Bilimsel araştırma ortamları açıklık ve işbirliği için oluşturulmuştur ve genellikle geleneksel kurumsal güvenlik yerine uzun vadeli keşiflere öncelik verilmektedir.
Bu Help Net Security röportajında, Amerika’nın parçacık fiziği ve hızlandırıcı laboratuvarı Fermilab’ın CISO’su Matthew Kwiatkowski, siber güvenlikteki kör noktaların nerede ortaya çıktığını, kullanılabilirliğin neden gizlilikten daha ağır basabileceğini ve güvenlik ekiplerinin bilimsel ilerlemeyi desteklerken karmaşık, eskiye dayalı araştırma altyapısını nasıl koruduğunu tartışıyor.
Altyapı, güvenlik mühendisleri yerine bilim insanları tarafından tasarlandığında ne tür güvenlik kör noktaları ortaya çıkıyor?
Bu durum son on yılda iyileşme gösterdi. Bağlam olarak, son 25 yıldır Enerji Laboratuvarı Dairesi (DOE) kompleksinin BT/siber alanında çalışıyorum. DOE kompleksindeki BT liderleri/CIO’lar, büyük ölçüde farklı konfigürasyonlara sahip olabilen ticari BT ve bilimsel BT’yi çökertmek için büyük adımlar attı ve ilerlemeler kaydetti.
Eğer işbirliği olmazsa genellikle ortaya çıkan ürün, uygulamaları çok riskli olan harika bir bilimsel örnek olur. Risk genellikle normal siber süreçler tarafından yakalanır ve buna göre azaltılır; ancak BT/siber işbirliğinin değerini gören bilim insanları genellikle harika bir bilimsel örnekle de karşılaşırlar. Uygulamada neredeyse hiçbir ölçülebilir olumsuz etki veya maliyet olmaksızın yönetilen bir risk de vardır. Projede işbirliği çok erken planlanırsa siber güvenliğin değer sağlayabileceğini gördük.
İnsanlar “bilim altyapısı” dendiğinde genellikle üniversiteleri veya ulusal laboratuvarları düşünürler; ancak siber güvenlik açısından bakıldığında en çok hangi tür ortamlar yanlış anlaşılıyor veya gözden kaçırılıyor?
Fermilab’da kamuya açıklanabilecek birçok bilimsel bilgiye ev sahipliği yapıyoruz. Veri türleri son derece teknik makalelerden terabaytlarca deneysel verilere kadar değişebilir. Olmamamız gereken bilgileri sızdırdığımıza dair düzenli olarak raporlar alıyoruz!
Hizmetlerimizde mevcut olan bilgi miktarı hakkında toplumun ilgili üyelerinden ayda yaklaşık bir rapor alıyoruz. Özellikle kamuya açıklanmasına izin verilen karmaşık yüksek enerjili fizik verileri. Siber güvenlik araştırmacılarının çoğu zaman kafası karışır ve internette laboratuvarın BT ayak izine rastladıkları ve kamuya açık olmayan bilgileri sızdırdığımıza dair iddialarda bulundukları sorunları ararlar. Kamuya açıklanabilecek bilgileri açıkça etiketliyor ve belirtiyoruz, ancak görünen o ki, dağıtım etiketlerini okumaktan daha çabuk rapor veren insanlar var.
Bilimsel topluluklarda güven, açıklık veya işbirliğine ilişkin hangi varsayımlar sıklıkla güvenlik yükümlülüğü haline gelir?
Fermilab’ın, iştiraklerimizin (akademik çevreden ortaklar) ve tesislerimizi deney yapmak için kullanmaya gelen kişilerin bu faaliyetleri gerçekleştirmeye yetkili olduğundan emin olmak konusunda büyük bir sorumluluğu vardır.
Yüksek enerji fiziği dünyasında deneyler, veri toplama ve analizi 5-10 yıl sürebilir. Genellikle, kariyerinin başındaki bilim adamları ve akademisyenler bu süre zarfında birden fazla kurumdan geçerler. Bu, kuruluşumuzun dışında gerçekleşen her hareket için bilgilerin yeniden incelenmesini gerektirir. İşbirliklerini aktif tutmak ve ilişkileri ve kurumları yeniden incelemek göz korkutucu olabilir.
Araştırma için kullanılabilirliğin gizlilikten daha kritik olduğu düşünüldüğünde, güvenlik ekipleri yaklaşımlarını nasıl yeniden ayarlamalıdır?
Neyse ki CIA modelinde (gizlilik, bütünlük ve kullanılabilirlik), NIST çerçevelerine atıfta bulunulduğunda orta düzeyde bütünlük ve/veya kullanılabilirlik, orta düzey gizlilikle aynı kontrol kümesidir. Yani sandığınız kadar çok yeniden kalibrasyon yapılmasına gerek yok.
Ancak gizlilik öncelikli bir konu değildir. Örneğin, kamuya açıklanabilecek bilgiler için, yerel Yetkili Yetkilinin kabulü, halka açık verilerin geniş depolama alanlarının şifrelenmesinden muaftır. Atıl durumdaki şifreleme (EIR), depolama ortamı artık sizin kontrolünüzde olmadığında veri kaybını önleyen bir kontroldür. Dolayısıyla, veriler kamuya açıklanmak üzere incelendiğinde, uygulamaya veya siber kontrole hiçbir değer sağlamayan veri depolarına kontrol uygulamak için fazladan zaman, çaba ve para harcamayız.
Bu sorunun diğer tarafı, Fermilab’ın aynı zamanda gizlilik açısından orta düzeyde kontrol koruma planına giren tipik iş sistemlerine ve özel veri depolarına sahip olmasıdır. Bunun için de bu sistemlere daha standart bir siber yaklaşıma ihtiyacınız var.
Pek çok araştırma ortamı son derece uzmanlaşmış, eskimiş veya özel olarak oluşturulmuş sistemlere dayanır. Deneyimlerinize göre hangi eski teknolojiler en büyük uzun vadeli siber riski oluşturuyor ve bunların değiştirilmesi neden bu kadar zor?
Fermilab bir parçacık hızlandırıcı çalıştırıyor. Bu hızlandırıcı tek seferlik hassas bir makine olarak üretildi. Bu makineyi çalıştıran birçok özel BT ve OT parçasının olduğunu hayal edebilirsiniz. Bileşenlerin değiştirilmesi tipik bir BT değiştirme planına göre yapılmaz.
Bu, ideal teknoloji yenileme döngülerinden daha uzun sürebilir. Buradaki risk, modern siber teknolojiyi eski BT/OT teknoloji yığınına entegre etmenin bazı zorlukları olmasıdır. Neyse ki DOE, uzmanlaşmış OT sistemlerinde uzmanlığa sahiptir ve bu zorluğun üstesinden gelmeye yardımcı olacak sağduyulu rehberlik ve yaklaşımlar yayınlayan DHS/CISA gibi kurumlarla ortaklık kurmuştur.
Buna ek olarak, DOE kendi içinde bu zorluğun farkındadır ve bu büyük zorlukta tüm DOE’ye yardımcı olmak için Ulusal Nükleer Güvenlik İdaresi’nden bir temsilciyle birlikte başkanlığını yaptığım Operasyonel Teknoloji Mükemmeliyet Merkezi’ni (CoE4OT) oluşturmuştur. İlk bulgularımızdan bazıları şunlardır: Eğer kaynaklar bu zorluğa yönelik olarak kullanılırsa, işgücünün becerilerinin artırılması, mimari, konfigürasyon ve sürekli izleme yoluyla bu sorunun üstesinden gelinebilir.