EN
EN

OT Ortamlarının Güvenli Hale Getirilmesi İçin Dikkat Edilmesi Gerekenler


Siber güvenlik dünyası BT (Bilgi Teknolojileri) sistemlerinin güvenliğini daha fazla gündeme alıp OT sistemlerini biraz geri planda bıraktı. Günümüzde çok az sayıda endüstriyel kuruluşun özel siber güvenlik uzamanı bulunmaktadır. Genelde tesis veya fabrika yöneticililerine bu görev verildi. Teknik olarak yeterli olan bu yöneticiler siber güvenlik alanında yeterli bilgiye sahip olmayabilirler.

Son yıllarda, endüstriyel tesislere yönelik siber saldırılardaki artış ve Endüstri 4.0'ın yönlendirdiği BT/OT yakınsama eğilimi, OT güvenliği etrafındaki sahiplik boşluğun olduğunu gösterdi bizlere. Yeni bir Fortinet raporuna göre, çoğu kuruluş sorunu çözmek için Bilgi Güvenliği Yetkilileri (CISO'lar) aramaktadır.

BT ortamlarını güvence altına alarak iyi başarılar elde eden bilgi güvenliği yetkililerinin mevcut bilgi ve becerileri OT sistemlerinin güvenliğini sağmada yardımcı olacaktır. Fakat OT ortamının benzersiz topografyasını ve ayırt edici güvenlik zorluklarını anlamak için yoğun bir çaba göstermeleri gerekir. Bilgi güvenliği sorumlularının OT sistemlerini güvenli hale getirmek hakkında bilmesi gereken 5 önemli madde bulunmaktadır:

CIA Üçlüsünün Sıralaması Değişir:

CIA üçlüsü (Gizlilik, Bütünlük ve Erişilebilirlik) siber güvenlikte kilit bir kavramdır. Güvenlik her zaman ortak payda olmasına rağmen, kritik olarak, IT ve OT üçlünün öğelerine farklı şekilde öncelik verir. CIA'nın BT güvenliği üçlüsü, kullanılabilirliğin en yüksek önceliğe sahip olduğu OT dünyasında tersine çevrilir.

OT sistemlerini operasyonlarını aksatmadan siber tehditlerden koruyan güvenlik çözümlerini belirlemek ve uygulamak gerekmektedir.

Segmantasyon Seviyeleri Farklıdır:

Hem OT hem de BT'de segmentasyon, ağın saldırı yüzeyini sınırlar. OT'de Purdue Modeli, sistemlerin birbirleriyle nasıl ve neden iletişim kurabileceği ve olması gerektiği konusunda bir çerçeve görevi görür.

Oldukça basitleştirilmiş bir özetle Purdue Modeli beş katmandan oluşur.

- Seviye 4 ve 5, web ve e-posta sunucularını, BT altyapısını ve uzaktan güvenlik duvarına giren kullanıcıları içeren en dıştaki katmanlardır.
- Seviye 2 ve 3, OT ortamlarını çalıştıran yazılım ve uygulamaları çalıştıran operasyonel katmanlardır.
- Seviye 0 ve 1, asıl işi yapan ve dış müdahaleden korunması gereken cihazları, sensörleri, programlanabilir mantık denetleyicileri (PLC'ler) ve dağıtılmış kontrol sistemlerini (DCS) barındırır.

Bu katmanların amacı, süreç seviyeleri arasında hem mantıksal hem de fiziksel ayrım oluşturmaktır. Segmentasyon OT ortamlarında çok daha katıdır ve her zaman uygulanmalıdır.

OT Sistemlerinde Arıza Süresi Sıfıra Yakındır:

BT'de, özellikle yeni güncellemelerin neredeyse gerçek zamanlı olarak yayınlandığı bir Hizmet Olarak Yazılım (SaaS) dünyasında, sürüm yükseltmeleri ve yamalar için kapalı kalma süresi önemli değildir.

İster güvenlik ister kâr amaçlı olsun, OT sistemleri her zaman çalışır durumdadır. Yeni bir işletim sistemi indirmek veya kritik bir yama uygulamak için bile durdurulamaz veya duraklatılamazlar. Arıza süresi gerektiren herhangi bir süreç, OT sistemlerinin büyük çoğunluğu için basitçe başlatılamaz.

Bilgi güvenliği sorumluları OT süreçlerini kesintiye uğratmayacak veya bunlara müdahale etmeyecek güvenlik kontrollerini belirlemelidir. Mevcut OT altyapısını, kritik süreçleri değiştirmeden, karmaşıklaştırmadan veya kalabalıklaştırmadan koruyan bir güvenlik katmanı sağlayacak çözümler kullanılmalıdır.

Erişim Yöntemleri Gözden Geçirilmelidir:

Geleneksel olarak, OT sistemleri izolasyon yoluyla korunmuştur. Artık kuruluşlar, Endüstri 4.0'dan yararlanmak veya yüklenicilere daha kolay erişim sağlamak için bu ortamları birbirine bağladığına göre, tüm erişimler izlenmeli, kontrol edilmeli ve kaydedilmelidir.

BT ortamı, işlerin gerçekleştiği dijital bir yerdir. İş kullanıcıları işlerini bu alanda yürütürler ve sistemler her gün veri alışverişinde bulunurlar. Başka bir deyişle, insanların BT ortamına aktif olarak katılması ve değişiklik yapması amaçlanmaktadır.

OT sistemleri ve ortamları, insan müdahalesi olmadan çalışacak şekilde tasarlanmıştır: "kur ve unut." İnsanlar onları kurmak ve sonra çalışmalarını düzenli takip etmek içindir. Kullanıcılar, iş kullanıcılarının bir BT sisteminde olduğu gibi tüm gün bir OT ortamında oturum açmış durumda kalmazlar.

BT Araçları Her Zaman OT İçin Çalışmayabilir:

- Güvenlik açığı taraması gibi temel işlevler, OT işlemlerini kesintiye uğratabilir ve sistemleri tamamen çevrimdışı duruma getirebilir ve çoğu cihazda uç nokta güvenliği, anti-virüs veya diğer aracıları desteklemek için yeterli CPU/RAM yoktur.
- Çoğu BT aracı, trafiği bulut aracılığıyla yönlendirir. OT'de bu, kullanılabilirliği tehlikeye atabilir ve OT ortamlarında ortak olan çok sayıda bağlantısız bileşeni destekleyemez.
- BT araçlarının yaşam döngüleri, genellikle OT cihazlarının yaşam döngülerinden çok daha kısadır. OT ortamlarının her zaman açık olması nedeniyle, sık sık düzeltme eki, güncelleme veya kesinti gerektiren herhangi bir araç uygun değildir.

BT tarafından tasarlanmış araçları OT ortamlarına zorlamak, bu ortamların temel güvenlik gereksinimlerini ve önceliklerini ele almadan yalnızca karmaşıklığı artırır. OT sistemlerinin kendine özgü ihtiyaçları için tasarlanmış güvenlik çözümleri kullanılmalıdır.

Yazar: Nazlıcan Hatice Tanın/ Bilgi Sistemleri Denetim Uzmanı