Endüstriyel Kontrol Sistemlerini Nasıl Bir Gelecek Bekliyor
Nisan 2015’te düzenlenen Mason-IBM-NSF konferansı, sektör liderleri, akademi ve hükümeti endüstriyel kontrol sistemlerine ve süreçlerine karşı tehditleri tartışmak üzere bir araya getirdi. Konferans konuşmacı ve katılımcıları sektör liderleri ve politika yapıcılar için alınabilecek olası önlemler ve atılacak adımlar hakkında tavsiyelerde bulundu.
Endüstriyel Kontrol Sistemleri (ICS) Amerika’daki kritik altyapıların faaliyetleri için ciddi bir önem taşıyor. ICS ile faaliyet gösteren sektörlerden bazılarına elektrik, su, atık su, petrol ve doğal gaz ve ulaşım örnek gösterilebilir. Modern ICS’lerin giderek artan bağlantısallığı; şebeke sistemi ve kontrol ettikleri unsurları fiziksel olarak birbirinden ayırarak çözülemeyecek kadar ciddi bir siber risk ve zafiyet oluşturuyor.
Endüstriyel kontrol sistemlerine yönelik güvenlik endişeleri daha önce sadece fiziksel yapıdaydı. Schneider Elektrik’in yayınladığı rapora göre;
– İşletme ağları ve kontrol sistemlerinin birleşmesi,
– uzaktan sistem kontrolü ve bakımının çevirmeli ya da kablosuz modemler ile şifreleme ve doğrulama olmadan yapıldığı güvenliksiz bağlantılar,
– altyapı ve kontrol sistemlerinin teknik bilgilerinin internette bulunması,
– uzman kişilerin sistemlere saldırı yapmasını kolaylaştıran standart teknolojiler gibi faktörler kontrol sistemlerindeki zafiyeti arttıran başlıca sebepler arasında bulunuyor.
ICS’lerin giderek artan bağlantısallığı ve akıllı şebeke sistemine doğru gerçekleşen dönüşüm ile beraber siber güvenlik elektrik sektörünün güvenlik stratejisinde önemli bir rol oynamaya başladı. ICS-CERT istatistikleri enerji sektörünün en çok hedef alınan operatörlerden olduğunu doğruladı.
Endüstriyel kontrol sistemleri güvenliği ciddi bir konu
Konferansta üzerinde durulan temel konulardan biri de enerji sektörüne yönelik siber güvenlik risklerinin artmasıydı. Akıllı şebeke kompleksleri, yeni teknolojilerin daha çok kullanılması ve bağlanabilirliğin çoğalması ile saldırıya açık giriş noktalarının artması sistemde ihlal oranını yükselttiğinden, siber güvenlik çözümleri tasarımdan uygulamaya, bakımdan düzenlemeye kadar tüm basamaklarda kullanılmalıdır.
Nesnelerin Internet’i (IoT) ile şebeke güvenlik tehditleri fizikselden sibere basamak atlarken bu gibi altyapıların güvenliği büyük bir önem taşıyor. TCP/IP, kablosuz radyo frekansı (RF) ve Wi-Fi yi birleştiren ortamlarda her geçen gün yeni kritik altyapı riskleri ortaya çıkıyor. Elektrik şebekeleri birbirine bağlı olduğundan bir bölümde ortaya çıkan problem hızla diğerlerine de yayılıyor.
Endüstriyel Kontrol Sistemleri güvenliği işbirliğine dayanıyor
IT ve OT bölümlerinin entegrasyonu ile beraber kurumlardaki farklı departmanlar güvenlik konusunda birbirleriyle daha çok işbirliği yapmaya başladı. Bir kurumda en zayıf halka genellikle personeldir. Çalışanlar üst kademedeki yöneticileri tarafından bu tehditlere karşı eğitilmeli, bu konudaki sorumlulukları ve rolleri hakkında farkındalık yaratılmalıdır. Kurum gerekli politika ve prosedürleri hayata geçirmeli oltalama ve diğer siber saldırılara karşı çalışanlarını uyarmalıdır.
Ufukta görünen siber saldırılar işletme faaliyetlerinin ciddi oranda etkileyebilir bu yüzden siber güvenlik liderleri hem siber zeka hem işletme zekasıyla düşünmelidir. Çoğu işletme için bunun en iyi yolu modern güvenlik önlemleri almaktır. Güçlü bir güvenlik sistemi sorun için doğru çözümlerin tespit edilip uygulandığındığını garanti eder. Bu sistemler olası ihlalleri tespit etmek için katmanlı savunma teknolojisi kullanır.
Tesisleri yönetme ve koruma
Ulusal elektrik şebekeyle bağlı tesislerin de genel güvenliği sağlamak için çeşitli süreçler ve prosedürlerden geçmelidir. Bu süreçler; şifre yönetimi, sunucu yönetimi, yama yönetimi, sektörel standart ve düzenlemelerin uygulanması ile beraber personel eğitimi ve düzenli denetlemeyi de kapsar.
Konferansta aynı zamanda;
– güvenlik kilitleri, kart okuyucular, video kameralar, güvenlik duvarları, VPN ve tek yönlü girişler gibi giriş kontrollerinin gerekliliği,
– kurulum süreç ve prosedürlerinin sıkılaştırılması,
– doğrulama ve yetkilendirmenin tekele alınıp yönetim tarafından çalışanlara görevlerine göre erişim hakkı verilmesi,
– 7-24 gözetim yapılması, gerçek zamanlı alarm sistemi ve güvenlik olayları günlüğü tutulması, gibi siber güvenlik konuları tartışıldı.
Endüstriyel Kontrol Sistemlerinin Geleceği
Konferans konuşmacıları ve katılımcıları akıllı şebeke ve nesnelerin internetini olası hasarlar ve veri sızıntılarından korumak için çeşitli tavsiyelerde bulundu.
Konferanstaki uzmanlar;
– Zayıf noktalar keşfedildiğinde geniş çapta bir arızaya mahal vermemek için daha çeşitli yazılım ve donanım kullanılmalı,
– Doğrulama ve çeşitli şifreleme düzenleri kullanılmalı,
– Güvenli işletim sistemleri tercih edilmeli,
– Mesajları filtreleyen bir sistem kullanılmalı,
– Yerli iletişimler sınırlanmalı,
– Yerli sitelerden veri alımı sınırlandırılmalı,
– Akıllı şebeke ve nesnelerin internetinin birlikte sorunsuzca çalışması için belirli standartlar uygulanmalı gibi tavsiyelerde bulundu.
Siber güvenliğin kritik altyapı şirketleri için ne kadar büyük önem taşıdığı geçtiğimiz yıllarda artarak kendini gösterdi. Bu sebeple siber güvenliği tasarım aşamasında denklemin içine katmak şebeke güvenliğini ve yukarıda belirtilen tavsiyeleri uygulamayı kolaylaştırır. Önemli noktalardan birisi de siber güvenliğin işletmedeki kurumsal risk komitesinin gündeminde mutlaka bulunmasıdır. Başarılı ve etkili bir siber güvenlik programı ortaya koyabilmenin yolu kapsamlı bir siber güvenlik stratejisi geliştirebilmekten geçer. Bilgi varlıklarının değerini ölçmek, siber güvenlik tehditlerini kavrayabilmek ve bu tehditleri azaltmak üzere bir program geliştirmek için risk tabanlı metodolojiler kullanılmalıdır.