik yasası bunu geçmişte bırakmalıdır.

Yönetimler, bir siber güvenlik programı oluşturmak için yasal sorumlulukları olduğunu anladığında, güvenlik, veri, finans, üçüncü taraflar ve üretime yönelik tehdidin yanı sıra riskin gerçek olduğunu anlayacaktır.

Peki bir siber güvenlik programını nasıl uygularsınız?

OT’nizi ve IoT’nizi korumaktan bahsettiğinizde, esneklik ve üretkenliği korumaktan bahsediyorsunuz… ve tüm bunlar güvenlik yoluyla elde ediliyor.

Endüstri altyapınızı korumak için etkili bir siber güvenlik süreci tasarlamak ve uygulamak, üretim tesislerinizin derinlemesine anlaşılmasını gerektirir. Varlıkların nerede olduğunu ve onları kimin çalıştırdığını, operatörlerin ve mühendislerin becerilerini ve önceliklerini bilmeniz gerekir. Tedarik zincirini çalışırken, bitmemiş ürünlerin geldiğini, bitmiş ürünlerin çıktığını görmeniz gerekir. Ardından, endüstriyel kontrol süreçleri için Purdue modeline aşina olmanız gerekir. Endüstri tarafından benimsenen bu referans model, tipik bir endüstriyel kontrol sistemi içindeki tüm ana bileşenlerin ara bağlantılarını ve karşılıklı bağımlılıklarını gösterir ve ağ genelinde ihtiyaç duyulan koruma seviyelerini vurgular.

Daha da önemlisi, bir işlemin norm dışı olduğunu tespit edebilmeniz için tüm işlemlerin görünürlüğüne ihtiyacınız vardır. Bir duruşun tesisin ve işin her yönü üzerindeki etkisini anlamanız ve bir saldırı ve duruş anında kaybı en aza indirecek şekilde kuruluşa rehberlik edecek bir kurtarma planı geliştirmeniz gerekir – tesisin hangi bölümlerinin hangi sırayla geri yükleneceğini bilmeniz gerekir.

Üretim süreçlerinin gerçekleştiği hacim ve hız, bozulmanın gerçek etkisini gerçekten göz önüne getiriyor. Bütün tesisler bir anda çalışmayı durdurduğunda, hattaki yüz binlerce ürünün atılması gerekebilir. Bu çok büyük bir etkidir.

Sistemleri sıfırdan başlatan ve durduran operasyon ekiplerinizi iyi tanıyarak tam bir anlayış kazanabilirsiniz. Bu ekipler ile süreçler üzerinde çalışıp; Neyi ve nedenini açıkladığınızda siber güvenlik süreciniz net bir şekilde belgelenmiş olur.

“Göremiyorsan koruyamazsın.”

Akıllı OT/IoT güvenliğine yatırım yapın

İşletmelerin açık süreçlerin yanı sıra olayları izleme, tespit etme ve müdahale etme donanımına sahip olması ve daha da önemlisi mevcut mevzuata uygun olarak raporlayabilmesi gerekmektedir. Bu, küresel siber güvenlik sağlayıcısı Fortinet’in sunduğu bir şeydir.

Gartner Peer Insights Müşterilerin Seçimi 2021’de tanınan şirketin araç ve teknoloji portföyü, ortamlar giderek artan bir şekilde uçlarda, bulutlarda, uç noktalarda ve kullanıcılarda birleşirken bile tüm dijital saldırı yüzeyinde koordineli tehdit algılama ve politika yönetimi sağlar.

BT, OT ve IoT’nin yakınsamasından haberdar olmak için iyi bilgi kaynaklarına sahip olmanız gerekir. Bu nedenle Nozomi Networks, güvenlik operasyonları ekibinin “silahlarını doğru yöne doğrultabilmesini” sağlamak için gereken istihbaratı sağlayan, bunu işletmeler adına yapan uzmanlara sahiptir.

Artan yakınsama daha büyük tehditler, güvenlik açıkları, riskler ve anormallikler sunarken, ağları hız ve uzmanlıkla izleyebilmenin değeri artmaya devam edecek. Bu amaçla şirket, normların dışındaki faaliyetleri tespit etmek için yapay zeka ve makine öğrenimi geliştiriyor – bu, müşterilerin risklere karşı kesin olarak uyarılabileceği ve bunu yaparken yanlış pozitifleri kovalayarak zaman kaybetmekten kaçınabileceği anlamına geliyor.

Fortinet ve Nozomi Networks, giderek yakınlaşan bir dünyada şirketlerin BT, OT ve IoT’sini koruyan bütünsel siber güvenlik süreçleri tasarlıyor ve uyguluyor. Cerrus olarak, Kuruluşların farklı alanlarında farklı öncelikleri karşılamanın zorluklarını kabul eden sertifikalı güvenlik uzmanlarımız ile, müşterilerimizle detaylı iletişim kuruyor ve tüm süreçleri, hedeflerini ve bütçesini en derin düzeyde anlamak için zaman ayırıyoruz. Ardından, verilerini ve altyapısını saldırılara karşı koruyan, onları saldırılara yanıt verecek şekilde donatan ve bir saldırı durumunda süreçlerindeki kesintiyi en aza indirmelerini sağlayan özelleştirilmiş bir siber güvenlik planı oluşturuyoruz.

Siber güvenliğe yatırım yapmamak artık bir seçenek değil – BT, OT ve personel – kuruluşunuzu yükselterek milyonlarca dolarlık değeri korumak için gerçekten önemli bir yolculuktasınız.