Endüstriyel kontrol sistemlerinin güvenliğinde 2019 gündemi
Enerji tesislerinden, sağlık sistemlerine, savunma sanayiinden üretim tesislerine kadar birçok kritik altyapının omurgasını oluşturan Endüstriyel Kontrol Sistemleri’nin (EKS/SCADA) önemi, her geçen gün daha fazla artıyor. Söz konusu sistemlerin zarar gördüğü ve çalışamaz hale geldiği durumlarda, büyük boyutlu sektörel, ulusal ve küresel maddi ve manevi zararlarla karşılaşılacağı da bir gerçek.
2000’den bu yana, BT, OT ve IoT bütünsel siber güvenlik yaklaşımıyla, projelendirme, danışmanlık ve denetim hizmetleri sunan, sektörünün lider siber güvenlik entegratörü Biznet Bilişim; 2015 yılında konunun önemine dikkat çekerek bu alandaki çalışmalarını başlattı. 2018 yılında Biznet Bilişim, Operasyonel Teknoloji güvenliği alanında yürüttüğü öncü çalışmaların sonucunu aldı ve ilk Türk hizmet firması olarak Gartner 2018 raporunda yer alan, bu alandaki ilk Türk hizmet firması oldu. Biznet Bilişim ayrıca, bu alandaki deneyimiyle, 2019 yılı EKS öngörülerini kamuoyu ile paylaştı.
3 yıl içinde, güvenli olmayan EKS altyapıları nedeniyle, çevre ve insanların zarar görmesi olasılığı çok yüksek.
Gartner’ın yakın zamanda yayınlanan raporunda, “3 yıl içerisinde, güvenli olmayan endüstriyel kontrol sistemleri ve OT altyapıları nedeniyle, çevre ve/veya insanların zarar görmesinin” ön görüldüğünü anımsatan Biznet Bilişim EKS Siber Güvenlik Hizmetleri Yöneticisi Can Demirel “İşte bu ifade, yaptığımız işin ne kadar önemli ve gerçekten ne kadar kritik olduğunu gösteriyor. EKS Siber Güvenlik Ekibimiz, insanlar evlerine girip, elektrik düğmesine bastıklarında, elektriğin gelmesi; musluğu açtıklarında suyun akması; hastaneye gittiklerinde, medikal cihazların çalışması; uçağın zamanında kalkması; trenin zamanında gelmesi gibi günlük hayatımızı ciddi derecede etkileyen kritik altyapılardan aldığımız servisin kesintiye uğramaması için çalışıyor. O yüzden bizim temel misyonumuz, sağladığımız çözümler ve danışmanlık hizmetleri ile başta ülkemiz olmak üzere, yakın bölgedeki kritik altyapıların siber dayanıklılığının artırılmasını sağlamaktır” dedi.
Biznet Bilişim olarak, bu hayati alanla ilgili stratejilerinden ve verdikleri hizmetten de bahseden Demirel; sözlerine şöyle devam etti: “Firma olarak, temel stratejimiz olan, BT, OT ve IoT alanlarındaki bütünsel siber güvenlik yaklaşımımız, belki de en çok kritik altyapılar için hayati öneme sahip. Biznet olarak bu alanda neler yaptığımızı ise, şöyle özetleyebilirim: Güvenlik Testleri başlığında, saldırgan bakış açısıyla, en az bilgi ile altyapı üzerindeki bileşenleri güvenlik testine tabi tutuyoruz. Ek olarak, EKS bileşenleri sızma testine tabi tutuluyor. Konfigürasyon Denetimleri başlığında ise, EKS altyapılarının güvenliği ve sürekliliğini ilgilendiren bileşenleri, sistem yöneticisi gözüyle denetime tabi tutuyoruz. Süreç Denetimleri başlığı ise, işletim süreçlerinin güvenlik bakış açısıyla denetlenmesidir. Fiziksel Denetimler de, altyapı bünyesinde kritik işlevlere hizmet eden kontrol odaları, veri merkezleri ve işletmenin genel güvenlik durumunun, en iyi uygulama örneklerine göre denetlenmesini kapsıyor. Son olarak, EPDK EKS Bilişim Güvenliği Yönetmeliği Uyumluluk Hizmetlerimizden bahsetmek istiyorum. Yönetmeliğin öngördüğü envanter çıkarma, risk analizi yapma ve risk aksiyon planlarının hazırlanması konularında danışmanlık hizmeti sunarak; kurumların yönetmeliğe uyumlu hale gelmeleri sağlıyoruz. Ayrıca, özellikle bu alana ilişkin farkındalığı artırmak için, geçen sene Türkiye’nin ilk EKS Siber Güvenlik Konferansı’nı düzenledik. Ek olarak, bu alana dair yetişmiş insan kaynağı probleminin çözümüne destek olmak için, Türkiye’nin ilk EKS Siber Güvenlik Öğrenci Kampı’nı düzenledik.”
2019, çok daha sofistike ve çevresel zarar, can ve mal kaybı ile sonuçlanabilecek saldırılara şahit olacağımız bir yıl olabilir.
Can Demirel, kritik altyapılar özelinde, bu saldırıların, doğrudan zarar vermeye odaklı olabileceği gibi; uzun vadeye yayılmış ve bilgi toplama amaçlı da olabileceğini vurgulayarak; şunları söyledi: . “Ayrıca, Endüstri 4.0 ile beraber tüm dünyayı etkisi altına alan dijitalleşme trendinin EKS alanında da etkisini göstermesi ve endüstriyel işletmelerin artan verimlilik talepleri; IoT cihaz ve teknolojilerinin (wirelessHART, akıllı sayaçlar ve smartgrid projeleri vb.) kritik altyapılarda ve OT ağlarında kullanım oranını artırdı. Elbette bu durum, çok sayıda siber güvenlik zafiyetini de beraberinde getiriyor. 2019 yılı, IoT ve uygulamalarının daha sık kullanılmaya başlanacağı ve bu yeni teknolojilerin de, yeni saldırı vektörü olarak karşımıza çıkacağı bir yıl olacak. İlk olarak 2017 Aralık ayında tespit edilen ve doğrudan Emergency Shut Down (Acil Kapama – ESD) / Safety Instrumented System (Güvenlik Enstrümanlı Sistem – SIS) unsurlarını hedefleyen bu alandaki ilk ve tek saldırı olan TRITON / TRISIS / HATMAN, kritik altyapılara yönelik saldırıların doğrudan çevresel zarar ya da can ve mal kaybına neden olabileceğini gözler önüne serdi.”
Ayrıca siber kara borsada EKS zafiyetlerine olan talebin arttığını vurgulayan Demirel; “2019 yılında saldırganların, EKS spesifik bilgilerini artırarak daha özelleşmiş ve hedef odaklı saldırılar düzenleyeceğini düşünüyorum.” dedi.
Enerji Piyasası Denetleme Kurulu, regülasyonların hem kapsamlarını hem de sayısını artıracak.
Avrupa’daki regülasyon kurulunun (Networking and Information Security – NIS) yayımladığı direktifler incelendiğinde, her endüstri için farklı standartlar belirlendiğinin altını çizen Demirel, şöyle devam etti:
“2019 yılında, ülkemizde enerji alanında regülasyon ve standartları belirleyen Enerji Piyasası Denetleme Kurulu’nun (EDPK) sektöre yönelik siber güvenlik çalışmalarının sayısını artırarak, yeni regülasyonları hayata geçireceğini öngörüyoruz. Ayrıca, kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyeti ilk olarak 2017 yılında ortaya çıktı ve giderek artan bir grafik çizerek, dünya çapında hızla yükselen trendlerden birisi oldu. 2018 yılında da artarak devam eden bu hassasiyet sonucunda, ABD ve İngiltere’nin uygulamaya koyduğu üretici kara liste uygulamasından, çokuluslu teknoloji şirketleri etkilendi. Bu yaklaşım sadece, yeterli ve yerli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olmakla beraber; kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesini ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesini gerektiriyor. Aksi halde ulusal kritik altyapıları, siber saldırıların odak noktası olacak. Kritik altyapıların ekonomi ve ulusal güvenlik açısından önemi düşünüldüğünde, Siber Milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS Siber Güvenliği olacağını ön görüyoruz.”
Türkiye’de de kurumlar arası siber istihbarat paylaşımının ilk adımları atılacak.
2018 yılında Endüstriyel Kontrol Sistemleri’ne yönelik saldırıların sayısının da dramatik bir şekilde arttığını ifade eden Demirel, sözlerini şöyle tamamladı:
“Dünya’da, sadece 2018 yılı ilk çeyreğinde tespit edilen saldırıların sayısının, 2017’nin aynı dönemine göre yüzde 40 daha fazla olduğu görülmekte. Bu durum EKS ve Kritik Altyapılar için siber istihbarat konusunun ne kadar önemli olduğunu bir kez daha kanıtladı. 2019 yılında, gerek kamu kuruluşları ve özel endüstriyel işletmeler, gerekse devletlerarasındaki siber istihbarat paylaşımının sınırlarının çizileceğini, siber istihbarat paylaşımının globalde artarak devam edeceğini ve Türkiye’de de kurumlar arası siber istihbarat paylaşımının ilk adımlarının atılacağını düşünüyoruz. Bu anlamda kurum ve kuruluşların daha fazla simülasyon, test ve tatbikat çalışması gerçekleştireceklerini de öngörüyoruz. Geçen yıl konuşmacı olarak katkı sunduğumuz, yılın en önemli EKS siber güvenlik etkinliklerinden biri olan “SANS ICS” etkinliğinin ana söylemi, “Defense is doable” idi. Bu söylemin önemine ve içeriğine inanıyoruz. Tüm bu gelişmeler ışığında savunmanın hala yapılabilir olduğunu düşünüyoruz. Savunmanın bir parçası olarak “Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 Yılı Tahminleri” raporunda özetlediğimiz gibi, uçtan uca güvenlik, fiziksel güvenlik, tedarikçi güvenliği, güvenli tasarım ve yetkin uzman ihtiyaçları kritik altyapılarda artarak devam edecek. Bunlara ek olarak, savunma için endüstriyel altyapılarda görünürlük ihtiyacı artacak. Ağ görünürlüğünü artırıp EKS-OT altyapılarının siber dayanıklılığını iyileştirmek için anomali tespit çözümleri daha popüler hale gelerek, işletmelerin ana gündem maddelerinden biri olacak. Endüstriyel Kontrol Sistemleri’nin güvenliğinin tek bir metot ya da yöntemle sağlanamayacağını, Siber Güvenlik 2018 Yılı Tahminleri raporumuzda önemle belirtmiştik. 2019 yılında şirketlerin, olası tüm siber risklerini minimize edeceklerini ve bilgi güvenliğinde büyük resmi tamamlayacak şekilde bir yapılandırmaya gideceklerini öngörüyoruz. Bu öngörünün bir yansıması olarak, kritik altyapılara sahip işletmelerin geleneksel hizmet ve ürünlerin yanı sıra, Olay Müdahale ve EKS’ye özel Güvenlik Operasyon Merkezleri (SOC) gibi derin teknik bilgi gerektiren hizmetlere olan taleplerinde de bir artış bekliyoruz.”