Birkaç yıldır, endüstriyel pazarın küreselleşmesi, müşteri gereksinimlerindeki artış ve sürekli olarak daha düşük maliyetler arayışı, endüstriyel ortamların karmaşıklığında güçlü bir artışa yol açmıştır. Bu nedenle, güvenlik aktörlerinin ve bilgi sistemleri (IS) güvenliğinin işbirliği, şirketlerin rekabet gücünü korumak ve güçlendirmek için her zamankinden daha önemlidir. Bunu akılda tutarak IS, esnekliğine ve sağlamlığına bağlı olarak bu işbirliğini engelleyebilir veya kolaylaştırabilir.
Öte yandan, endüstriyel kontrol sistemlerini kullanan kritik altyapıların ve özellikle hayati öneme sahip operatörlerin güvenliği artık temel bir öncelik haline geliyor. 2010’lu yıllarda endüstriyel sistemlerde risklerin ortaya çıkması ve artmasıyla birlikte bu gözlem daha da doğrudur.
Başlangıçta tek başına çalışacak şekilde tasarlanan bu sistemler, artık üretkenlik gereksinimlerini karşılamak için şirketin IS’sine entegre edilmiştir. Gelişmeler, aslında, tesislerin bilgisayarlı kontrol sistemlerini, özellikle hassasiyetleri giderek önem kazandıkça, onları yeni risklere maruz bırakan harici ağlara açmaya yöneltmektedir. Buna ek olarak, endüstriyel kontrol sistemlerinde kullanılan ve genellikle mevcut siber savaşın zorluklarına yeterince hazır olmayan teknik bileşenlerin zayıflığı da ekleniyor. Siber güvenliğin diğer alanlarında olduğu gibi, ilk müdahaleler teknolojik olmadan önce kurumsaldır.
Geleneksel IS ile endüstriyel IS arasındaki fark nedir?
Endüstriyel IS’den oluşan bir şirkette, verileri birleştirme ve gezegendeki herhangi bir noktadan gerçek zamanlı olarak erişme ihtiyacının artması, geliştirme ve sahiplik maliyetlerinin azalması, BT, endüstriyel bilgi işlem ve yönetim alanlarının yakınsamasını hızlandırdı.
Güvenlik yamalarının yazılım tasarımcıları ve yayıncıların kendileri tarafından yayınlandığı geleneksel IS alanının aksine, endüstriyel alan, esas olarak kullanılabilirlik ve operasyonel güvenlik kısıtlamaları nedeniyle, aynı işletim modunun benimsenmesine izin vermez. Güvenlik açıkları karşısında bu farklı muamele, endüstriyel kontrol sistemlerinin maruz kaldığı ana risk faktörlerinden biridir.
Endüstriyel IS’nin hassasiyeti ile yönetim IS’si arasındaki temel fark, işlenen veri türüne göre güvenlik gereksinimlerinin önceliklendirilmesiyle ilgilidir. Klasik gizlilik, bütünlük ve kullanılabilirlik kriterlerinin ötesinde, fiziksel güvenlik, çevre, sağlık, bağımlılık ve düzenleme ile ilgili gereklilikler de vardır.
Endüstriyel IS’nin farklı güvenlik açıkları nelerdir?
Endüstriyel IS’nin güvenlik açıkları genellikle IS’nin mimarisi ve haritalanmasıyla bağlantılıdır (IS stokunun envanterinin olmaması, teknolojik nesillerin ekipmanı ve vizyonu ve bunların içsel güvenlik açıkları, IS endüstriyel veya iş sürekliliği ve kurtarma üzerine bir risk analizinin olmaması) plan), önleyici teknik önlemler (yönetici hesaplarının kötüye kullanımı, güvenli olmayan uzaktan yönetim araçları, salt okunur erişimin yeterli olduğu durumlarda tam erişimle ağ üzerinde dosya paylaşımı, FTP veya TFTP aracılığıyla yapılandırma dosyalarına okuma veya yazma erişimi, hizmet hesapları için varsayılan parola) , veritabanları ve konsol modunda erişim (programlanabilir mantık denetleyicisi “PLC”, ağ geçitleri, ekipman ağı) ve ayrıca güvenliğin dayanıklılığı (çıkarılabilir medya politikasının olmaması (USB bağlantı noktalarının bloke edilmesi), veri yedeklemesinin olmaması, ekipman konfigürasyonu ve kaynak kodunun olmaması, işletim sistemleri, uygulamalar ve bellenimin düzeltici güncellemelerinin olmaması, bellenimi imzalamak için bir mekanizmanın olmaması).
Peki bu endüstriyel IS’ler etkin bir şekilde nasıl güvence altına alınabilir?
Günümüzde endüstriyel sistemler, getirdikleri tehditlerle başa çıkmak için tasarlanmasalar da, bilgi teknolojilerinden yoğun bir şekilde yararlanmaktadır. Endüstriyel sistemlerde güvenlik açıklarının yayınlanmasına ilişkin pek çok örnek vardır (Modbus ve OPC protokolleri buna iyi bir örnektir). Bu nedenle, bunları şirketin IS’sinin (güvenlik kültürü) güvenliğine ilişkin genel düşünceye entegre etmek gereklidir. Daha sonra ortamların güvenliğini sağlamak açısından iki strateji ortaya çıkabilir.
Her şeyden önce, tasarım gereği güvenlik, ister spesifikasyon, ister tasarım, entegrasyon veya test aşamasında olsun, siber güvenliği tüm şirket projelerine entegre etmeye yönelik bir stratejidir. Mesele, yaklaşımları ve süreçleri daha karmaşık hale getirmek değil, siber güvenliğin zorluklarını, FMECA (Analysis of Failure ve Kritiklikleri) veya HAZOP (risk ve işletme güvenliği analizi) ile satın alımlarda siber güvenliğin entegrasyonu (sözleşmelerde yer alacak yasal maddelerin belirlenmesi, kaynak kodların ve parametrelerin mülkiyet koşullarının tanımlanması).
Tasarım sonrası güvenlik, endüstriyel sistemlerin eski kurulumları ve sistemleri, mimarisi ve haritalanması (örneğin erişim yönetimi, PLC yapılandırma dosyalarına okuma ve yazma erişiminin değiştirilmesi) ile ilgili güvenlik önlemlerini uygulama stratejisi varsayılan ve eski ekipmanın güvenliğini güçlendirir. ve endüstriyel sistemlerin güvenliğini optimize eder.
Her kurulumun, şirketin ticari faaliyeti üzerindeki etkiyi sınırlandırırken uygun çözümleri devreye almak için analiz edilmesi gereken kendine has özellikleri ve riskleri vardır. Bir kurulumun emniyete alınması, genellikle tahmin edilmesi zor olan maliyetlere neden olur. Elde edilen kazanımlar da cabası. Ancak bu güvence süreci, şirketin yatırımlarını ve üretimini korur. Bu nedenle, hedeflerinizi tanımlamanız ve bunları ihtiyaçlarınıza göre uyarlamanız çok daha önemlidir.
Ancak dikkatli olun, aşırı güvenlik beklenenin aksine etkilere neden olabilir ve beklenen endüstriyel performansa zarar verebilir. Buna bir de endüstriyel operatörlerin gerçek riski anlama ve sayısallaştırma konusundaki zorluklarını ekleyin… Bir yanda İD güvenlik uygulamaları ile diğer yanda endüstriyel üretim uygulamaları arasındaki kültürel uçurum, Yönetim. Bunun üstesinden gelmek için, siber risk üzerine düşünceleri ve iki ortamın güvenlik gereksinimlerine verilen yanıtları bir araya getirmek amacıyla bu iki taraf arasında gerçek bir işbirliği geliştirmek esastır. Değerini ve geleneksel IS üzerindeki riskleri ele alma konusundaki ilgisini kanıtlamış olan risk temelli yaklaşım, endüstriyel IS’lerin elden geçirilmesi ve açılmasında sırasıyla desteklenmesinde yerini almıştır.
