Operasyonel Teknoloji (OT) kuruluşun fiziksel cihazlarını, süreçlerini ve olaylarını değiştirmek, izlemek veya kontrol etmek için kullanılan donanım ve yazılımı ifade eder. Geleneksel Bilgi Teknolojisi (BT) sistemlerinden farklı olarak OT sistemleri fiziksel dünyayı doğrudan etkiler. OT’nin bu benzersiz özelliği, geleneksel BT güvenlik mimarilerinde genellikle bulunmayan ek siber güvenlik hususlarını beraberinde getirir.
BT ve OT’nin yakınsaması
Geçmişte BT ve Operasyonel Teknoloji (OT), her biri kendi protokol, standart ve siber güvenlik önlemlerine sahip ayrı silolarda faaliyet gösteriyordu. Ancak bu iki alan, Endüstriyel Nesnelerin İnterneti’nin (IIoT) ortaya çıkışıyla giderek daha fazla birleşiyor. Verimliliğin artması ve veriye dayalı karar verme açısından faydalı olsa da bu yakınsama, OT sistemlerini de BT sistemlerinin karşı karşıya olduğu siber tehditlere maruz bırakıyor.
OT için Benzersiz Siber Güvenlik Konuları
Gerçek zamanlı gereksinimler
Operasyonel Teknoloji sistemleri genellikle gerçek zamanlı olarak çalışır ve gecikmeleri kaldıramaz. OT sistemindeki bir gecikme, önemli operasyonel sorunlara ve hatta güvenlik tehlikelerine yol açabilir. Bu nedenle, çok faktörlü kimlik doğrulama, tam zamanında erişim isteği iş akışları ve oturum etkinliği izleme gibi gecikmeye neden olan OT siber güvenlik önlemleri, OT ortamları için uygun olmayabilir.
Bu özelliklerin sistem performansı üzerindeki etkisinin, belirli PAM çözümüne ve nasıl yapılandırıldığına bağlı olarak değişebileceğini unutmayın. Bu nedenle, gerekli güvenlik kontrollerini sağlarken performans gereksinimlerini karşıladığından emin olmak için herhangi bir PAM çözümünü gerçek zamanlı bir ortamda kapsamlı bir şekilde test etmek çok önemlidir.
Eski sistemler ve bağlantı
Dişte birçok Operasyonel Teknoloji sistemi hala eskidir. Bunlar tescillidir ve zorlu koşullar altında uzun ömür ve dayanıklılık ihtiyaçlarını karşılayacak şekilde özelleştirilmiştir. Siber güvenlik, eski OT sistemleri için yüksek öncelikli bir konu değildi, bu nedenle çağdaş OT siber güvenlik tehditlerine karşı dayanıklılıkları yoktu ve bu da yüksek riske yol açıyordu.
Şifreleme, kimlik doğrulama gibi temel güvenlik özelliklerinden yoksun olabilirler. Çok Faktörlü Kimlik Doğrulama (MFA.) Bu sistemlerin modernleştirilmesi maliyet, operasyonel kesintiler ve uyumluluk sorunları açısından önemli zorluklar ortaya çıkarmaktadır. Bilgi ve beceriye sahip kişiler mevcut olmayabilir, bu da tasarımın ve kodun anlaşılmasını imkansız hale getirir.
Bu sistemlerin BT ağlarına ve bazen de internete entegrasyonunun artmasıyla birlikte siber tehditlere karşı duyarlılıkları da artıyor. Operasyonel verimlilik açısından faydalı olsa da, bu bağlantı yanlışlıkla saldırı yüzeyini genişletiyor ve böylece güvenlik açığını artırıyor.
Benzersiz güvenlik sorunlarına bazı örnekler şunlardır:
- Eski Donanım ve Yazılım: Eski donanım ve yazılımlar, temel olarak modern hazır güvenlik çözümleri ve en iyi uygulamalarla uyumsuzluk nedeniyle önemli güvenlik sorunlarına neden olur. Bu, eski OT sistemlerini yetkisiz gözetime, veri ihlallerine, fidye yazılımı saldırılarına ve olası manipülasyonlara açık hale getirir.
- Şifreleme Eksikliği: Şifreleme, hassas verileri ve iletişimleri korumak için çok önemlidir. Bununla birlikte, eski OT sistemleri şifrelemeyi destekleme yeteneğine sahip olmayabilir, bu da onları verilerin gizliliğini ve bütünlüğünü tehlikeye atabilecek saldırılara açık hale getirir.
- Güvenli Olmayan İletişim Protokolleri: Eski OT sistemleri, saldırganların yararlanabileceği güvenli olmayan iletişim protokollerini kullanabilir. Örneğin, eski OT sistemlerinde yaygın olarak kullanılan bir iletişim protokolü olan Modbus, kimlik doğrulama veya şifreleme içermediğinden saldırılara karşı savunmasız hale geliyor.
- Siber Güvenlik Kontrollerini Uygulama Konusunda Sınırlı Yetenek: Geleneksel OT sistemlerinin siber güvenlik önlemlerini uygulama kapasitesi sıklıkla sınırlıdır. Örneğin, siber güvenliğin önemi OEM’ler tarafından fark edilip yönetilmeden önce sağlanmış ve güvenliklerini karmaşık hale getirmiş olabilirler.
- Üçüncü Taraf Uzaktan Bağlantılar: Daha eski OT sistemleri, dahili bir ağa bağlı OT cihazlarını yönetmek için üçüncü tarafların uzaktan bağlantılarını destekleyebilir. Davetsiz misafirler, bir satıcı tarafından kurulan bir ağı hedef alabilir ve onu diğer cihazlara bulaştırmak için kullanabilir.
- Güvenlik Bilinci Eksikliği: Eski OT sistemlerini yöneten operatörler ve teknisyenler, güvenlik farkındalığı ve eğitimden yoksun olabilir ve bu da onları sosyal mühendislik saldırılarına karşı savunmasız hale getirebilir.
- Gömülü veya Tahmin Edilmesi Kolay Kimlik Bilgileri: IoT kategorisindekiler gibi belirli OT cihazları, diğer potansiyel tasarım eksikliklerinin yanı sıra, doğal veya öngörülebilir şifrelere sahip olabilir.
Güvenlik ve güvenilirlik
Operasyonel Teknoloji ortamlarında öncelikli odak noktası, kontrol ettikleri fiziksel süreçlerin güvenliğini ve güvenilirliğini korumaktır. Bu, genellikle verilerin gizliliği ve bütünlüğüne odaklanılan geleneksel BT ortamlarından önemli bir sapmadır.
- Emniyet: OT sistemleri, arızalanmaları durumunda gerçek dünyada sonuçları olabilecek fiziksel süreçleri kontrol eder. Örneğin bir enerji santralinde kontrol sistemindeki bir arıza, tesisin kapanmasına ve hatta felaketle sonuçlanabilecek bir olaya yol açabilir. Bu nedenle bu sistemlerin güvenliğinin sağlanması son derece önemlidir.
- Güvenilirlik: Fiziksel süreçlerin sorunsuz işleyişini sağlamak için OT sistemlerinin mevcut olması ve doğru şekilde çalışması gerekir. Herhangi bir kesinti, önemli operasyonel kesintilere ve mali kayıplara yol açabilir.
Bunun aksine, OT ortamlarında gizlilik (bilgiye yetkisiz erişimin önlenmesi) ve bütünlük (verilerin doğru ve değiştirilmemiş kalmasının sağlanması) genellikle ikinci planda kalır. Bu unsurlar önemli olsa da genellikle güvenlik ve güvenilirlik kadar ağırlık taşımazlar.
Bu öncelik sırası siber güvenlik önlemlerinin uygulanmasını etkileyebilir. Verileri koruyan (gizliliği ve bütünlüğü artıran) ancak bir OT sisteminin güvenilirliğini tehlikeye atan bir siber güvenlik eylemi uygun görülmeyebilir. Örneğin, bir güvenlik yaması bilinen bir güvenlik açığını düzeltebilir (bütünlüğü artırabilir), ancak sistem kararsızlığına neden oluyorsa (güvenilirliği zayıflatıyorsa) bunun uygun olmadığını düşünebilirsiniz.
Çoğu siber güvenlik en iyi uygulaması ve çerçevesi geleneksel BT ortamlarına odaklanırken OT de bundan yararlanabilir. Örneğin OWASP Top 10, OT ortamlarında da bulunabilen yaygın güvenlik açıkları olan enjeksiyon, bozuk kimlik doğrulama, hassas verilerin açığa çıkması ve güvenlik yanlış yapılandırmaları gibi web uygulaması siber güvenlik endişelerini ele alıyor. OWASP ayrıca, genellikle OT ortamlarının önemli bir bileşeni olan Nesnelerin İnterneti (IoT) için ayrı bir listeye sahiptir.
OT ortamlarındaki siber güvenlik stratejileri, güvenlik ve güvenilirlik ihtiyacını veri gizliliği ve bütünlüğü ihtiyacıyla dengeleyecek şekilde dikkatli bir şekilde tasarlanmalıdır.
Bu nedenle, OT ortamlarındaki siber güvenlik stratejilerinin, güvenlik ve güvenilirlik ihtiyacı ile veri gizliliği ve bütünlüğü ihtiyacını dengelemek için dikkatli bir şekilde tasarlanması gerekir. Bu genellikle geleneksel BT güvenliğinden farklı bir yaklaşım gerektirir ve fiziksel süreçlerdeki kesintileri en aza indirmeye daha fazla odaklanır. Bu, operasyonel süreçler ve potansiyel siber tehditler hakkında derin bilgi gerektiren hassas bir dengeleme eylemidir.
OT ortamlarının güvenliğini sağlamak, geleneksel bilgi teknolojisi güvenliğine kıyasla farklı bir yaklaşım gerektirir. OT sistemlerinin benzersiz özelliklerini ve gereksinimlerini anlamanın yanı sıra, operasyonlarından ödün vermeden onları koruyabilecek siber güvenlik önlemleri tasarlamayı gerektirir.
BT ve OT yakınlaşmaya devam ettikçe OT siber güvenliğinin önemi daha da artacaktır. Şifreleme kullanımı hassas verileri ve iletişimleri korumak için çok önemlidir. Bununla birlikte, eski OT sistemleri şifrelemeyi destekleme yeteneğine sahip olmayabilir, bu da onları verilerin gizliliğini ve bütünlüğünü tehlikeye atabilecek saldırılara açık hale getirir.
Böyle bir siber güvenliğin maliyeti nedir? Düşündüğün kadar değil. Fiyat teklifi al hem bulutta hem de şirket içinde mevcut, kullanımı en kolay kurumsal sınıf PAM çözümü için.