Sanayi kuruluşlarının büyük bir kısmı siber güvenlik olaylarına karşı iyi bir şekilde hazırlanmış olduklarını düşünse de, bu güven sağlam bir temele dayanmıyor olabilir. Geçtiğimiz sene içerisinde endüstriyel kontrol sistemleri (EKS) alanında faaliyet gösteren her iki şirketten biri, bir ila beş saldırıya maruz kaldı. Kaspersky Lab’ın araştırmasına göre, sanayi kuruluşları yetersiz siber güvenlik sebebiyle yılda ortalama 497.000 dolar kaybediyor.
Endüstri 4.0 kavramı, dünya çapında sanayi kuruluşlarının siber güvenliğe öncelik vermesini sağladı ve onları EKS konusunda aşılması gereken yeni zorluklarla karşı karşıya bıraktı. BT ile operasyonel teknolojilerin (OT) birleşmesi ve endüstriyel kontrol ağlarının harici sağlayıcılara açılması da bunlara dahil. Kaspersky Lab ve Business Advantage, endüstriyel siber güvenlik konusunda önlemler aldığını belirten 359 kuruluşun katılımıyla, söz konusu zorluk ve fırsatlar hakkında küresel bir anket düzenledi. 2017 yılı Şubat ve Nisan ayları arasında yürütülen anketin ana bulgularından biri, EKS ile ilgili olaylar hakkındaki gerçekler ile bu konudaki algının arasında büyük farklar olması. Örneğin, katılımcıların %83’ünün OT/EKS ile ilgili bir siber güvenlik olayına karşı iyi bir şekilde hazırlanmış olduklarına inanmasına karşın, ankete katılan şirketlerin yarısı, son 12 ay içerisinde 1 ila 5, %4’ü ise 6’dan fazla BT güvenliği olayıyla karşılaşmış. Bu da akıllara şu soruyu getiriyor: Söz konusu şirketlerin BT güvenliği stratejilerinde ve koruma yöntemlerinde ne gibi değişiklikler yapılması gerekiyor ki, kritik önem taşıyan verilerini ve teknolojik süreçlerini daha etkin bir şekilde koruyabilsinler?
Üretim bölümünde siber tehditler
EKS alanında faaliyet gösteren şirketler, karşı karşıya oldukları risklerin farkındalar. Katılımcıların %74’ü altyapılarını hedefleyen bir siber saldırı gerçekleştirilebileceğine inanıyor. Hedefli saldırılar ve fidye yazılımları gibi yeni tehditler konusundaki yüksek farkındalığa rağmen, bu şirketler için en büyük sıkıntıyı yine de sıradan zararlı yazılımlar oluşturuyor. Katılımcıların %56’sı bunu en endişe verici saldırı vektörü olarak görüyor. Bu örnek özelinde, algı ve gerçek birbiriyle örtüşüyor: ankete katılan her iki şirketten biri, geçtiğimiz yıl içerisinde sıradan zararlı yazılımların vermiş olduğu zararları telafi etmek durumunda kalmış.
Fakat kendi çalışanlarının yaptığı hatalar ve kasıtsız davranışlar konusunda ilginç bir tablo ortaya çıkıyor. Bu tür tehditler EKS şirketleri için harici faillerin vereceği zararlardan daha büyük bir tehlike oluşturmasına rağmen, söz konusu şirketlerin en çok endişe duyduğu ilk üç konu içerisinde bünyeleri dışındaki faillerin verebileceği zararlar bulunuyor.
Diğer yandan, karşılaşılan olayların sonuçları özelinde ilk üç sırayı, ürün ve hizmet kalitesine zarar verilmesi, tescilli veya gizli bilgilerin çalınması ve üretimin azalması veya durması oluşturuyor.
Güvenlik Stratejileri: Hava Boşluğundan Ağ Anormallikleri Tespitine
Ankete katılan şirketlerin %86’sının onaylı ve belgelenmiş bir EKS siber güvenlik politikası bulunuyor. Fakat tecrübeler, bir siber güvenlik politikasına sahip olmanın yeterli olmadığını gösteriyor. Gerek dahili, gerek harici BT güvenliği uzmanlığı tarafında yaşanan yetersizlikle mücadele eden sanayi kuruluşları, yetenek eksikliği çekmenin EKS güvenliği konusunda en büyük sorunları olduğunu itiraf ediyor. Bu son derece endişe verici, çünkü her an tehdit altında olan sanayi kuruluşlarının tehditlerle mücadele etmeye her zaman hazırlıklı olmadıklarını gösteriyor; ki bazen bu tehditlerin sebebi kendi çalışanları da olabiliyor. Almanya’da bir üretim tesisinde çalışan bir EKS görevlisi şöyle bir açıklamada bulunuyor: “İç tehditler daha tehlikeli. Dış tehditlere karşı gayet iyi korunuyoruz fakat içeride yapılanları durduracak bir ateş duvarı yok. Burada tehdit hiç kimse farkında olmadan çalışanlar tarafında oluşuyor.”
İşe olumlu tarafından bakıldığında, EKS sorumlularının benimsemiş olduğu güvenlik stratejileri oldukça iyi görünüyor. Şirketlerin büyük çoğunluğu “air gap” adı verilen, bir bilgisayar ile internet arasında doğrudan bir bağlantı bulundurmama yöntemini bir güvenlik önlemi olarak kullanmayı bırakmış ve kapsamlı siber güvenlik çözümlerini benimsemiş bulunuyor. Anket katılımcıları önlerindeki 12 ay içerisinde endüstriyel sıra dışı olay tespiti araçları kullanmayı (%42) ve çalışanları için güvenlik farkındalığı eğitimleri planlıyor. Ankete katılan her iki şirketten biri, harici sağlayıcıların şirketin endüstriyel kontrol ağına erişebildiğini ve dolayısıyla tehdit oluşturabileceğini kabul ediyor Dolayısıyla endüstriyel sıra dışı olay tespiti özellikle önemli bir konu teşkil ediyor.
Kaspersky Lab Kritik Altyapı Koruma Bölüm Başkanı Andrey Suvorov, şöyle diyor: “BT ve OT sistemlerinin git gide birbiriyle daha bağlantılı hale gelmesi beraberinde yeni güvenlik zorlukları getiriyor. Yönetim kurulu üyeleri, mühendisler ve BT güvenliği ekipleri tarafında iyi hazırlıklar yapılması şart. Tehdit ortamını iyi anlamaları, iyi düşünülmüş korunma yöntemleri seçmeleri ve çalışan farkındalığını sağlamaları gerekiyor. Siber tehditler EKS kullanılan üretim bölümlerine kadar indi, dolayısıyla en iyisi hazırlıklı olmak. EKS ihtiyaçlarını göz önünde bulundurarak, ihtiyaçlarına uygun bir güvenlik çözümü kullananlar için, başlarına gelebilecek güvenlik olaylarını atlatmak çok daha kolay olacaktır.”