Bu yardımcı net güvenlik görüşmesinde, Siemens’teki dijital endüstriler için Yatay Yönetim Başkan Yardımcısı Michael Metzler, endüstriyel ortamlarda AI ajanlarının konuşlandırılmasının siber güvenlik sonuçlarını tartışıyor. Yarı özerk kararlar veren AI ajanlarıyla birlikte gelen risklerden ve derinlemesine savunma gibi katmanlı bir güvenlik yaklaşımının endüstriyel sistemleri güvende tutmanın anahtarı olduğunu anlatıyor.
Bir AI ajanının, bir enerji tesisi veya üretim hattı gibi kritik bir altyapı ortamında tehlikeye girmesinin etkileri nelerdir? AI ajanlarının geleneksel otomasyon sistemlerine kıyasla endüstriyel ortamlara hangi yeni siber güvenlik riskleri sunuyor?
AI ajanları, endüstriyel otomasyonda önemli bir ilerlemeyi temsil eder ve yarı özerk karar verme özellikleri aracılığıyla yeni yetenekler sunar. Herhangi bir teknolojik ilerlemede olduğu gibi, başarılı uygulama mevcut endüstriyel güvenlik ve güvenlik standartları ve protokolleri ile düşünceli entegrasyon gerektirir.
AI ajanları için sağlam bir güvenlik çerçevesi, otonom sistemler için belirli önlemleri eklerken yerleşik endüstriyel güvenlik ilkelerine dayanmaktadır. Bu, kapsamlı kimlik doğrulama, yetkilendirme ve iletişim protokollerini içerir, ajanların açıkça tanımlanmış operasyonel korkuluklarda çalışmasını sağlar. Sürekli doğrulama, uygun erişim kontrolleri ve davranışsal analitik gibi iyi uygulanan güvenlik önlemleri, kuruluşların operasyonel güvenlik ve güvenliği korurken AI yeteneklerini etkili bir şekilde kullanmalarını sağlar.
Başarılı AI Temsilcisi dağıtımının anahtarı, yenilikçi otomasyon yeteneklerinin kanıtlanmış endüstriyel güvenlik sistemleri ile dengeli entegrasyonunda yatmaktadır. Bu yaklaşım, kuruluşların temel güvenlik ve güvenlik gereksinimlerinin karşılanmaya devam etmesini sağlarken, AI yoluyla faaliyetlerini geliştirmelerine olanak tanır.
Birçok AI ajanı yarı özerk bir şekilde çalışır veya gerçek zamanlı verilere dayalı kararlar alır. Kuruluşlar bu kararların güvensizlikle güvenlik veya güvenlik protokollerini ihlal etmemesini nasıl sağlayabilir?
Endüstriyel ortamlarda AI ajanları, insan yeteneklerini ve gözetimini değiştirmek değil, büyümek için tasarlanmış araçlardır. Bu kavram “döngüdeki insan” olarak bilinir. Bu ajanlar, gelişmiş otomasyon özelliklerinden yararlanırken endüstriyel ortamların korunmasını sağlamak için özenle tanımlanmış korkuluklar ve çoklu güvenlik katmanları içinde çalışır. Merkezi düzenleme yoluyla yönetilen koordineli bir topluluk olarak faaliyet gösterirler. Orkestratör ajanı, tüm bireysel ajanların yetenekleri hakkında kapsamlı bir farkındalığı korur.
Bu yazılım katmanı, ajan yönetimini işler, belirli görev gereksinimlerine göre bunları etkinleştirir veya devre dışı bırakır. Önemli olan: Kullanıcılar, operasyonel ihtiyaçlarına göre belirli ajanları ve yetenekleri seçici olarak dağıtmalarını sağlayan bir arayüz aracılığıyla kontrolü korurlar. Ek olarak, LLM test çerçeveleri kullanılarak istem ve yanıtların kapsamlı testi yapılmalıdır. Bu, sevkiyattan önce potansiyel saldırı senaryolarının belirlenmesine yardımcı olacaktır.
Ayrıca, güvenli üretim ortamları BT departmanları ve üretim personeli arasında yakın işbirliği gerektirir. Başarının anahtarı, BT ve OT uzmanlarının uzmanlıklarını birleştirdikleri ve birbirlerinden öğrendikleri disiplinlerarası ekiplerdir. Sadece bu işbirliği yoluyla kapsamlı bir güvenlik yaklaşımı geliştirilebilir. Ortak bir güvenlik stratejisi, her iki alanın önceliklerini dikkate almak için çok önemlidir. Örneğin, yama yönetimi ve erişim kontrolleri hem BT güvenlik gereksinimlerini hem de OT’nin özel çalışma koşullarını karşılamalıdır. Bu tür stratejiler farklı önceliklerin hizalanmasına yardımcı olur – OT’de kullanılabilirlik ve BT içindeki gizlilik.
OT ortamlarında AI temsilcileri dağıtan kuruluşlar için hangi siber güvenlik kontrolleri veya yönetişim çerçeveleri öneriyorsunuz?
OT sistemlerini güvence altına almak için kanıtlanmış bir yaklaşım, Siemens gibi şirketler tarafından yürütülen “derinlemesine savunma” kavramıdır. Bu çok katmanlı güvenlik yaklaşımı, üretim ortamında birden fazla savunma seviyesi yaratır ve endüstriyel siber güvenlik için önde gelen standart olarak kabul edilen uluslararası endüstriyel standart Serisi IEC 62443’e dayanmaktadır. AI ajanlarının konuşlandırılması bu yaklaşımın bütünlüğünü korur.
Derinlik Savunma Kavramı, üretim alanları için fiziksel erişim koruması, üretim ağlarını ve kontrol sistemlerini yetkisiz erişim, casusluk ve manipülasyondan korumak için organizasyonel ve teknik önlemler de dahil olmak üzere tüm temel güvenlik faktörlerini dikkate almaktadır. Bu kavram, iletişim birimlerini doğrulamaya ve yetkilendirmeye odaklanan sıfır tröst ilkeleri ile tamamlanmaktadır.
AI araçlarını hızlı bir şekilde benimseme baskısı altında olan ancak güvenlik riskleri konusunda endişe duyan CISO’lara veya bitki yöneticilerine ne tavsiye edersiniz?
OT güvenliğini etkili bir şekilde iyileştirmek için, tesis operatörleri öncelikle üretim ortamları hakkında kapsamlı bir güvenlik değerlendirmesi yapmalıdır. Bu tür düzenli değerlendirmeler potansiyel güvenlik açıklarını belirlemeye yardımcı olur. Bu değerlendirmeler, özel koruma gerektiren tesislerdeki kritik bileşenleri ve cihazları tanımlayabilir ve güvenliklerini sağlaması için hedeflenen önlemlere izin verir. Derinlemesine savunma konseptini uygulamak için, değerlendirme sonuçlarına göre çeşitli teknolojiler ve araçlar dağıtılır.
OT sistemleri genellikle büyük değişiklikler olmadan uzun yıllar çalıştığından, tespit edilen güvenlik açıklarını kapatmak için mevcut güncellemeler ve yamalar düzenli olarak uygulanmalıdır. Bununla birlikte, bu tür önlemler, dikkatli bir planlama ve koordinasyon gerektiren üretimi beklenmedik bir şekilde kesintiye uğratmamalıdır. Ayrıca, insan faktörü genellikle siber saldırılar için bir geçittir ve düzenli çalışan eğitiminin güvenlik riskleri konusunda farkındalığı artırmak ve OT güvenlik gereksinimlerini günlük operasyonlarda uygulamak için gerekli kılmaktadır.
AI araçlarını uygularken, tesis yöneticileri kapsamlı bir güvenlik değerlendirmesi ile başlamalı ve daha sonra kritik olmayan süreçlerle başlayan aşamalarda AI ajanları uygulamalıdır. Bunu takiben, mevcut güvenlik protokolleriyle uyumlu net yönetişim çerçeveleri oluşturulmalıdır. Düzenli güvenlik denetimlerinin ve güncellemelerinin sürdürülmesinin yanı sıra personel eğitimi ve güvenlik bilincine yatırım yapmanın yanı sıra çok önemlidir. Başarılı AI entegrasyonunun anahtarı, güvenliğin sonradan düşünce değil, temel bir tasarım ilkesi olarak muamele edilmesinde yatmaktadır.