Operasyonel Teknoloji yahut OT, fizikî süreçlere sahip olan yahut üretim yapan kurumlar tarafından kullanılan kritik bir ağ bileşeni olarak tanımlanıyor. Üretim, kimyasal unsur, petrol, gaz, maden, ulaşım ve lojistik kesimleri güç şebekelerini, üretim ve montaj alanlarını çalıştırmak için özel teknolojiler kullanıyor. Bu sistemlerin denetimi, kontrolü ve idaresi son birkaç yıl içerisinde giderek otomatik hale getiriliyor. Bu işleri yapan özel sistemler de Endüstriyel Denetim Sistemleri (ICS), Merkezi Kontrol ve Bilgi Toplama (SCADA) yahut kısaca OT olarak isimlendiriliyor.
OT sistemlerinin kullanıldığı ağlar, ekseriyetle şirketlerdeki BT ortamlarından ve internetten yalıtık hale getiriliyor. Bu sistemler BT çalışanları yerine operasyon işçileri tarafından yönetiliyorlar. Üretim alanları şirketler için saatte milyonlarca dolarlık üretim yaparken, beşerler pak su ve güç üzere muhtaçlıklar için bu kritik altyapılara güveniyor. Bu sistemlerin yalnızca birkaç dakika durması bile yüzbinlerce liralık ziyana sebep olabiliyor, tıpkı vakitte çalışanları ve hizmet alan insanları olumsuz etkileyebiliyor.
BT bilgi idaresi ile ilgilenirken, OT ise bir şeyler üretmeye odaklanıyor. OT sistemlerinin büsbütün izole edilmesi, BT dünyasının uzun müddettir karşılaştığı bir zahmet olan bilgisayar korsanlığına karşı dayanıklılık algısını beraberinde getirdi.
Lakin yakın vakitte yaşanan ataklar, aksini ispatladı.
Bu sistemleri ve OT altyapılarını amaç alan siber taarruzlar giderek artıyor ve kıymetli ziyanlara neden oluyor. Birinci resmi OT saldırısı olarak gösterilen on yıl evvelki Stuxnet atağında amaç alınan sistem rastgele bir dış ağ ile teması olmayan inançlı bir temastı, ancak yeniden de dokunulmaz değildi. 2017’de NotPetya fidye yazılımı da üretimi aksattı ve ofislerin kapanmasına sebep oldu. Birebir yıl içerisinde Trisis/Triton berbat hedefli yazılımı petrol ve gaz üretimi ekipmanlarının güvenlik araçlarını maksat aldı. 2020’de de ICS sistemlerini maksat alan Ekans yahut Snake olarak bilinen fidye yazılımı ortaya çıktı.
Fizikî Yalıtım Yok Oluyor
OT ortamlarını gaye alan hücumların artmasında birkaç faktör rol oynuyor.
İzolasyon tekniği OT sistemlerine erişilmesini zorlaştırdı lakin sistemleri yalıtmak hiçbir vakit kesin güvenlik sağlamadı. Fizikî erişim oluşturmak ise otoparkta virüslü USB belleği bırakmak yahut bir işçinin gerisinden binaya girmek üzere yollarla her vakit mümkün.
Ayrıyeten endüstriyel makinelerin bakımı ve tamiri için gereken erişim, ICS araçlarının uzaktan güncellenmesi yahut uzaktan yapılan aygıt yazılımı güncellemeleri, OT ortamlarının zayıf noktaları haline gelebiliyor.
Fakat BT ve OT ortamlarının birleşmeye başlamış olması ve bu yüzden OT’nin BT ortamı üzerinden gerçekleşebilecek akınlara karşı savunmasız hale gelmesi ise en değerli faktör olarak öne çıkıyor. Bilgiyi ve üretim süreçlerini birleştirmek, kurumların pazarda yaşanan değişimlere daha süratli ahenk sağlayabilmesini ve sistemleri uzaktan yönetip denetim edebilmesini sağlıyor. Ancak bu avantajlar kimi riskleri beraberinde getiriyor. Bilhassa OT ekipmanlarını gaye alan yeni makûs gayeli yazılımlar, sistemlerin zayıf noktalarını bulan arama ve taşıma bileşenlerini kullanarak BT ortamını ve ağ irtibatlarını istismar edebiliyor ve endüstriyel denetim sistemlerine erişim sağlayabiliyor.
Trisis/Triton isimli makûs maksatlı yazılım, petrokimya tesisleri tarafından kullanılan güvenlik ve kontrol sistemlerini maksat alıyor. OT’ye özel olan bu siber taarruzun güvenlik sistemine sızabilmek için kullandığı süreçler, prosedürler ve teknikler büsbütün BT’ye ilişkin siber atak, arama ve ulaşım metotlarından oluşuyor.
BT ve OT Ortamları Birleşiyor
BT ve OT ortamlarının birleşimi, finansal ve operasyonel manada yararlar sunduğu için OT ağlarına yönelik artan risklere karşın gerçekleşmeye devam ediyor. Operasyon grubu, BT sistemlerinde çalışan yazılım ve data tabanlarını kullanan gelişmiş denetim sistemlerini çalıştırıyor. Wi-Fi özelliğine sahip termostatlar ve vanalar, BT altyapısı üzerinden uzaktan gözlenebiliyor ve denetim edilebiliyor. Lakin maliyetlerden sorumlu yöneticiler (CFO), birbirinden farklı ağların ve ağları çalıştıran farklı takımların oluşturduğu maliyetleri azaltmaya çalışıyor.
BT ve OT ortamları bir ortaya getirildiğinde daha gelişmiş bir süreç ve iş verimliliği oluşuyor. Hasebiyle bu birleşim gerçekleştiği için şirketlerin siber risklerin arttığını kabul etmesi gerekiyor.
Siber saldırganların hedefleyebileceği aygıt sayısı arttığı için dijital taarruz tabanı genişletiyor. Sayıları artan ağ sunucuları, şubeler, uzaktan yahut meskenden çalışanlar ve Objelerin İnterneti aygıtları, BT ağına bağlanan ve oradan da OT ortamına geçiş yapabilen potansiyel bir geçit misyonu görebiliyor. Tıpkı formda BT sistemlerine bağlı birçok OT sistemi de aktüel tehditler karşısında eskimiş olabileceği için daha savunmasız hale geliyor.
Fortinet’e nazaran tehlikelerin yalnızca sayısı değil, gelişmişlik seviyeleri de artıyor. Şirketler dijital dönüşüm seyahatlerinde çeşitli yazılımlar geliştirirken, siber saldırganlar da tıpkı teknikleri kullanarak son derece karmaşık ve çeşitli makûs maksatlı yazılımlar üretiyor. Yaptıkları taarruzlar, BT ve OT ortamlarına sızarken güvenlik basamaklarını geçmek için birçok farklı sistem kullanıyor.
Günümüzde güvenlik araç sayısının çok yüksek olması, tehlikelerin üstesinden gelmeyi daha da zorlaştırıyor. Anketler aşikâr büyüklükteki birçok şirketin neredeyse her biri farklı tedarikçilerden olmak üzere 30-90 ortası güvenlik aracı kullandığını gösteriyor. Birbirinden farklı idare konsollarına sahip güvenlik araçlarını kullanabilmek için şirketlerin eğitimli elemanlara sahip gerekiyor. Lakin birden fazla vakit güvenlik elemanlarının her bir araçla ilgilenecek vakti ve kaynağı olmuyor. Bu yüzden siber hücumlar bu karmaşa içinde tespit edilmeden sisteme sızabiliyor.
Siber atakları ve şahsî bilgilerin korunmasını ele alan regülasyonlar, BT ve OT yöneticileri için güvenliği daha da sıkılaştırıyor. Kurumların anlaması ve takip etmesi gereken PCI-DSS (Ödeme Kartları Kesimi Bilgi Güvenliği Standartları), GDPR (Genel Data Müdafaa Tüzüğü), ve NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) üzere birtakım genel standartlar bulunuyor. Bunlara ek olarak çeşitli kuruluşların oluşturduğu ISO (Uluslararası Standartlar Teşkilatı) ve ANSI (Amerikan Ulusal Standartlar Enstitüsü) üzere güvenliğin nerede ve nasıl uygulanması gerektiğini belirleyen dallara özel standartlar ve regülasyonlar da var.
Maksat Alınan Şirketlerin Mağdur Olmamak için Yapması Gerekenler
OT ortamları siber saldırganların ilgisini çekiyor ve bu yüzden her an bir atak gerçekleşebilir.
ICS yahut SCADA sistemlerinin yer aldığı örneklerde yatırımların değerli derecede eksik olduğu gözlemleniyor. Bunun birçok nedeni var lakin evvel bu durumun düzeltilmesi gerekiyor. Kurumların BT ve OT ortamlarını birleştirmese bile aşağıdaki kimi yüksek düzeyli güvenlik tedbiriyle Operasyonel Teknolojilerini muhafazası gerekiyor.
Giderek artan riskleri tanımlamak ve buna karşı tedbir almak için harekete geçmek.
OT ve BT ağlarına kapsamlı görünürlük sağlayacak güvenlik araçlarını yerleştirmek. Bu araçların aygıtları tanıyabilmesi ve envantere dahil edebilmesi gerekiyor. Birebir vakitte erişim müsaadesi olan çalışanlara denetim erişimi sağlaması ve uygulamalar ve trafik üzerinde görünürlük sağlaması da değerli.
Bir bölümleme stratejisi geliştirmek. BT ve OT alanları ortasına sıkı unsurlara sahip geçitler entegre ederek bu tekniğin OT ağının farklı düzeyleri ortasında uygulanması sağlanabilir. Bu süreçle her sistemin ve altsistemin yalnızca yapmaları gereken işleri yapması hedeflenmeli. Zira bölümleme süreci, bir noktadan başlayıp her yere yayılan taarruzların önüne geçebiliyor.
Açık ve itimat temelli erişim sistemi yerine sıfır inanç stratejisini kullanmak. Kullanıcıyı doğrulayacak erişim denetimleri sayesinde çalışanların yalnızca işlerini yapmaları için gereken sistemlere bağlanması sağlanabilir ve bağlıyken de denetlenebilir. Bu formülün herkese uygulanması gerekiyor lakin bilhassa tedarikçiler üzere üçüncü taraf şirketlerin buna dahil edilmesi hayati değere sahip.
Hadiselerin tahlilinde dayanak ve tepki suratınızı arttırmak için otomasyondan faydalanmak. Aktiviteleri kaydeden araçlar, bu kayıtlarda olağandışı davranışlar arayan analitik sistemler ve bu tespit edilen tehditlere karşılık verebilen güvenlik sistemleri kurulmalı. Otomasyon ve orkestrasyon, günümüzdeki taarruzların suratı göz önünde bulundurulduğunda birkaç saniye içerisinde tehditleri saptayabilmek ve harekete geçebilmek için çok değerli.
Bir sızıntı durumunda denetleme için bir süreç sürecine ek olarak yedekleme, kurtarma ve tamirat için kural ve strateji dokümanı oluşturmak.
