Çoğu endüstriyel kurum, bağlantılı sistemlerin getirdiği risklerin
farkında olsa da operasyonel teknolojilerinin güvenliğini artırmak
için pratik adımlar atmıyor
Daha fazla bağlantı ve nesnelerin interneti (IoT) kavramının dahil
olduğu dijitalleşme trendi enerji santralleri, fabrikalar ve su artıma
merkezleri gibi, operasyonlarında endüstriyel kontrol sistemleri (ICS)
kullanan kurumlarda yaygınlaşmaya devam ediyor. Bu trend beraberinde
bazı bilinen siber güvenlik tehlikelerini de getiriyor. Şirketlerin
%65?i, nesnelerin interneti ile birlikte ICS güvenliği risklerinin
arttığına inanıyor. Ancak Kaspersky Lab, endüstri sektöründeki bir
çelişkiyi ortaya çıkardı. Çoğu kurum, endüstriyel süreçlerinin
verimliliğini yeni bilişim teknolojileriyle artırmayı hedefliyor.
Ancak BT ağlarının güvenliği için yatırım yapmalarına rağmen
operasyonel teknolojiler için kapıları açık bırakıyorlar. Bu da fidye
yazılımı ve zararlı yazılımlar gibi basit tehditlerin etkili olmasına
neden oluyor. Bunların yanı sıra daha birçok bulgu bugün Kaspersky
Lab?in ?Endüstriyel Siber Güvenliğin Durumu 2018? başlıklı raporunda
açıklandı.
Endüstriyel şirketler otomasyon verimliliği ile siber güvenlik
endişeleri arasında bir yol ayrımına geldi.
BT ve operasyonel teknolojilerin (OT) bir araya gelmesi, OT?nin
dış ağlarla daha fazla bağlantı halinde olması ve endüstriyel IoT
cihazlarının yaygınlaşması, endüstriyel süreçlerin verimliliğinin
artmasına yardımcı oluyor. Ancak, bu trendler beraberinde riskleri ve
güvenlik açıklarını da getiriyor. Bu da kurumların kendilerini güvende
hissetmemelerine neden oluyor. Şirketlerin %77?si endüstriyel kontrol
sistemleriyle ilgili bir siber güvenlik vakasının hedefi
olabileceklerine inanıyor.
Kurumlar BT ve OT/ICS ağlarındaki siber güvenlik yaklaşımlarında
farklı davranıyor. Artan dijitalleşmeyle birlikte gelen risklerin
farkında olsalar da operasyonel ağlarını korumak için doğru siber
güvenlik önlemlerini almıyorlar. Endüstriyel şirketlerin %51?i son bir
yıl içinde herhangi bir siber güvenlik vakasından etkilenmediğini
iddia ediyor. Araştırmaya katılanların yarısının BT departmanında
çalıştığı göz önünde bulundurulduğunda, elde edilen bulgular BT
yöneticilerinin kendi endüstriyel kontrol sistemlerinde yaşanan
vakalardan haberdar olmayabileceğini gösteriyor. Bunun da nedeni
kurumun genel siber güvenliği için birleşmiş bir yaklaşım göstermemesi
olabilir. BT ve OT siber güvenliği arasında daha iyi bir entegrasyon
kurulması için imkan var. Kurumların %48?i endüstriyel kontrol
ağlarını ilgilendiren bir saldırı olduğunda bunu tespit edecek veya
izleyecek önlemler almadıklarını itiraf ediyor.
Bu tür saldırıların ürünlerin hasar görmesi, müşteri güveninin ve
iş fırsatlarının kaybedilmesi, çevreye zarar verilmesi ve bir ya da
birden çok tesiste üretimin durması gibi çok yıkıcı sonuçları
olabiliyor. Geçtiğimiz 12 ay içinde en az bir ICS siber güvenliği
vakası yaşayanların %20?si finansal zararın arttığını dile getiriyor.
Bu da daha iyi siber güvenlik sistemlerine yatırım yapılmasını teşvik
ediyor.
Risk algısı ve gerçekler: Çalışanların hataları nedeniyle yaşanan
sızıntılar
Gelişmiş BT güvenliğine özel olarak yapılan yatırımlar ve bu
konudaki farkındalığa rağmen, endüstriyel kurumların OT sistemleri
geleneksel ve toplu zararlı yazılım saldırılarına yakalanmaya devam
ediyor. Hedefli saldırılar hakkında duyulan endişe artarken,
şirketlerin neredeyse içte ikisi (%64) son 12 ay içinde endüstriyel
kontrol sistemlerine yönelik en az bir geleneksel zararlı yazılım veya
virüs saldırısı yaşadığını belirtiyor. Şirketlerin %30?u fidye yazılım
saldırısına uğrarken, dörtte birinin (%27) endüstriyel kontrol
sistemlerinde çalışanların yaptığı hatalar nedeniyle sızıntı yaşandı.
Sektörü etkileyen hedefli saldırıların oranı 2018?de %16?da kaldı
(2017?de %36?ydı). Bu da hedefli saldırılarla ilgili endişelerin
gerçeği yansıtmadığını ortaya koyuyor. Endüstriyel kontrol
sistemlerini kullanan şirketler halen zararlı yazılım ve fidye
yazılımı gibi daha geleneksel tehditlerin kurbanı oluyor.
Kaspersky Endüstriyel Siber Güvenlik Marka Müdürü Georgy
Shebuldaev, ?Sektörde verimliliği artırmak için bulut ve IoT gibi
dijital trendler daha sık kullanıldıkça, kritik sistemlerin çalışmaya
devam etmesi ve işlerin yürümesi için siber güvenliğin önemi ve
zorluğu artıyor. Her geçen gün daha çok şirketin siber güvenlik
politikalarını geliştirerek endüstriyel kontrol ağlarını korumaya
yönelik önlemler aldığını görmek güzel. Bu doğru yönde atılmış bir
adım olsa da dijitalleşmenin hızına yetişmek için daha fazla aksiyon
alınmalı. Bunların arasında, belirli ICS işlemlerini kapsayan vaka
müdahale programlarını güncellemek ve zorlukları aşmaya yardımcı
olacak özel siber güvenlik çözümleri kullanmak yer alıyor.? dedi.
Gelecekte karşılaşılacak zorluklar: Nesnelerin İnterneti ve Bulut
Endüstriyel Nesnelerin İnterneti ve bulut tabanlı sistemlerin
kullanılmaya başlanmasıyla ortaya endüstriyel şirketler için zorluk
teşkil eden yeni bir güvenlik boyutu da eklendi. Şirketlerin
yarısından fazlası (%54) için, IoT ekosistemlerinin entegrasyonu ve
bağlantı özellikleri ile ilişkili risklerin artması önümüzdeki yılda
büyük bir siber güvenlik sorunu oluşturacak. Bu riskleri yönetmek için
alınacak önlemler de ayrı bir sorun teşkil ediyor.
Şirketlerin akıllı teknolojilere ve otomasyona daha fazla yatırım
yapmasının yanı sıra endüstri 4.0?ın uygulanmaya başlanması,
bağlantılı sistemler ve IoT trendinin artarak devam edeceğini
gösteriyor. Bunlarla birlikte bulut bilişim kullanımı da artıyor.
Endüstriyel kurumların %15?i SCADA kontrol sistemleri için bulut
çözümlerini kullanırken, %25?lik bir kesim ise önümüzdeki 12 ay içinde
bu çözümlere geçmeyi planlıyor. Kritik altyapıların üst düzey yönetimi
için bulut bilişim kullanımına yönelik dikkate değer bir akım var.
Bu nedenle, siber güvenlik önlemlerinin de teknolojilere uyum
sağlama hızına yetişmesi hayati önem taşıyor. Böylece yeni
teknolojilerin kurumlara getirdiği avantajların birlikte gelen
risklerin önüne geçmesi sağlanmalı. Şirketlerin operasyonel, finansal
ve itibari zararlardan kaçınması için ICS vaka müdahale programlarını
daha ciddiye alması gerekiyor. Şirketler yalnızca, belirli bir vaka
müdahale programı geliştirip bağlı ve dağıtık endüstriyel
ekosistemlerin karmaşık yapısını yönetebilecek özel bir siber güvenlik
çözümü kullanarak hizmetlerini, ürünlerini, müşterilerini ve
çevrelerini koruyabilirler.
Foreks Haber Merkezi (
[email protected] )
http://www.foreks.com
http://twitter.com/ForeksTurkey