Operasyonel Teknolojilerin Arkasında Ne Var ve Siber Güvenliğiniz Neden Çok Önemli?
20.2.2021
Ponemon Institute tarafından yapılan bir araştırmaya göre, operasyonel teknoloji (OT) sektöründe faaliyet gösteren organizasyonların %90’ı, geçtiğimiz yıllarda siber saldırıya en az bir kere maruz kaldı; bunların %45’i ise operasyonel teknolojinin bu ataklara nasıl dâhil olduğunu gözlemledi.
Siber güvenliği düşündüğümüzde, şirketlerin bilgi teknolojilerine (BT) özellikle odaklanma eğiliminde olduğunu görebiliriz. Bilgi teknolojilerine odaklanan şirketler, normal şartlarda internete bağlı olan ve siber saldırıların temel hedefi haline gelen altyapılarını korumayı amaçlar. Bu altyapılar; verilerin aktarımını, saklanmasını ve işlenmesini sağlar. Bununla birlikte, işletmeler gitgide daha dijital hale geldiği için, bu alan haricindeki saldırılar ani şekilde artmış ve bu durum diğer alanları da etkiledi. Fiziksel dünyanın kontrolüyle bağlantılı operasyonel teknoloji (OT), işte burada devreye giriyor.
Ponemon Institute tarafından hazırlanan ”Operasyonel Teknolojilerinde Siber Güvenlik” isimli raporda sunulan veriler; endüstriyel kontrol sistemlerine veya operasyonel diğer teknolojilere bağımlı olan endüstrileri bir araya getiren OT sektöründeki organizasyonların %90’ının geçtiğimiz bir kaç yılda veri ihlallerine, işleyişin durmasına ve önemli kesintilere sebep olan siber saldırılara en az bir kere maruz kaldığını gösteriyor. Ayrıca, bu araştırmaya katılan şirketlerin %45’i, operasyonel teknoloji veya IoT (Nesnelerin İnterneti) cihazlarını da etkileyen en az bir saldırıya maruz kaldığını ifade ediyor.
Bu tip bir teknoloji, şirketler için sunucular veya veri merkezleri (CPD) kadar önemli. Örneğin, bir depoda, ısıtma ve soğutma sisteminde yaşanan bir arıza, depodaki ürünlerde önemli kayıplara sebep olabilir; eğer iklimlendirme sisteminde bir sorun yaşanırsa, CPD içinde aşırı ısınmadan dolayı beklenmedik güç kesintileri gerçekleşebilir. Bu nedenle, kritik OT bileşenleri belirli gereksinimleri karşılamalı; ayrıca kârlılığı, güvenilirliği ve güvenliği sağlamalıdır. Dijitalizasyon, bu sürece katkıda bulunmasına rağmen, aynı zamanda, gerçekleşmeleri önceden mümkün olmayan uzaktan saldırılara da yol açtı.
Eaton Elektrik Türkiye Ülke Müdürü Yılmaz Özcan konuyla ilgili olarak; “Operasyonel teknoloji, uzun zamandır geri planda kalmıştı. Operasyonel teknoloji; veri merkezleri veya acil aydınlatma, asansörler, güvenlik alarmları veya havalandırma, soğutma veya ısıtma sistemleri gibi fonksiyonları gördüğümüz binaların yanı sıra, endüstrideki proseslerin ve operasyonların da önemli bir parçası olarak görüldü ancak bunlardan pek azında ilerleme kaydedildi.” dedi ve ekledi; "Operasyonel teknoloji, geri planda kaldığı ve dijitalizasyon ve IoT sayesinde BT çözümleriyle gitgide daha fazla entegre olduğu için, siber saldırganlar için çok daha cazip bir hedef haline geldi. Bu yüzden, sistemlerimizi koruyacak çözümleri hayata geçirmek için daha fazla bekleyemeyiz.”
OT Siber Güvenliği, İşletmelerin Korunması ve Hayatta Kalması için Çok Önemli
Bugün OT güvenliği yaklaşımı, BT güvenliği yaklaşımından oldukça farklıdır. OT, çalışma süresine ve kullanılabilirliğe odaklanırken, BT ise verilerin korunmasına odaklanır. OT ağları, daha değişken kullanım alanı sunan BT’nin dinamik yaklaşımına kıyasla, nispeten statik kullanım kalıplarını benimser:
Önceden özel haberleşme protokollerinden istifade etmesi nedeniyle, operasyonel teknoloji, bilgi teknoloijlerinin kapsadığı antivirus, firewall veya diğer uç nokta koruma yazılımları, ağları veya sunucuları gibi, standart haline gelmiş güvenlik araçları ve teknolojilerine sahip değildir. OT varlıkları, BT ekipmanlarına kıyasla beklenen çok daha uzun yaşam döngüsüne sahiptir ve bir cihaz 20 yıldır veya daha uzun süredir kullanımdaysa, güvenlik konusunda göz önüne alınacak hususlar daha farklıdır. Dahası, bu tür varlıklar laptop veya sunucuların güvenlik amacıyla kullanabileceği ek işlemci gücünden yoksundur.
Genellikle siber güvenlik konusuna tamamen BT ekibinin hakim olduğuna inanırız. Bununla birlikte, işletmelerin günlük operasyonlarının yürütülmesini sağlayan teknolojiler online hale geldikçe, pek çok işletme siber saldırı risklerine maruz kalacağına inanır ve OT sistemlerini korumayı unutur. Bu sebeple, organizasyonların, siber saldırganların yalnızca eylem metodunu değil, eylemlerinin amacını da dikkate almaları önemlidir.
Eaton Iberia Veri Merkezleri Segmenti Başkanı Juan Manuel López; “Bilgi teknolojilerinin aksine, OT sisteminde paylaşılanların ne işletmeler, ne de siber saldırganlar için bir değeri vardır. Örneğin, kesintisiz güç kaynağı veya kısaca KGK (UPS), muazzam değeri olan bilgileri paylaşmamaktadır. Bununla birlikte, şirketin BT sistemlerine bağlanarak, siber saldırganların finansal veya müşterilere ait verilere ulaşabileceği bir arka kapı açılabilir. OT sistemlerinin kesintiye uğraması da, dikkatleri başka yönlere çektiği veya finansal kayıplara veya itibar kaybına sebebiyet verdiği için, finansal siber saldırganların işine gelir.” dedi.
Operasyonel Teknolojiyi Korumak için Ne Yapmalısınız?
BT ekipleri tarafından uygulanan önlemlerin, şirketin OT altyapısını da koruyacağını varsaymak artık gerçekçi bir yaklaşım değildir. Şirketler, bayiler veya diğer kurum ve kuruluşlar siber saldırı risklerini layıkıyla anlamak ve bu risklere karşı koruma sağlamak için işbirliği yaparken; operasyonel teknolojiler de saldırılara karşı daha da dayanıklı hale getirilmelidir. Benzer şekilde; tesis yöneticileri, satın aldıkları herhangi bir cihazın sistem güvenliğini kırma teşebbüslerine karşı korunduğundan emin olmak için BT yöneticileriyle birlikte çalışmalı ve böylece bu teknolojinin güvenlik zincirinin en zayıf halkası olmadığı kanıtlanmalıdır.
Bu bağlamda, operasyonel teknoloji üretim şirketleri, Eaton’ın ”tasarımla gelen güvenlik” yaklaşımıyla da hayata geçirdiği gibi, tüm ürünlerini siber güvenliği baz alarak geliştirmelidir. Bu nedenle, bilgisayar korsanlarının istismar edebileceği herhangi bir güvenlik açığından kaçınılmalıdır. IEC veya IEC standartlarından sorumlu kuruluşlarca belirlenen ve bu standartlara uygun teklifler sunulmalı ve bu kuruluşlarla işbirliği yapılarak hem OT hem de BT sistemlerinin ihtiyaçlarını karşılayacak ve dünya genelinde de geçerli olacak standartlar oluşturulmalıdır. Şirketler, altyapıları için ekipman seçerken, güvenli ortamlar yaratmak adına siber güvenliği işlevsellikle bağlantılı olarak düşünmelidir. Burada değindiğinmiz bütün hususları göz önünde bulundurmadan, sistemi etkili bir şekilde korumak mümkün olmayacaktır.