Önceki yazımızda kameralar, sensörler, tabletler, IT ve OT’ye ilişkin örnekler ile fark ve benzerlikleri konuşmuştuk. Konuştuğumuz bu kavramları bir görselde toparlayacak olursak kavramlar ve ait oldukları yerler daha akılda kalıcı olacaktır. Ayrıca şunu da belirtmekte fayda var. IT security’de DMZ, IOT vb kullanılan kavramlar  OT’de başına -i alarak IDMZ ya da IIOT olarak adlandırılabiliyor.

Purdue Modeli Nedir?

Purdue Modeli, siber güvenlik gruplarınca OT ve IT ekipmanlarının aynı networkteki modellemesi olarak en çok kabul gören modeldir. Bu model OT ağını güvence altına almak ve güvenlik duruşunu yükseltmek için iyi bir model olup 1990'larda geliştirilmiş. ISA-99 tarafından benimsenmiş ve ICS (Industry Control System) ağları için bir konsept model olarak kullanılmış. Haydi bu modeli tanıyalım.

• Level 0’da Sensörler, pompalar, valfler, aktüatörler ve motorlar, PLC'ye bilgi gönderen varlıklar bulunur. Aslında burası OT sisteminin anlayış katmanıdır
• Level 1’de Seviye 0'daki varlıkları izleyen ve komutlar gönderen sistemler vardır. Örnek olarak programlanabilir mantık denetleyicileri (PLC'ler), uzak terminal birimleri (RTU'lar) ve akıllı elektronik cihazlar (IED'ler) bulunur.
• Level 2 ‘de Sistem içindeki genel süreçleri kontrol eden cihazlar bulunur. Örneğin, süreci izlemek ve yönetmek için insan-makine arayüzleri (HMI'ler) ve SCADA yazılımı. Bir insanın farklı OT varlıklarıyla etkileşime girmesine izin veren görsel ortam diyebiliriz.
• Level 3’de üretim iş akışları ile ilgilenen cihazlar vardır. Örnekler arasında parti yönetimi, üretim operasyonları yönetimi/üretim yürütme sistemleri sayılabilir. Gerçek otomasyon için ERP ile entegredir.
• Level 3-4 arasında bulunan endüstriyel DMZ (iDMZ) katmanı, IT ve OT ağları arasında bir engel oluşturur.
• Level 4’de kaynak planlama yazılımları (ERP), database ler, email sunucuları, üretim operasyonlarını yöneten sistem ve süreç uygulamaları bulunur.
• Seviye 5, kurumsal ağdır. İş kararları için ICS sistemlerinden veriler toplanır.

IT Güvenliği ile Neden OT Güvenliği Sağlanamıyor?

Aslında IT güvenliğindeki bazı yaklaşımlar OT’de de aynı. Örneğin user aktiviteleri, erişim denemeleri, yetkiler vb. Ancak IT’deki mevcut güvenlik ekipmanları ile OT güvenliğini sağlamak mümkün değil. Çünkü aynı standart ve protokoller ile konuşan komponentlerden oluşmuyorlar. Yani bir basınç sensöründen gelen log ile bir client makineden gelen log farklı standartlarla dinleniyor ve anlam kazanıyor. Yani ek olarak OT taraftaki logları, OT standartları ile dinleyecek ara dinleyici cihazlara ihtiyaç var. Peki bu standartlar neler? OT güvenliğinde hangi standartlar yaygın ve belirleyici ? Biraz da bunlardan bahsedelim.

SHA (Secure Hashing Algorithm) Standardı :Kriptografik bir özetleme standardıdır. İçesinde SHA0,SHA1, SHA2, SHA3 olmak üzere 4 adet özetleme algoritmaları ile metinlerin, dosyaların şifrelenerek korunaklı iletilmesini sağlar.

ISA (International Society of Automation) Standardı :ISA topluluğu ve ISA mimarisi endüstriyel  verimliliği, karlılığı arttırmak için için sembolleri, güvenliği ve kurumlar arası iletişimi yönetir. Örneğin 2 ayrı firma düşünün birisi bilgisayar için RAM, diğeri anakart üretsin. Bu RAM’in tüm anakartlara uyumlu olabilmesi için bir standart çerçevesinde dizaynı gerekli. Bu standart iki firmaya da olumlu etki yapacaktır. İşte ISA bu standardı belirliyor.

NIST (National Institute of Standards and Technology) Standardı :Endüstri çevresince de kabul görmüş bir standart topluluğu. Siber güvenlik alanındaki standartları CSF (Cyber Security Framework) olarak adlandırılıyor. NIST iş yerine özel TIER1, TIER2, TIER3, TIER4 adlı risk seviyeleri tanımlamış. Bu risk seviyelerine göre süreç ve adımlar belirlenmiş. Böylece endüstri şirketleri globaldeki güvenlik duruşlarını belirleyebiliyor ve denetimlerini kendileri yapabiliyorlar.

NERC (North American Electric Reliability Corporation) Standardı : NERC aslında Elektrik şebeke altyapısına yönelik riskleri azaltmak için bir kuruluş. Endüstri alanında eğitim, sertifikalara ek olarak düzenleyici standartlar belirliyor. NERC CIP (Critical Infrastructure Protection) adlı standart serisi ile de endüstriyel siber güvenlik anlamında standartlar yayınlıyor.

GMP (Good Manufacturing Practice) Standardı : GMP gıda, medikal cihaz, ilaç ya da insan sağlığını doğrudan etkileyen ürünlerin güvenilir koşullar ve sistemlerde üretilmesi için standartlar yayınlar. ICS sistem korumasına yönelik doğrudan standartları ile de siber güvenliği sıkı sıkıya ilgilendiriyor.

Böylece bu yazımızda da konuştuğumuz kavramları tek bir görselde toparlamış olduk. OT’deki güvenlik standartlarından, Purdue modelinden ve IT güvenlik bakış açısı ile neden OT’yi koruyamadığımıza değindik. “Operasyonel Teknoloji (OT) Güvenliği 3” blog yazımız ile de OT sistemlerinin atak vektörleri ve risklerin neler olduğuna, simülasyon çıktıları ile reel’de bir üretim tesisinin nasıl sekteye uğrayabileceğine hep birlikte değineceğiz. Şimdiden keyifli okumalar.