Genel ağda yaklaşık 100.000 endüstriyel kontrol sistemi (ICS) bulundu; bu sistem, güvenlik açıklarını araştıran ve yetkisiz erişim riski taşıyan saldırganların eline geçti. Bunlar arasında elektrik şebekeleri, trafik ışığı sistemleri, güvenlik ve su sistemleri bulunmaktadır.
Açık ICS’ler, kritik altyapı sistemlerine yönelik üniteleri (sensörler, aktüatörler, anahtarlar, bina yönetim sistemleri ve otomatik tank göstergeleri) içerir.
Siber güvenlik şirketi BitSight, sorunu birden fazla sektörde tespit ettikten ve 96 ülkedeki birçok Fortune 1000 şirketini etkilediğinden sonra tehdide karşı uyarıda bulundu.
Bitsight, BleepingComputer’a, analistlerinin tüm IP adres alanının toplu ölçekli taramalarından ve bundan üretilen günlüklerden veri çekebileceğini, böylece birden fazla protokolü tanımlayabileceklerini ve her adresteki sistem türünü belirleyebileceklerini söyledi.
Bitsight, günde yaklaşık 400 milyar güvenlik olayını işlediğini ve birkaç yıl öncesine dayanan geniş veri kümesi koleksiyonuyla dünya çapında 40 milyondan fazla kuruluşu aktif olarak izlediğini söylüyor.
Sorunun ölçeği
BitSight, verilerinin her şeyin yıldan yıla daha iyiye gittiğini ve açığa çıkan cihazların sayısının 2019’dan bu yana düştüğünü gösterdiğini bildirdi.
İçlerinde en az bir maruz kalan ICS’nin bulunduğu kuruluş sayısına göre en fazla maruz kalan ülkeler şunlardır:
- Amerika Birleşik Devletleri
- Kanada
- İtalya
- Birleşik Krallık
- Fransa
- Hollanda
- Almanya
- ispanya
- Polonya
- İsveç
ICS güvenliği söz konusu olduğunda hangi sektörlerin en az güvenli olduğu konusunda Bitsight, Eğitim, Teknoloji, Devlet, Ticari Hizmetler, Üretim, Kamu Hizmetleri, Emlak, Enerji, Konaklama ve Finans’ın öne çıktığını söylüyor.
BitSight ayrıca ülkeleri, sektörleri ve açığa çıkan protokolleri ilişkilendirmek için aşağıdaki diyagramı oluşturmuştur.
Risk değerlendirmesi
Endüstriyel sistemler, geniş bir ICS yelpazesinin yanı sıra daha spesifik ancak yaygın olarak kullanılan araçları etkileyebilecek kritik güvenlik açıklarından muaf değildir.
Daha önce Kaspersky, konuşlandırılan tüm ICS’lerin yaklaşık %20’sinin kritik önemdeki kusurlara karşı savunmasız olduğunu tahmin ediyordu.
Devlet destekli bilgisayar korsanlarının kötü amaçlı yazılım bulaştırma vakaları veya ICS’leri hedef alan fırsatçı tehdit aktörlerinin siber saldırıları çok sayıda vakadır ve ABD’deki yetkililer, sistem yöneticilerini kendi kontrolleri altındaki kritik altyapının güvenliğini sağlamaya çağırarak ilgili uyarıları birçok kez yayınlamıştır.
Ancak yalnızca Bitsight’ın verilerine dayanarak, açığa çıkan 100.000 ICS’den kaçının yararlanılabilir olduğunu ve bilgisayar korsanlarının bir saldırıyla baş edebilecekleri hasarın düzeyini tahmin etmek zordur.
Endüstriyel Kontrol Sistemlerine (ICS) güvenli uzaktan erişim için kuruluşların en azından VPN erişimi, çok faktörlü kimlik doğrulama (MFA), rol tabanlı erişim kontrolü (RBAC) ve ağ bölümleme gibi temel güvenlik önlemlerini uygulaması gerekir.