Operasyonel teknoloji (OT) sistemlerine yönelik saldırılardaki keskin artış, öncelikle iki temel faktöre bağlanabilir: ulus devlet aktörlerinin oluşturduğu artan küresel tehditler ve kâr odaklı siber suçluların (genellikle birincisi tarafından desteklenen) aktif katılımı.
Savunma tarafındaki başarı eksikliği çeşitli faktörlere bağlanabilir: OT ortamlarının karmaşıklığı, bilgi teknolojisi (BT) ile OT’nin yakınlaşması, içeriden saldırılar, tedarik zincirindeki güvenlik açıkları ve diğerleri.
Üreticilerin ve kritik altyapı kuruluşlarının artan siber güvenlik farkındalığına, çabalarına ve harcamalarına rağmen, yaygın bir yanlış adım, siber suçluların erişim kazanmasına yardımcı olabilir: Önleme olmadan görünürlük ve tespit konusunda ısrar etmek.
Olan şu: Daha iyi kontrol sağlamak için birçok CISO ve diğer yönetici siber olaylara ilişkin görünürlük istiyor, ancak böyle bir görünürlük elde etmek için OT ağının BT’ye bağlanması veya durumların çevrimdışı olarak iletilmesi gerekiyor; bunların her ikisi de yeni saldırı yüzeyleri açıyor. Çoğu zaman bu, işleri daha da karmaşık hale getirir.
OT’ye yapılan saldırıların ciddi sonuçlarının giderek daha fazla CISO’yu geceleri uykusuz bırakması şaşırtıcı değil: 2021’de Colonial Pipeline’a yapılan fidye yazılımı saldırısından, 2023’te Kaliforniya’daki bir su arıtma sistemine eski bir yüklenici tarafından yapılan saldırıdan sonra olanları düşünün. Küresel gıda devi Dole’a 2023 fidye yazılımı saldırısı.
Büyük hasara neden olabilecek kötü niyetli dışarıdaki ve içerideki kişilerin yanı sıra, CISO’lar ve güvenlik liderleri günlük insan hatalarıyla da uğraşmak zorundadır.
Siber fiziksel sistemlerin ortaya çıkışı
BT, OT, IoT (Nesnelerin İnterneti) ve IIoT’nin (Nesnelerin Endüstriyel İnterneti) yakınsamasıyla siber fiziksel sistemler (CPS) ortaya çıktı.
Oldukça genişletilmiş bir saldırı yüzeyi, yeni güvenlik açıkları ve gelişmiş saldırı yeteneklerinin birleşimi, saldırganlar için zorlu bir gün anlamına geliyordu. Fidye yazılımları yoluyla büyük paralar kazanabilirler, potansiyel olarak tüm ekonomileri durma noktasına getirebilirler veya daha önce yalnızca fiziksel saldırıların yapabileceği çok büyük hasar türlerine ulaşabilirler (örneğin, su veya elektrik tesislerini durma noktasına getirebilirler).
İş ve teknoloji açısından bakıldığında, birleştirilmiş CPS verimliliğin, değer yaratmanın ve rekabet avantajının anahtarıdır. İşlevselliklerinde kısa bir duraklama bile önemli kayıplara yol açabilir. Ancak CPS birbirine bağlandıkça kuruluşlar da daha savunmasız hale geldi.
Yanlış varsayımlar
Birçok işletme, üretim varlıklarını internetten izole etmenin ihtiyaç duydukları tek koruma olduğu izlenimine kapılmıştı. Saldırıların sıklığı ve kapsamı artmaya devam ederken, sektör liderleri artık hava boşluğunun göründüğü kadar güvenli olmadığını biliyor. Ayrıca, makinelerin ve cihazların internet bağlantısının kesilmesi bunların kullanışlılığını sınırlayabilir.
Bazı satıcıların tavsiye ettiğini gördüğümüz gibi, CPS için doğru siber güvenlik çözümü genel siber güvenlik ürünlerinin bir kombinasyonu olamaz. Bu tür ürünler, BT’nin OT, IoT ve IIoT ile birleşmesinden önce BT ihtiyaçları etrafında oluşturulmuştu. Bu çözümler fiziksel varlıkları veya üretim hatlarının sürekliliğini güvence altına alamaz. Ne olursa olsun veya hassas işleyiş tarzlarına müdahale edilmemesi halinde makinelerin temel görevlerini yapmaya devam etmelerini sağlayamazlar.
Siber saldırılar ve insan hataları dışarıdan, içeriden, tedarik zincirinden ve sözleşmeli diğer üçüncü taraflardan gelebileceğinden, ağ tabanlı bir anormallik tespit çözümü tüm temelleri kapsamayacaktır. Böyle bir çözüm, bir ağ ihlali sonrasında uyarılar sağlayacaktır; Çalınan kimlik bilgilerini kullanan bir saldırıyı veya operasyonel cihazlarda kötü niyetli bir davranışta bulunan bir çalışanı önleyemez.
Modern bir yaklaşım
Günümüzün CPS’si karmaşık ve benzersiz topolojilerle birlikte gelir. Eski sistemleri (uzun süre dayanacak şekilde tasarlanmış) en son yeniliklerle (değişim için tasarlanmış) birleştirirler. Bazı durumlarda, artık BT sistemlerine bağlanan, sonradan takılan ekipmanları da içeriyorlar ve bu da durumu daha da karmaşık hale getiriyor. Ayrıca her üretim ortamı; varlıkların, protokollerin ve operasyonların türüne, kombinasyonuna ve yaşına bağlı olarak benzersizdir.
Böylesine karmaşık bir ortamda siber dayanıklılığa ulaşmanın yolu, korumayı ister eski ister yeni olsun OT cihazlarına odaklamaktır.
Siber önlemeyi mümkün kılmak, kesintisiz CPS süreçlerini ve ultra düşük gecikmeyi desteklemek ve makinenin çalışma süresini her şeyin üstünde tutmak için sıfır güven mekanizması uygulanmalıdır. Çözüm, paylaşılan şifre kültürüne son vermeli ancak mühendislik veya operasyonel süreçleri yavaşlatmamalı. Bu cihaz düzeyindeki sıfır güven yaklaşımı, bir BT/ağ saldırısında bile CPS filolarını koruyabilir.
Cihaz OEM’lerine gelince, ürünlerinin tüm yaşam döngüsü boyunca etkili olabilmesi için ilk tasarım aşamasından itibaren sağlam siber güvenlik önlemleri almaları gerekiyor.
İdeal olarak kuruluşlar, kendi sektörlerini ve benzersiz ihtiyaçlarını anlayan bir tedarikçiden bir çözüm aramalıdır; bu çözüm yalnızca mevcut krizi çözmeye yardımcı olmakla kalmaz, aynı zamanda NIS2 ve Avrupa’daki Siber Dayanıklılık Yasası gibi yeni ortaya çıkan düzenlemelere uyum sağlamaya da yardımcı olur. Union, Amerika Birleşik Devletleri’nde NIST SP 800-82r3 ve Singapur’da CCoP 2.0.