ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), operasyonel teknoloji (OT) ürünleri için siber güvenliği artırmaya yönelik yeni bir kılavuz belge başlattı.
başlıklı kılavuz “Talebe Göre Güvenlik: Operasyonel Teknoloji Sahipleri ve Operatörleri için Dijital Ürünleri Seçerken Öncelikli Hususlar”CISA’nın devam eden Tasarım Yoluyla Güvenli ve Varsayılan Olarak Güvenli girişimlerinin bir parçasıdır.
Kritik altyapı operatörlerini doğası gereği daha güvenli olan OT ürünlerini seçip dağıtmaya yönelik araç ve bilgilerle donatmayı amaçlıyor.
Endüstriyel Kontrol Sistemlerinde Temel Siber Güvenlik Sorunlarının Ele Alınması
Enerji, su, ulaşım ve sağlık gibi kritik altyapı sektörleri, temel operasyonları sürdürmek için büyük ölçüde OT sistemlerine güveniyor.
Ancak OT ürünlerini hedef alan siber saldırıların artan hızı ve karmaşıklığı, daha güçlü, yerleşik güvenlik önlemlerine olan acil ihtiyacın altını çizdi.
Geleneksel BT sistemlerinden farklı olarak, OT cihazları genellikle sürekli çalışma için tasarlanmıştır ve uzun yaşam döngülerine sahiptir; bu da dağıtım sonrası güvenlik düzeltmelerini pratik olmasa da zorlaştırır.
CISA, kılavuzunda mevcut ve yeni ortaya çıkan tehditlere karşı dayanıklılık sağlamak amacıyla üreticiler, operatörler ve varlık sahipleri gibi OT alıcıları için bir dizi öncelikli hususun ana hatlarını çiziyor.
Talebe Göre Güvenlilik çerçevesi, yükün tamamen kritik altyapı operatörlerine yüklenmesi yerine, siber güvenlik sorumluluğunun OT ürün üreticilerine devredilmesini vurguluyor.
OT Ürün Seçimi için 12 Temel Güvenlik Özelliği
CISA’nın kılavuzu, OT alıcılarının yeni ürünleri seçerken değerlendirmesi gereken 12 kritik unsuru tanımlıyor.
Bu öğeler, yaygın güvenlik açıklarını gidermek ve kuruluşlar için riskleri ve operasyonel maliyetleri azaltan güçlü bir siber güvenlik temeli sağlamak üzere seçildi. Önerilen 12 unsur şunları içerir:
| Kategori | Tanım |
|---|---|
| Konfigürasyon Yönetimi | Yetkisiz değişiklikleri önlemek için yapılandırma ayarlarının ve mühendislik mantığının güvenli kontrolü. |
| Temel Üründe Oturum Açma | Siber olayları etkili bir şekilde tespit etmek ve bunlara yanıt vermek için varsayılan günlük kaydı yetenekleri. |
| Açık Standartlar | Satıcıya bağımlı kalmayı önlemek ve sistem esnekliğini artırmak için birlikte çalışabilir standartların kullanılması. |
| Mülkiyet | Alıcıların, üreticilere gereksiz yere güvenmeden sistemleri üzerinde tam kontrole sahip olmalarını sağlamak. |
| Verilerin Korunması | Özellikle yetkisiz erişime karşı OT verilerinin bütünlüğü ve gizliliğine yönelik korumalar. |
| Varsayılan Olarak Güvenli | Bilinen tehditlere anında karşı koyacak şekilde yapılandırılmış ürünler. |
| Güvenli İletişim | Sistem bütünlüğünü doğrulamak için kriptografik olarak güvenli iletişim desteği. |
| Güvenli Kontroller | Kötü niyetli komutlara veya güvenlik saldırılarına direnebilecek özellikler tasarlayın. |
| Güçlü Kimlik Doğrulama | Rol tabanlı erişim denetimi ve kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın (MFA) kullanılması. |
| Tehdit Modellemesi | Ürünün yaşam döngüsü boyunca riskleri öngörmek ve azaltmak için ayrıntılı ve şeffaf bir tehdit modeli. |
| Güvenlik Açığı Yönetimi | Güvenlik açıklarını belirlemek, düzeltmek ve ifşa etmek için güçlü süreçler. |
| Yükseltme ve Yama Aletleri | Operasyonları aksatmadan güvenlik açıklarını gidermek için güvenilir yama yönetimi süreçleri. |
Dayanıklı OT Sistemleri Oluşturma
rehberin öne çıkanları OT ortamlarını hedef alan tehditlere karşı proaktif güvenlik önlemlerinin önemi.
Zorunlu olarak Tasarım ilkeleriyle güvenliOT üreticileri, varsayılan parolalar, şifrelenmemiş iletişimler ve yetersiz günlük kaydı özellikleri gibi yaygın zayıflıkları ortadan kaldırabilir.
CISA’nın tavsiyeleri aynı zamanda ISA/IEC 62443 standartları ve AB’nin Siber Dayanıklılık Yasası da dahil olmak üzere uluslararası en iyi uygulamalarla da uyumludur.
CISA, OT alıcılarının üreticilere ürünleri hakkında kritik sorular sorması gerektiğinin altını çiziyor. Konular arasında bilinen güvenlik açıklarına yönelik güncellemeler, güvenli iletişim protokolleri, açık standartlarla uyumluluk ve bakım özerkliği yer alır.
Bu yaklaşım, altyapı sahiplerinin ve operatörlerinin bilinçli kararlar almasını sağlayarak sistemlerinin dayanıklılığını artırır.
Kılavuzun geliştirilmesinde CISA, aralarında NSA, FBI’ın da bulunduğu önde gelen siber güvenlik ve hükümet kuruluşlarının yanı sıra Avustralya Siber Güvenlik Merkezi (ACSC), Kanada’nın CCCS’si ve Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC) gibi uluslararası ortaklarla işbirliği yaptı.
Belge aynı zamanda NIST’in OT güvenliğine yönelik yönergeleri gibi yaygın olarak tanınan çerçevelerle de uyumludur.
CISA, “Kritik altyapı modern toplumun omurgasıdır ve güvenliği tartışılamaz” dedi. belirtilmiş duyurusunda. “Talebe Göre Güvenlik kılavuzumuz, alıcıları yalnızca operasyonel açıdan verimli değil, aynı zamanda gelişen siber tehditlere karşı dayanıklı olan OT ürünlerini seçmeleri için ihtiyaç duydukları araçlarla donatıyor.”
Kılavuz, OT varlık sahiplerini yalnızca gelişen yasal gerekliliklere uyma konusunda değil, aynı zamanda satın alma kararlarında esnekliğe öncelik verme konusunda da güçlendirmeyi amaçlıyor.
Kuruluşlar, varsayılan olarak güvenli özelliklere sahip OT ürünlerine yatırım yaparak operasyonel kesinti süresini azaltabilir, toplumsal riskleri en aza indirebilir ve halkın güvenini koruyabilir.
CISA’nın Tasarım Yoluyla Güvenli ve Varsayılan Olarak Güvenli girişimleri, teknoloji üreticileri arasında siber güvenlik sorumluluğunu geliştirmeye yönelik devam eden küresel çabaları takip ediyor.
ABD hükümetinin siber güvenlik konusunda hesap verebilirlik yönündeki çabası, üreticilerin güvenliği ürünlerinin tasarım ve geliştirme aşamalarına entegre etmesini zorunlu kılan Avrupa Birliği Siber Dayanıklılık Yasası ile uyumludur.
CISA’nın rehberliği, giderek daha karmaşık hale gelen siber tehdit ortamında yol alan kritik altyapı operatörleri için güncel bir kaynak olarak geliyor.
Kuruluşlar, Talebe Göre Güvenlik kılavuzunda özetlenen önerileri benimseyerek riskleri azaltabilir, güvenlik yatırımlarını optimize edebilir ve olası olaylardan hızla kurtulabilecek şekilde kendilerini donatabilir.
Belgenin tamamına erişmek ve CISA’nın Tasarım Yoluyla Güvenli ilkeleri hakkında daha fazla bilgi edinmek için resmi CISA web sitesini ziyaret edin.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!