Endüstriyel kontrol sistemleri, kötü niyetli kişiler
tarafından aralıksız olarak tehdit altında bulunuyor. Bu tehditler ulus
devletler, politik ya da finansal nedenlerle saldırı yapmak isteyen hackerler,
iç tehditler ve şirkete zarar vermek isteyen, hoşnutsuz eski çalışanlar gibi
pek çok kaynağa dayanıyor. Endüstriyel kontrol sistemlerinde güvenlik açığı
yaratan 5 temel soruna dikkat çeken watchguard’ın Türkiye ve Yunanistan Ülke
Müdürü Yusuf Evmez, bu sorunların nasıl ortadan kaldırılabileceği ile ilgili
şirketlere tavsiyelerde bulunuyor.
Endüstriyel kontrol sistemleri, giderek artan ve gelişen
siber tehditlere karşı güncellenemediklerinden dolayı şirketler için güvenlik
riski oluşturuyor. Kısaca EKS olarak adlandırılan endüstriyel kontrol
sistemlerinde gerçekleşen sızıntılar, felaket boyutunda sonuçlar yaratarak
oldukça yüksek maliyetlerde zararlar doğurabiliyor. EKS’ye yapılan bu tür
saldırılarla hem fiziksel hem çevresel zararlar oluşurken üretim süreçlerindeki
kesintiler, şirketleri olumsuz etkiliyor. Ayrıca, yasalardan doğabilecek yüklü
faturalar veya zarara uğradıklarını iddia eden üçüncü parti şirketlerden dolayı
iş ortaklarının ve sektörün şirketlere olan güveni azalabiliyor.
Endüstriyel Kontrol Sistemlerinde En Çok Karşılaşılan 5
Tehdit
Bu durumlar göz önünde bulundurulduğunda, EKS
ağlarındaki güvenlik zafiyetlerinin giderilmesinin ve tehditlere karşı önlem
alınmasının ne kadar elzem olduğunun kolayca görülebileceğini belirten
WatchGuard’ın türkiye ve yunanistan Ülke Müdürü Yusuf Evmez, EKS ağlarının en
sık karşılaştığı beş tehdidi ve bu tehditlerden korunmak için şirketlerin
alabileceği önlemleri paylaşıyor.
1. Ağ Yapılandırmasının Zayıflığı
Ağ yapılandırması ne kadar zayıf olursa, bir siber
saldırının başarılı olma ihtimali de bir o kadar artıyor. Bir kontrol cihazının
sahip olduğu zayıf yapılandırma, iki türlü veri sızıntısı yaratabiliyor. Zira
böyle bir durumda hem siber saldırganlar ağa adım atabilecekleri bir boşluk
görmüş oluyor hem de şirketin hassas bir varlığında sorun çıkartılmış oluyor.
Önlem: Endüstriyel kontrol cihazlarının hiçbir zaman
internetle doğrudan bağlantı içerisinde olmaması gerekiyor. Ayrıca genel ağ
bütünlüğünden rahatlık adına fedakarlık yapılmadığı sürece dikkatli ağ
segmentasyonları uygulamak faydalı olabiliyor.
2. Denetim Yokluğu
Denetimler, ağda neler olup bittiğini anlamak için hayati
derecede önem taşıyor. Denetimin gerçekleştirilmesi için ise kayıt
mekanizmalarının mutlaka var olması gerekiyor. Ancak bazı EKS ortamlarında
böyle bir mekanizma ya hiç bulunmuyor ya da ciddi eksiklikler barındırıyor. Bu
nedenle çoğu vakada güvenlik ekipleri kayıtları nasıl toplayacakları ya da
onları nerede arayacakları bilgisinden bile yoksun kalıyor.
Önlem: Basit bir yapıda da olsa düzenli kayıt tutmak,
vaka anında saldırıya cevap vermek ve bir adli araştırma yapabilmek adına önem
taşıyor. Ayrıca yasalara uyumluluğun denetlenmesi için de bu kayıtların
varlığına ihtiyaç duyuluyor. İlk denetim hangi verilerin takip edilip
toplandığı ve hangilerinin takip edilmediğine yönelik gerçekleştirilerek bu
şekilde sistemin limitleri öğrenilebiliyor. Kayıtları bir araya getirirken
hedefin daima %100 görünürlük, takip ve kontrol olduğunun akılda tutulması
gerekiyor.
Çoğu EKS ağlarında denetleme sağlayan bazı içerikler
bulunmasına rağmen çalışanlar bu kapasiteyi görmezden geliyor veya yeterince
kullanamıyor. Oysa, bu içeriklerden faydalanılması, fark edilen anormal
durumların acilen güvenlik müdahale ekiplerine bildirilmesi ve sorunun gerçek
zamanlı, otomatik denetim mekanizmalarıyla beraber incelenmesi ciddi fayda
sağlıyor.
3. Kontrol Eksikliği
Çoğu EKS için, varlıkları yönetmek açısından basit
kontroller dahi yapılmıyor. Bunun sonucu olarak, operasyonel sistemlerde
güvenlik hijyeni ancak problem sonrası akla gelen bir düşünce oluyor.
Sistemlerdeki yamalar bu şekilde eksik kalırken özelliklerin, yapılandırmaların,
yazılım sürümlerinin, yama seviyelerinin merkezi ve güncel bir envanterinin
bulunmaması durumu iyice içinden çıkılmaz bir hale getiriyor. Ayrıca kontrol
eksikliği, şirketin EKS için belirlediği güvenlik kurallarına uyulup
uyulmadığından da bilinmemesine yol açıyor. “Sistem çalıştığı sürece, hiç
karışmamak daha iyidir.” fikrine dayalı bir güvenlik, açıkları gitgide
artırıyor.
Önlem: Güncel olmayan bir varlık envanteri ile,
özellikle fiziksel süreçleri yönetmekle sorumlu kontrol sistemlerindeki
yamaların uygulanması veya yetkisiz hareketlerin fark edilmesi mümkün olmuyor.
Bu nedenle sürekli envanter tutulması ve operasyonel teknolojiler için merkezi
ve otomatik bir yönetim oluşturulması şart oluyor.
Risk 4: Çalışan Bilinçsizliği
EKS’lerde de en az BT’de olduğu kadar ağ güvenliği riskleri
bulunuyor. Oltalama saldırıları, sosyal mühendislik teknikleri, riskli sunucu
kullanımı davranışları gibi durumların hepsi, BT’deki gibi EKS’de de
saldırganların kullanabileceği yöntemler oluyor. Üstelik siber saldırganlar,
sistemlerden birine yapılan bilinçsiz bir hatadan faydalanarak iki ağa birden
yayılabiliyor.
Önlem: Güvenlik eğitimi, ağ segmentasyonu, çok faktörlü
doğrulama gibi uygulamalar çalışanların bilinçsiz davranışlarını ya da bu
davranışların olumsuz sonuçlarını azaltıyor.
Risk 5: İç Tehditlerin Varlığı
Operasyonel teknolojilerde karşılaşabilecek iç tehdit
riskleri, hoşnutsuz bir çalışan ya da verileri çalmak veya sistemi sabote etmek
için para ödenen bir görevli olabiliyor.
Önlem: Yapılacak risk ölçümleri, gereğinden fazla yetki
verilmiş hesapların tespit edilmesine ve iç tehdit riskinin azalmasına yarıyor.
Bu açıdan cihaz bütünlüğünde yapılan kontroller, kötü niyetli girişimleri geç
olmadan tespit edebiliyor. Ayrıca, birbiriyle bağlantıda olmalarından dolayı
hem BT hem de EKS güvenliğinden emin olmak bir ağ üzerinden diğerine yayılmaya
çalışan saldırılardan korunmayı sağlıyor.
