Yetersiz Personel, Yetersiz Yatırım ve İnsan Hataları ICS Güvenliğini Riske Atıyor
Yetersiz Personel, Yetersiz Yatırım ve İnsan Hataları ICS Güvenliğini Riske Atıyor
Kaspersky Lab’in ‘Endüstriyel Siber Güvenliğin Durumu 2018’ anketi, endüstri, enerji, taşımacılık ve lojistik şirketlerinin, siber saldırıların kendi endüstriyel ağlarına negatif etkileri konusunda farklı fikirlere sahip olduğunu gösterdi. Ancak ağları güvenli kılmayı etkileyen sorunlar söz konusu olduğunda herkesin üzerinde anlaştığı üç temel sebep var: Yetersiz personel, üst yönetimin yetersiz yatırım yapması ve insan etkeni. Her 6 ayda ICS (Industrial Control Systems - Endüstriyel Kontrol Sistemleri) bilgisayarlarının yaklaşık %40’ının saldırıya uğradığı bir dünyada, kritik altyapılardaki bu tür siber güvenlik açıkları kurumlar için riski önemli ölçüde artırıyor.
Farklı korkular
Sektöre bağlı olarak, siber tehditlerin yol açtığı hasara ilişkin kurumların farklı değerlendirmeleri oluyor. Hizmet tabanlı bir iş modeline sahip olan taşımacılık ve lojistik şirketleri için en büyük etki müşteri güvenini kaybetmek (%75). Ancak, üretim yapan şirketlerin (%76) ve enerji şirketlerinin (%73) çoğu en fazla, siber saldırı nedeniyle üretim kalitesinin bozulmasından endişeleniyor.
... aynı göz yaşları
Yaptığımız araştırmaya göre, ICS ağ saldırılarının sıklığına ve zayıflatıcı etkilerine rağmen şirketlerin yalnızca %52’si bu tür bir vaka ile ilgilenmek için özel müdahale önlemleri almış durumdalar. Buna karşın, kurumsal ağlarda alınan önlemler ise daha olgun bir düzeye geldi. Şirketlerin çoğu (%77), kurumsal BT’yi etkileyen durumlara karşı müdahale önlemlerine sahipler.
Endüstri şirketlerinin ICS ağlarını güvene almakta zorlanmasının ardında birçok ortak neden var.
Yetersiz kaynak ve yetersiz bilgi
Endüstriyel ağları koruma görevi genellikle kurumsal bilgi güvenliğini sağlayan kişilere düşüyor. Üretim yapan kurumların %40’ında ICS koruması, kurumsal BT güvenliği yetkililerinin sorumluluğunda oluyor. Taşımacılık ve lojistik şirketlerinde ise ankete katılanların yarısından fazlası (%58) ICS güvenliğinin tehditlere karşı tam zamanlı olarak çalışan özel bir ekip tarafından sağlandığını belirtiyor.
Endüstriyel kurumların, özellikle de karmaşık teknolojik süreçlerle çalışanların, bu açığı kapatmaları için alanında uzmanlaşmış çalışanlara ihtiyaçları var. Örneğin, ulusal kritik altyapıların ICS yardımıyla yönetildiği enerji sektöründe, güvenlik yönetimi konusunda karşılaşılan en büyük zorluk (%61), ilgili, bilgi ve beceriye sahip çalışanları işe alabilmek.
Üst yönetimin ilgisizliği yatırımın az olmasına neden oluyor
Çoğu kurumsal şirkette BT güvenliği üst yönetimin öncelikli konuları arasında yer alıyor. Ancak üretim şirketlerinin yarısından fazlasında (%54) üst yönetim ICS korumasıyla ilgili durumlara pek karışmıyor. Bu da yatırımların gereğinden az olmasına yol açıyor. Bu şirketlerin üçte ikisinde (%66) kritik altyapı güvenliği için özel olarak ayrılmış bir bütçe bulunmuyor. Bu durum bir güvenlik vakası yaşandığında veya risk ortaya çıktığında bile değişmiyor. Üretim yapan kurumların %17’si, bu tür olayları ICS güvenliğine yatırım yapmak için yeterli neden olarak görmüyorlar.
ICS güvenliğinde insan etkeni sorunu asla sona ermiyor
Çalışanların yaptığı hataların sonuçları her sektörden tüm kurumlar için kritik bir tehdit olmaya devam ediyor (%49). ICS’de yaşanan güvenlik vakaları için en sık karşılaşılan nedenlerin zararlı yazılım ve fidye yazılımları olması bu yüzden şaşırtıcı değil. Neyse ki şirketler bu sorunun farkında ve çalışanları eğitip kritik altyapı araçlarında belirli davranış kuralları getirerek bunu çözmeye çalışıyorlar. Kurumların %82’si çalışanlarını, sözleşmeyle iş yaptırdıkları ortaklarını ve bayilerini eğitmeye başladı.
Endüstriyel kurumların en fazla korktuğu sonuçlar ne olursa olsun, saldırıları önlemenin veya etkilerini azaltmanın tek yolu, ICS ağları için sağlam güvenlik önlemleri ve prosedürleri uygulamak. Endüstriyel ağlarda vakaları izleyip anında müdahale etmek, BT güvenliğinin temel önceliği haline gelmeli. Bunun yanı sıra, riskleri en aza indirmek için çalışanları eğitmek ve bilgilendirmek gerekli.
“Siber tehditler sürekli gelişiyor. Yakın zamanda Triton ve Industroyer gibi örnekleriyle karşılaştığımız hedefli saldırılar çalışanların zayıflığından faydalanıyor. Çalışanların yaptığı hatalar nedeniyle yaşanan vakalar, veri sızıntılarına ve üretim sürecinin aksamasına veya tamamen durmasına neden olabiliyor. Kurumsal şirketler için bu büyük bir para ve itibar kaybına yol açabiliyor” diyen Kaspersky Endüstriyel Siber Güvenlik İş Geliştirme Lideri Georgy Shebuldaev, sözlerini şöyle sürdürdü: “Bunların yaşanmasını engellemek için teknik ve idari önemler alınması gerekli. Bu önlemler arasında çalışanların eğitilmesi ve endüstriyel altyapının her seviyesinde özel siber savunma sistemleri kullanılması yer alıyor.”
Endüstriyel kurumların karşılaştığı zorluklar hakkında daha fazlası için ‘Endüstriyel Siber Güvenliğin Durumu 2018’ raporunun tamamını buradan okuyabilirsiniz. Kaspersky Lab’in ICS ağlarını korumaya nasıl yardımcı olduğunu görmek için https://ics.kaspersky.com/ adresini ziyaret edebilirsiniz.