Enerji, Şalt, Enerji Kalitesi, Pano, Trafo, Kablo, Motor, Kesintisiz Güç Kaynağı, Topraklama, Aydınlatma, Test-Ölçüm, Elektrik Proje-Taahhüt, Elektronik, dergi

2019 ENDÜSTRİYEL KONTROL SİSTEMLERİ SİBER GÜVENLİK ÖNGÖRÜLERİ

Enerji tesislerinden, sağlık sistemlerine, savunma sanayiinden üretim tesislerine kadar birçok kritik altyapının omurgasını oluşturan Endüstriyel Kontrol Sistemleri’nin (EKS/ SCADA) önemi, her geçen gün daha fazla artıyor. Söz konusu sistemlerin zarar gördüğü ve çalışamaz hale geldiği durumlarda, büyük boyutlu sektörel, ulusal ve küresel maddi ve manevi zararlarla karşılaşılacağı da bir gerçek.

Biznet Bilişim olarak, bu hayati alanla ilgili stratejilerinden ve verdikleri hizmetten de bahseden Demirel; “Firma olarak, temel stratejimiz olan, BT, OT ve IoT alanlarındaki bütünsel siber güvenlik yaklaşımımız, belki de en çok kritik altyapılar için hayati öneme sahip. Biznet olarak bu alanda neler yaptığımızı ise, şöyle özetleyebilirim: Güvenlik Testleri başlığında, saldırgan bakış açısıyla, en az bilgi ile altyapı üzerindeki bileşenleri güvenlik testine tabi tutuyoruz. Ek olarak, EKS bileşenleri sızma testine tabi tutuluyor. Konfigürasyon Denetimleri başlığında ise, EKS altyapılarının güvenliği ve sürekliliğini ilgilendiren bileşenleri, sistem yöneticisi gözüyle denetime tabi tutuyoruz. Süreç Denetimleri başlığı ise, işletim süreçlerinin güvenlik bakış açısıyla denetlenmesidir. Fiziksel Denetimler de, altyapı bünyesinde kritik işlevlere hizmet eden kontrol odaları, veri merkezleri ve işletmenin genel güvenlik durumunun, en iyi uygulama örneklerine göre denetlenmesini kapsıyor. Son olarak, EPDK EKS Bilişim Güvenliği Yönetmeliği Uyumluluk Hizmetlerimizden bahsetmek istiyorum. Yönetmeliğin öngördüğü envanter çıkarma, risk analizi yapma ve risk aksiyon planlarının hazırlanması konularında danışmanlık hizmeti sunarak; kurumların yönetmeliğe uyumlu hale gelmeleri sağlıyoruz. Ayrıca, özellikle bu alana ilişkin farkındalığı artırmak için, geçen sene Türkiye’nin ilk EKS Siber Güvenlik Konferansı’nı düzenledik. Ek olarak, bu alana dair yetişmiş insan kaynağı probleminin çözümüne destek olmak için, Türkiye’nin ilk EKS Siber Güvenlik Öğrenci Kampı’nı düzenledik” dedi.

 

Can Demirel, kritik altyapılar özelinde, bu saldırıların, doğrudan zarar vermeye odaklı olabileceği gibi; uzun vadeye yayılmış ve bilgi toplama amaçlı da olabileceğini vurgulayarak; “Ayrıca, Endüstri 4.0 ile beraber tüm dünyayı etkisi altına alan dijitalleşme trendinin EKS alanında da etkisini göstermesi ve endüstriyel işletmelerin artan verimlilik talepleri; IoT cihaz ve teknolojilerinin (wirelessHART, akıllı sayaçlar ve smartgrid projeleri vb.) kritik altyapılarda ve OT ağlarında kullanım oranını artırdı. Elbette bu durum, çok sayıda siber güvenlik zafiyetini de beraberinde getiriyor. 2019 yılı, IoT ve uygulamalarının daha sık kullanılmaya başlanacağı ve bu yeni teknolojilerin de, yeni saldırı vektörü olarak karşımıza çıkacağı bir yıl olacak. İlk olarak 2017 Aralık ayında tespit edilen ve doğrudan Emergency Shut Down (Acil Kapama – ESD) / Safety Instrumented System (Güvenlik Enstrümanlı Sistem – SIS) unsurlarını hedefleyen bu alandaki ilk ve tek saldırı olan TRITON / TRISIS / HATMAN, kritik altyapılara yönelik saldırıların doğrudan çevresel zarar ya da can ve mal kaybına neden olabileceğini gözler önüne serdi.

2019 yılında saldırganların, EKS spesifik bilgilerini artırarak daha özelleşmiş ve hedef odaklı saldırılar düzenleyeceğini düşünüyorum” dedi.

REGÜLASYONLARIN HEM KAPSAMLARINI HEM DE SAYISINI ARTIRACAK

Avrupa’daki regülasyon kurulunun (Networ- king and Information Security – NIS) yayımladığı direktifler incelendiğinde, her endüstri için farklı standartlar belirlendiğinin altını çizen Demirel, şöyle devam etti:

“2019 yılında, ülkemizde enerji alanında regü- lasyon ve standartları belirleyen Enerji Piyasası Denetleme Kurulu’nun (EDPK) sektöre yönelik siber güvenlik çalışmalarının sayısını artırarak, yeni regülasyonları hayata geçireceğini öngörüyoruz. Ayrıca, kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyeti ilk olarak 2017 yılında ortaya çıktı ve giderek artan bir grafik çizerek, dünya çapında hızla yükselen trendlerden birisi oldu. 2018 yılında da artarak devam eden bu hassasiyet sonucunda, ABD ve İngiltere’nin uygulamaya koyduğu üretici kara liste uygulamasından, çokuluslu teknoloji şirketleri etkilendi. Bu yaklaşım sadece, yeterli ve yerli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olmakla beraber; kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesini ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesini gerektiriyor.

Aksi halde ulusal kritik altyapıları, siber saldırıların odak noktası olacak. Kritik altyapıların eko- nomi ve ulusal güvenlik açısından önemi düşünüldüğünde, Siber Milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS Siber Güvenliği olacağını ön görüyoruz.”

TÜRKİYE’DE DE KURUMLAR ARASI SİBER İSTİHBARAT PAYLAŞIMININ İLK ADIMLARI ATILACAK

2018 yılında Endüstriyel Kontrol Sistemleri’ne yönelik saldırıların sayısının da dramatik bir şekilde arttığını ifade eden Demirel, sözlerini şöyle tamamladı:

“Dünya’da, sadece 2018 yılı ilk çeyreğinde tespit edilen saldırıların sayısının, 2017’nin aynı dönemine göre yüzde 40 daha fazla olduğu görülmekte. Bu durum EKS ve Kritik Altyapılar için siber istihbarat konusunun ne kadar önemli olduğunu bir kez daha kanıtladı. 2019 yılında, gerek kamu kuruluşları ve özel endüstriyel işletmeler, gerekse devletlerarasındaki siber istihbarat paylaşımının sınırlarının çizileceğini, siber istihbarat paylaşımının globalde artarak devam edeceğini ve Türkiye’de de kurumlar arası siber istihbarat paylaşımının ilk adımlarının atılacağını düşünüyoruz. Bu anlamda kurum ve kuruluşların daha fazla simülasyon, test ve tatbikat çalışması gerçekleştireceklerini de öngörüyoruz. Geçen yıl konuşmacı olarak katkı sunduğumuz, yılın en önemli EKS siber güvenlik etkinliklerinden biri olan “SANS ICS” etkinliğinin ana söylemi, “Defense is doable” idi. Bu söylemin önemine ve içeriğine inanıyoruz. Tüm bu gelişmeler ışığında savunmanın hala yapılabilir olduğunu düşünüyoruz. Savunmanın bir parçası olarak “Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 Yılı Tahminleri” raporunda özetlediğimiz gibi, uçtan uca güvenlik, fiziksel güvenlik, tedarikçi güvenliği, güvenli tasarım ve yetkin uzman ihtiyaçları kritik altyapılarda artarak devam edecek. Bunlara ek olarak, savunma için endüstriyel altyapılarda görünürlük ihtiyacı artacak. Ağ görünürlüğünü artırıp EKSOT altyapılarının siber dayanıklılığını iyileştirmek için anomali tespit çözümleri daha popüler hale gelerek, işletmelerin ana gündem maddelerinden biri olacak. Endüstriyel Kontrol Sistemleri’nin güvenliğinin tek bir metot ya da yöntemle sağlanamayacağını, Siber Güvenlik 2018 Yılı Tahminleri raporumuzda önemle belirtmiştik. 2019 yılında şirketlerin, olası tüm siber risklerini minimize edeceklerini ve bilgi güvenliğinde büyük resmi tamamlayacak şekilde bir yapılandırmaya gideceklerini öngörüyoruz. Bu öngörünün bir yansıması olarak, kritik altyapılara sahip işletmelerin geleneksel hizmet ve ürünlerin yanı sıra, Olay Müdahale ve EKS’ye özel Güvenlik Operasyon Merkezleri (SOC) gibi derin teknik bilgi gerektiren hizmetlere olan taleplerinde de bir artış bekliyoruz.”