Bağlantılı cihazların entegrasyonu, Nesnelerin İnterneti (IoT) ve demiryolu operasyonlarında BT ile OT’nin yakınsaması nedeniyle potansiyel siber tehditlerin genişlemesi arttı.
Bu Help Net Security röportajında, Hollanda Demiryollarının Siber Güvenlik Direktörü/CISO’su ve Hollanda ve Avrupa Demiryolu ISAC’ın eş başkanı Dimitri van Zantvliet, demiryolu sistemlerine yönelik siber saldırılardan, pratik bir siber güvenlik yaklaşımı oluşturmanın yanı sıra siber saldırılardan bahsediyor. mevzuat.
Demiryolu sektörü önemli bir değişimden geçiyor. Bağlı bir cihaz eklendiğinde, saldırganın bundan yararlanmak için yeni bir fırsatı olur. Artan dijital dönüşümle birlikte işiniz nasıl gelişti?
Hollanda Demiryollarında (ancak bu tüm sektörümüz için geçerli), artan dijital dönüşüm, -tehdit ortamı ve -siber mevzuat karşısında siber işlerimiz daha çok siber güvenliğe odaklanacak şekilde gelişti. Bağlı cihazların entegrasyonu, operasyonlarımız genelinde IoT ve IT-OT yakınsaması ile potansiyel siber tehditlere yönelik saldırı yüzeyi büyük ölçüde genişledi.
Bu nedenle, temel sorumluluklarımız, sistemlerimizi ve ağlarımızı siber saldırılardan korumak için sağlam güvenlik önlemlerini uygulamak ve sürdürmektir. Bu, risklerin düzenli olarak değerlendirilmesini ve hafifletilmesini, güvenlik protokolleri ve kontrollerinin uygulanmasını ve demiryolu sektörü düzenlemelerine uygunluğun sağlanmasını içerir.
Ek olarak, BT ve operasyon ekiplerimiz, güvenliği yeni teknolojilerin tasarımına ve dağıtımına entegre etmek ve meydana gelebilecek güvenlik ihlallerini ele almak için olay müdahale planları geliştirmek için stratejik ve GRC ekiplerimizle yakın işbirliği içinde çalışır. Özetle, demiryolu endüstrisinde artan dijital dönüşüm, şirketin varlıklarını ve müşterilerinin ve çalışanlarının verilerini korumak için siber güvenliğe yönelik üst düzey, proaktif ve kapsamlı bir yaklaşıma olan ihtiyacı vurgulamıştır. Siber güvenlik, ChefSache oldu!
Güvenlik olayları ve hizmet kesintisi, demiryolu sistemleri için hasara neden olabilir. Siber saldırılar artıyor mu? En çok ne tür saldırılar görüyorsunuz? Paylaşabileceğiniz ilginç teknikler var mı?
Evet, %100. (Avrupa) Demiryolu ISAC’ımız, yerel NCSC’lerimiz ve ENISA ile birlikte sektörde meydana gelen tüm olayları takip ediyoruz. Daha önce de belirttiğiniz gibi bu hayati sektör de dijital sistemlere ve bağlantılı cihazlara daha bağımlı hale geldiğinden, demiryolu endüstrisine yönelik siber saldırılar son yıllarda artmaktadır. Gördüğümüz saldırı türleri şunları içerir:
- Kimlik avı ve sosyal mühendislik: Bu saldırılar, çalışanları hassas bilgileri vermeleri veya bilgisayarlarına kötü amaçlı yazılım yüklemeleri için kandırmayı içerir.
- Fidye yazılımı: RU’ların/IM’lerin dosyalarını şifreleyen ve dosyalara yeniden erişim sağlamak için fidye ödenmesini talep eden bir bilgisayar korsanı.
- DDoS saldırıları: Bu tür saldırılar, normal işleyişini bozmak için bir ağın yoğun trafikle yüklenmesini içerir.
- Tedarik zinciri saldırıları: tedarikçilerimizin yazılımlarındaki güvenlik açıkları ve saldırılar.
- İçeriden gelen tehditler: casusluk, sabotaj ve veri sızıntısı, radarımızdaki risklerdir.
- Ukrayna’da devam eden savaşla birlikte, yeni Araçların, Tekniklerin ve Prosedürlerin (TTP’ler) geliştirildiği ve konuşlandırıldığı o bölgedeki demiryolu altyapısına yönelik saldırıların arttığını görüyoruz. Batılı şirketlere olası yayılma etkileri olan OT kötü amaçlı yazılım geliştirmelerini ve silici yazılım saldırılarını yakından izliyoruz.
Çalışanları siber güvenliğin önemi ve yukarıda açıklanan yöntemler konusunda eğitiyor ve eğitiyoruz. Bu, çalışanların sosyal mühendislik saldırılarına karşı duyarlılığını test etmek için düzenli güvenlik farkındalığı eğitimi ve simüle edilmiş kimlik avı kampanyalarını içerir. Son olarak, hem güvenlik duvarları ve saldırı tespit sistemleri gibi geleneksel BT güvenlik kontrollerini hem de OT kontrol sistemine özel güvenlik kontrollerini ve sürekli siber politika gibi yeni yaklaşımları içeren çok katmanlı ve sıfır güven güvenlik yaklaşımını uyguladık ve üzerinde sürekli çalışıyoruz. uygulama.
Bir demiryolu sistemi için pratik bir siber güvenlik yaklaşımı oluşturmak isteyen yeni atanan bir CISO’ya ne tavsiye edersiniz? Nereden başlamalı?
Pekala, ilk 100 gününüzde atabileceğiniz birkaç önemli adım var:
- (İç) ağınızı oluşturmaya başlayın ve paydaşlarınızın haritasını çıkarın. Kuruluşun güvenilir danışmanı sizsiniz ancak sizi nerede bulabileceklerini bilmeleri gerekiyor. Röportajlar yapın ve organizasyonda neler olup bittiğini dinleyin. İş sürücülerine nasıl katkıda bulunabileceğinizi anlayın.
- Bir risk değerlendirmesi yapın: Potansiyel güvenlik açıklarını ve tehditleri belirlemek için kuruluşunuzun varlıkları ve sistemleri üzerinde kapsamlı bir risk değerlendirmesi yaparak başlayın. Bu, çabalarınıza öncelik vermenize ve kuruluş için en kritik alanlara odaklanmanıza olanak tanır.
- Bir güvenlik stratejisi geliştirin: Risk değerlendirmenizin sonuçlarına göre, belirlenen tehditlere karşı korunmak için bir Bilgi Güvenliği Yönetim Sistemi (BGYS), politikalar, prosedürler ve kontroller içeren kapsamlı bir güvenlik stratejisi geliştirin. Bu, hem geleneksel BT güvenlik önlemlerini hem de OT kontrol sistemine özgü güvenlik kontrollerini içermelidir.
- Bu güvenlik kontrollerinin uygulanmasını denetleyin: Bir strateji oluşturduktan sonra, sistemlerinizi ve ağlarınızı korumak için gerekli güvenlik kontrollerini uygulayın.
- Çalışanları eğitin: Siber güvenlik paylaşılan bir sorumluluktur ve tüm çalışanların siber güvenliğin önemini anlaması ve olası tehditleri nasıl tespit edip bunlara yanıt vereceğini bilmesi önemlidir.
- İzleme ve bakım: Sürekli izleme ve bakım, güvenlik kontrollerinizin etkili kalmasını ve yeni tehditlerin zamanında tanımlanıp ele alınmasını sağlamak için gereklidir.
Kendinizi ve ekiplerinizi bu önemli noktalarla sınırlamayın, aynı zamanda uyumluluk, olaylara müdahale ve tedarik zinciri işbirliği üzerinde çalışın. Meslektaşınız CISO’dan tavsiye istemekten çekinmeyin, ben de rehberlik etmekten memnuniyet duyarım.
Yamaları veya yükseltmeleri olmayan eski varlıklarla nasıl başa çıkıyorsunuz?
Evet, bu sistemler hala kullanımda olabileceğinden ancak artık satıcı tarafından desteklenmediğinden, bu her zaman bir zorluktur. Bazı varlıkların (trenler gibi) 30 yıllık bir kullanım ömrü vardır. Biraz bu varlığın çalıştığı Purdue seviyesine bağlıdır, ancak bu sorunu çözmenin yollarından bazıları şunlardır:
- Ağ bölümleme: onları ağın geri kalanından mantıksal olarak izole edin, böylece bir saldırgan sistemin güvenliğini aşmayı başarırsa, ağın diğer bölümlerine yatay olarak hareket edemezler.
- Hava aralığı: Diğer bir seçenek de, eski sistemi ya tamamen bağlantısını keserek ya da ayrı, yalıtılmış bir ağa yerleştirerek ağın geri kalanından fiziksel olarak ayırmaktır.
- Erişimi sınırlayın: Eski sisteme erişimi olan kişi sayısını sınırlayın ve güçlü kimlik doğrulama ve yetkilendirme kontrolleri uygulayarak erişimi kontrol edin.
- Elbette daha fazla kontrol mümkündür, ancak sonunda; eski sistemi daha yeni, daha güvenli bir alternatifle değiştirmeyi ciddi olarak düşünün.
2022 tarihli Kritik Altyapı için Siber Olay Raporlama Yasası (CIRCIA), hizmet kesintileri ekonomiyi veya kamu güvenliğini tehlikeye atabilecek kurumları, grupları ve şirketleri kapsar. Bu konudaki düşünceleriniz nelerdir?
Havuzun diğer tarafındaki arkadaşlarımızın neler geliştirdiğini yakından takip ediyoruz. Başkanınız siber güvenliği benimsemiş görünüyor ve ben de yakın zamanda onun Siber Güvenlik Direktörü Chris Inglis ile görüşme ayrıcalığına sahip oldum. Hayati altyapılar, saldırılar için özel hedefler olacaktır, bu nedenle dayanıklılığı hızlandırmak için mevzuatın yürürlükte olması bence mükemmel. Bilerek uymayan kuruluşlara para cezası verme olanaklarına sahip olmak da gereklidir. Tedarik zincirinin en zayıf halkası kadar güçlüyüz. Avrupa’da benzer şekilde NIS direktifini uygulamak için çalışıyoruz ve son zamanlarda Komisyon NIS2– ve Critical Entities Resilience (CER) direktiflerini yayınladı. Bu girişimleri alkışlıyorum.
Genel olarak, hizmet kesintileri ekonomiyi veya kamu güvenliğini tehlikeye atabilecek kurum, grup ve şirketlerin siber olayları bildirmelerini zorunlu tutmanın, kritik altyapımızın güvenliğini artırmaya yönelik olumlu bir adım olduğuna inanıyorum. Kuruluşlar, olayların raporlanmasını zorunlu kılarak, sektörün genel güvenliğini iyileştirmeye yardımcı olacak tehditler, güvenlik açıkları ve en iyi uygulamalar hakkında bilgi paylaşabilecektir.
Ayrıca yeni siber mevzuatın doğru yönde atılmış önemli bir adım olduğuna inanıyorum, ancak bu yapbozun sadece bir parçası. Kuruluşlar, kritik altyapılarını siber tehditlerden etkili bir şekilde korumak için siber güvenliğe bütüncül ve proaktif bir yaklaşım benimsemelidir. Bunu yapmak için doğru taahhüde sahip olursak, Demiryolu Sektörünün her geçen gün daha dirençli hale geleceğinden eminim!