Operasyonel Teknoloji için Güvenlik Operasyon Merkezi Yaklaşımı

Güç, enerji ve diğer hizmetlerin ötesinde, Endüstriyel kontrol sistemleri bilgisayarınızın, arabanızın ve her gün güvendiğimiz sayısız diğer fiziksel öğenin üretiminden de sorumludur. Endüstriyel kontrol sistemlerinin kazara veya kötü niyetli tüm siber olaylara karşı korunması zorunludur, çünkü bu tür olayların fiziksel sonuçları hem kamu güvenliğine hem de herhangi bir endüstriyel kuruluşun operasyonel ve rekabetçi kalma kabiliyetine büyük tehditler oluşturur. Ancak kuruluşlarımızdaki bilgi teknolojisi (IT) tarafından operasyonel teknoloji (OT) tarafına siber güvenlik yaklaşımını uygulamak bahsedeceğimiz nedenlerden ötürü gerçekçi olmayacaktır. IT ve OT ortamları tamamen farklı türde cihazlardan ve ağ yapılarından oluşur. OT ortamları ayrıca IT ortamlarından çok farklı riskler ve tehditler yaşar. OT ile ilgili temel kavramlara https://gelecegiyazanlar.turkcell.com.tr/blog/operasyonel-teknoloji-guvenligi-ot-security-1-it-ot-kavramlari-ve-mimarileri üzerinden bakabilirsiniz. Bu yazıda daha derinlemesine IT/OT SOC yaklaşımı arasındaki farklardan bahsediyor olacağız.

 

OT ve IT her ikisinin de sistemlerini ve verilerini tehlikeye karşı koruması gerekirken, OT siber güvenlik uzmanları farklı önceliklere sahip oldukları için sistemlerine geleneksel IT' den farklı yaklaşma eğilimindedir.

 

Örneğin EKS kontrol mühendisleri, siber güvenlik süreçlerini iyileştirmek istese bile ekipmanları üzerinde herhangi bir değişiklik yapma konusunda isteksiz davranabilirler. Bunun nedeni sabit çalışma süresini korumaya ve genel ekipman etkinliği gibi performans özelliklerini ölçmeye odaklanmalarıdır. Birazdan bahsedeceğim üç zorunluluk OT siber güvenlik dünyasına hükmeden ana başlıklardır.

 

Güvenlik: Siber saldırılar veya bir EKS bağlamındaki insan hataları, gerçek dünyada fiziksel sonuçlara yol açabilir. Bir müşteri veri ihlali, bir perakende şirketine milyonlarca para cezasına mal olabilir ve itibarına zarar verebilir, ancak insanların fiziksel güvenliği merkezi bir faktör değildir. Oysaki endüstriyel ortamlarda güvenlik çok önemlidir. Bu, bir OT sisteminin çıktısı tarafından hizmet verilen müşterilerin yanı sıra fabrika katındaki çalışanların güvenliğini de içerir. Örneğin bir gıda işleme tesisinden kontamine olmayan malzemelerin gönderilmesi veya bir otomotiv montaj fabrikasında inşa edilmiş bir araçta çalışan bir araba hava yastığının teslim edilmesi gibi düşünülebilir.

 

Kalite: Endüstriyel bir ortamda tutarlılık her şeydir. Nihai ürününüz ne olursa olsun, kalitesine yönelik herhangi bir tehdit finansal açıdan etkili olabilir. İşçilerin veya müşterilerin fiziksel güvenliğini riske atmayan siber olaylar, geri çağırma veya hurda şeklindeki kalite tutarsızlıkları nedeniyle endüstriyel kuruluşlara kayıp ürün şeklinde hala zarar verebilir. Kaliteyi etkileyen anormallikleri tespit etme ve düzeltme yeteneği, EKS süreç bütünlüğü için çok önemlidir.

 

Çalışma Süresi: Siber güvenlik ve IT' de sırasıyla, CIA (Confidentiality, Integrity, Availability) üçlüsünün bileşenleri olan gizlilik, bütünlük ve erişebilirlik genellikle en önemli önceliklerdir. Endüstriyel siber güvenlikte, kullanılabilirlik en yüksek öncelik olduğundan, CIA yerine AIC kısaltması kullanılır. Bu da aslında erişebilirliğin yani dolayısıyla çalışmanın aksamamasının OT de ne kadar önemli olduğunu göstermektedir.

 

Pek çok endüstriyel cihaz, Windows'un daha eski, güvenlik açığı yüksek, sıkılaştırılmamış veya yama uygulanmamış sürümlerini çalıştırıyor. Operatörler, tesisin veya hizmetin genel işletimi için kritik öneme sahip olduklarından, genellikle güvenliği artırmak için bu sistemleri rutin bakım için devre dışı bırakamayacaklarını düşünürler. Ayrıca bir yükseltme/güncellemenin işlemleri kesintiye uğratabileceği endişesi de vardır. Bazı durumlarda, IT ortamlarında tipik olan güvenlik açığı taramaları, OT ortamlarında kullanılamayacak kadar yıkıcı olabilir. Aslında birçok EKS ortamında hala TCP/IP kullanmayan özel endüstriyel protokoller ve ekipmanlar bulunabilir.

 

Kuruluşlar bu engellerin üstesinden gelebilseler bile, siber güvenlik, bir EKS ortamını çalıştıran operasyon ekipleri için nispeten yeni bir disiplindir ve güvenlik, kalite ve çalışma süresi ile ilgili gerçek endişeler nedeniyle güvenlik konularında harekete geçmeyi ertelemeyi seçebilirler. Bu tür endişeler anlaşılabilir olsa da kritik altyapıya yönelik siber saldırılar her geçen gün artmaya devam etmekte.

 

IT/OT Paylaşımı

 

Yakın zamana kadar, Ethernet ve Fieldbus gibi farklı ağ türleri birbirine karışmıyordu. EKS’ lerde artık giderek daha fazla IT cihazları ve iş süreçleriyle iç içe geçiyor ve komuta ve kontrol işlevlerinden ödün verme riskini artırıyor.

 

IT /OT yakınsamasına duyulan ihtiyaç, iş birimi sahipleri için de birkaç soruyu gündeme getiriyor: EKS siber güvenliği kimin sorumluluğundadır—fabrika katı operatörü mü yoksa IT güvenlik operasyonları merkezi mi (SOC)?

 

Cevap, her ikisi de. Çünkü sorumluluğun paylaşılmadığı bir ortamda süreçlerin düzgün ve sorunsuz bir şekilde ilerleyemeyeceği açıktır ve oluşturulacak plan/prosedürlerde her iki tarafında bilgi ve deneyimine ihtiyaç vardır. Ancak birçok kuruluş, işin her iki tarafında da rolleri ve sorumlulukları devredecek ve uygulayacak dahili organizasyon yapılarından yoksundur.

 

Kapsamlı IT/OT siber güvenlik programınızdaki rolleri ve sorumlulukları tanımladığınızda, bu iki tarafı bir araya getirmede de çeşitli teknik engellerle karşılaşabilirsiniz.  

 

IT ve OT Siber Güvenlik Zorluklarındaki Farklılıklar

 

 

Görüldüğü üzere OT ile IT güvenliği arasında oldukça büyük farklar vardır. Geleneksel IT güvenliği yaklaşımı OT altyapılarına direkt olarak uygulanamasa da IT yaklaşımı OT güvenliği noktasında bizlere ışık tutabilir. Bu doğrultuda biraz daha detaya inelim.

 

DERİNLEMESİNE SAVUNMA

 

Derinlemesine Savunma, kaleyi düşmanlardan korumak için birden fazla savunma seviyesinin kullanıldığı Orta Çağ Avrupa kalelerinden ödünç alınan bir kavramdır. Bu katmanlar arasında hendek, köprüler, kapılar, top ve askerlerle donanmış iç ve dış duvarlar ve kule kaleleri bulunuyordu.

 

Derinlemesine Savunma, saldırganların ilerlemelerini izlerken ve onları püskürtmek için olaya tepkiler geliştirirken ve uygularken hedeflerine ulaşmalarını engellemek için askeri stratejiden kaynaklanan bir kavram olarak ortaya çıktı. Siber güvenlik paradigmasında, derinlemesine savunma, bir siber saldırganın ilerlemesini engellemek için tasarlanmış önleyici ve koruyucu önlemlerle ilişkilidir. Bir organizasyonun bir ihlalin sonuçlarını azaltmak ve hafifletmek amacıyla izinsiz girişi tespit etmesine ve müdahale etmesine olanak tanır.

 

Endüstriyel siber tehdit ortamını ve Endüstriyel Kontrol Sistemlerini siber olaylara ve ihlallere karşı güvenceye almak için temel kontrollere sahip Derinlemesine Savunma (Defense In Depth) stratejisinden yararlanan, kanıtlanmış yöntemleri kullanarak harekete geçebilirsiniz.

 

 

Derinlemesine savunma, saldırganların ilerlemelerini izlerken onları püskürtmek için olaya tepkiler geliştirirken ve uygularken hedeflerine ulaşmalarını engellemek için engeller sağlamak için askeri stratejiden kaynaklanan bir kavram olarak ortaya çıktı. Siber güvenlik paradigmasında, derinlemesine savunma, bir siber saldırganın ilerlemesini engellemek için tasarlanmış koruyucu önlemlerle ilişkilidir ve bir organizasyonun bir ihlalin sonuçlarını azaltmak ve hafifletmek amacıyla izinsiz girişi tespit etmesine ve müdahale etmesine olanak tanır. Bu doğrultuda yukarıda bahsettiğimiz yöntemleri kullanarak OT siber güvenliğe bir kapı aralayabiliriz.

 

OT siber güvenlik konusunun son zamanlarda kurum ve kuruluşların gündemine geliyor olması güzel. Fakat bazıları yukarıda bahsettiğimiz zorluklardan, bazıları maliyetten, bazıları ise cesaret edemediğinden bu gerçekle yüzleşmek istemiyor. Bu konuda her kurum kurumsal ve ulusal siber güvenliğe katkı sağlamak için elini taşın altına koyması gerekiyor. Kapımızı çalan bu gerçeğe kapıyı sonuna kadar açmanın zamanı gelmedi mi?