SİBER GÜVENLİK

Endüstri 4.0 kavramı, dünya çapında sanayi kuruluşlarının siber güvenliğe öncelik vermesini sağladı. Ayrıca bu durum, söz konusu kuruluşları EKS konusunda aşılması gereken yeni zorluklarla da karşı karşıya bıraktı.

Makina Magazin - - NEWS -

Yetersiz siber güvenlik büyük kayıplara yol açıyor

Sanayi kuruluşlarının büyük bir kısmı siber güvenlik olaylarına karşı iyi bir şekilde hazırlanmış olduklarını düşünse de, bu güven sağlam bir temele dayanmıyor olabilir. Geçtiğimiz sene içerisinde endüstriyel kontrol sistemleri (EKS) alanında faaliyet gösteren her iki şirketten biri, bir ilâ beş saldırıya mâruz kaldı. Kaspersky Lab’ın araştırmasına göre, sanayi kuruluşları yetersiz siber güvenlik sebebiyle yılda ortalama 497 bin dolar kaybediyor.

Endüstri 4.0 kavramının, dünya çapında sanayi kuruluşlarının siber güvenliğe öncelik vermesini sağladığını vurgulayan yetkililer, ayrıca onları EKS konusunda aşılması gereken yeni zorluklarla karşı karşıya bıraktığını dile getirdiler. Yetkililer, sözlerini şöyle sürdürdüler: “BT ile operasyonel teknolojilerin (OT) birleşmesi ve endüstriyel kontrol ağlarının harici sağlayıcılara açılması da bunlara dâhil. Kaspersky Lab ve Business Advantage, endüstriyel siber güvenlik konusunda önlemler aldığını belirten 359 kuruluşun katılımıyla, söz konusu zorluk ve fırsatlar hakkında küresel bir anket düzenledi. 2017 yılı şubat ve nisan ayları arasında yürütülen anketin ana bulgularından biri, EKS ile ilgili olaylar hakkındaki gerçekler ile bu konudaki algının arasında büyük farklar olması. Örneğin; katılımcıların yüzde 83’ü, OT/EKS ile ilgili bir siber güvenlik olayına karşı iyi bir şekilde hazırlanmış olduklarına inanmasına karşın, ankete katılan şirketlerin yarısı, son 12 ay içerisinde bir ilâ beş, yüzde 4’ü ise altıdan fazla BT güvenliği olayıyla karşılaşmış. Bu da akıllara şu soruyu getiriyor: Söz konusu şirketlerin BT güvenliği stratejilerinde ve koruma yöntemlerinde ne gibi değişiklikler yapılması gerekiyor ki, kritik önem taşıyan verilerini ve teknolojik süreçlerini daha etkin bir şekilde koruyabilsinler?”

“Sahip oldukları riskin farkındalar”

EKS alanında faaliyet gösteren şirketlerin, karşı karşıya oldukları risklerin farkında olduklarını söyleyen yetkililer, katılımcıların yüzde 74’ünün altyapılarını hedefleyen bir siber saldırı gerçekleştirilebileceğine inandıklarını aktardılar. Yetkililer, “Hedefli saldırılar ve fidye yazılımları gibi yeni tehditler konusundaki yüksek farkındalığa rağmen, bu şirketler için en büyük sıkıntıyı yine de sıradan zararlı yazılımlar oluşturuyor. Katılımcıların yüzde 56’sı bunu en endişe verici saldırı vektörü olarak görüyor. Bu örnek özelinde, algı ve gerçek birbiriyle örtüşüyor: Ankete katılan her iki şirketten biri, geçtiğimiz yıl içerisinde sıradan zararlı yazılımların vermiş olduğu zararları telafi etmek durumunda kalmış. Fakat, kendi çalışanlarının yaptığı hatalar ve kasıtsız davranışlar konusunda ilginç bir tablo ortaya çıkıyor. Bu tür tehditler EKS şirketleri için harici faillerin vereceği zararlardan daha büyük bir tehlike oluşturmasına rağmen, söz konusu şirketlerin en çok endişe duyduğu ilk üç konu içerisinde bünyeleri dışındaki faillerin verebileceği zararlar bulunuyor. Diğer yandan, karşılaşılan olayların sonuçları özelinde ilk üç sırayı; ürün ve hizmet kalitesine zarar verilmesi, tescilli veya gizli bilgilerin çalınması ve üretimin azalması veya durması oluşturuyor” diye konuştular.

“Tehditler bazen kendi çalışanlarından geliyor”

Ankete katılan şirketlerin yüzde 86’sının, onaylı ve belgelenmiş bir EKS siber güvenlik politikası bulunduğunu ifade eden yetkililer, ancak tecrübelerin, bir siber güvenlik politikasına sahip olmanın yeterli olmadığını gösterdiğini kaydettiler. Yetkililer, şöyle devam ettiler: “Gerek dâhili, gerek harici BT güvenliği uzmanlığı tarafında yaşanan yetersizlikle mücadele eden sanayi kuruluşları, yetenek eksikliği çekmenin EKS güvenliği konusunda en büyük sorunları olduğunu itiraf ediyor. Bu son derece endişe verici. Çünkü, her an tehdit altında olan sanayi kuruluşlarının tehditlerle mücadele etmeye her zaman hazırlıklı olmadıklarını gösteriyor; ki bazen bu tehditlerin sebebi kendi çalışanları da olabiliyor. Almanya’da bir üretim tesisinde çalışan bir EKS görevlisi şöyle bir açıklamada bulunuyor: ‘İç tehditler daha tehlikeli. Dış tehditlere karşı gayet iyi korunuyoruz; fakat içeride yapılanları durduracak bir ateş duvarı yok. Burada tehdit hiç kimse farkında olmadan çalışanlar tarafında oluşuyor.’ İşe olumlu tarafından bakıldığında, EKS sorumlularının benimsemiş olduğu güvenlik stratejileri oldukça iyi görünüyor. Şirketlerin büyük çoğunluğu ‘air gap’ adı verilen, bir bilgisayar ile internet arasında doğrudan bir bağlantı bulundurmama yöntemini bir güvenlik önlemi olarak kullanmayı bırakmış ve kapsamlı siber güvenlik çözümlerini benimsemiş bulunuyor. Anket katılımcıları, önlerindeki 12 ay içerisinde endüstriyel sıra dışı olay tespiti araçları kullanmayı (yüzde 42) ve çalışanları için güvenlik farkındalığı eğitimleri planlıyor. Ankete katılan her iki şirketten biri, harici sağlayıcıların şirketin endüstriyel kontrol ağına erişebildiğini ve dolayısıyla tehdit oluşturabileceğini kabul ediyor Dolayısıyla, endüstriyel sıra dışı olay tespiti özellikle önemli bir konuyu teşkil ediyor.”

Suvorov: “Çalışanların farkındalığı sağlanmalı”

Konu hakkında açıklamalarda bulunan Kaspersky Lab Kritik Altyapı Koruma Bölüm Başkanı Andrey Suvorov, BT ve OT sistemlerinin giderek birbiriyle daha bağlantılı hale gelmesinin beraberinde yeni güvenlik zorluklarını getirdiğini kaydetti. Yönetim kurulu üyeleri, mühendisler ve BT güvenliği ekipleri tarafında iyi hazırlıklar yapılmasının şart olduğunu söyleyen Suvorov, konuşmasına şöyle devam etti: “Tehdit ortamını iyi anlamaları, iyi düşünülmüş korunma yöntemlerini seçmeleri ve çalışan farkındalığını sağlamaları gerekiyor. Siber tehditler EKS kullanılan üretim bölümlerine kadar indi. Dolayısıyla, en iyisi hazırlıklı olmak. EKS ihtiyaçlarını göz önünde bulundurarak, ihtiyaçlarına uygun bir güvenlik çözümü kullananlar için, başlarına gelebilecek güvenlik olaylarını atlatmak çok daha kolay olacaktır.”

Son 12 ay içerisinde endişe duyulan ilk üç konunun EKS altyapılarında çıkan olaylarla karşılaştırılması.

EKS sorumlularının belirttiği ilk beş güvenlik zorluğu.

Newspapers in Turkish

Newspapers from Turkey

© PressReader. All rights reserved.