ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kritik altyapıyı hedef alan artan siber tehditleri ele almak amacıyla, kuruluşların güvenli operasyonel teknoloji (OT) ürünlerini seçmesine ve dağıtmasına yardımcı olmak üzere tasarlanmış yeni bir adım adım kılavuz yayınladı.
başlıklı kılavuz “Talebe Göre Güvenlik: OT Sahipleri ve Operatörleri için Dijital Ürünleri Seçerken Öncelikli Hususlar” Siber saldırılara karşı dayanıklılık sağlamak için temel güvenlik özelliklerini ve ürün tedarikinde dikkate alınması gereken hususları vurgulamaktadır.
Operasyonel Teknoloji Neden Daha İyi Güvenliğe İhtiyaç Duyuyor?
Enerji, ulaşım ve su gibi kritik altyapı sektörleri, temel hizmetleri yönetmek için OT sistemlerine güveniyor.
Ancak OT cihazları, zayıf kimlik doğrulama, sınırlı günlük kaydı ve güncel olmayan protokoller gibi güvenlik açıkları nedeniyle sıklıkla siber saldırganlar tarafından hedef alınmaktadır.
Güvenliğin tasarım ve geliştirme aşamasında güçlendirilmesi, kamu güvenliğini etkileyebilecek ve toplumsal ve ekonomik istikrarı zayıflatabilecek aksaklıkların önlenmesi açısından kritik öneme sahiptir.
CISA’nın rehberliği aşağıdakilere vurgu yapmaktadır: Tasarım Açısından Güvenli Siber güvenlik sorumluluğunu operatörlerden üreticilere devretmeyi amaçlayan ilkeler.
Ayrıca, üreticilerin ürün tasarımı aşamasında güvenlik özelliklerini entegre etmelerini zorunlu kılan Avrupa Birliği Siber Dayanıklılık Yasası da dahil olmak üzere küresel düzenleyici çabalarla da uyumludur.
Dikkat Edilmesi Gereken 12 Temel OT Ürün Güvenliği
Belgede, OT sahiplerinin ve operatörlerinin (“alıcılar” olarak anılacaktır) ürün seçerken değerlendirmesi gereken 12 öncelikli güvenlik unsurunun ana hatları çiziliyor. Bunlar şunları içerir:
- Konfigürasyon Yönetimi: Sistem ayarları ve kurtarma yetenekleri üzerinde güvenli kontrol sağlar.
- Baseline Ürünlerinde Oturum Açma: Ek özellikler gerektirmeden tehditleri izlemek ve tespit etmek için yerleşik günlük kaydı.
- Açık Standartlar: Birlikte çalışabilirliği teşvik eder ve satıcıya bağımlı kalmayı önler.
- Mülkiyet: Üreticilere gereğinden fazla güvenmeden operatörlerin sistemleri üzerindeki kontrolünü güçlendirir.
- Veri Koruma: Kritik veri bütünlüğünü ve gizliliğini korur.
- Varsayılan Olarak Güvenli: Ürünler, yaygın tehditlere karşı dayanıklı olacak şekilde güvenlik ayarlarıyla önceden yapılandırılmış olarak gelir.
- Güvenli İletişim: Sistem bütünlüğünü doğrulamak için kriptografik olarak güvenli iletişim.
- Güvenli Kontroller: Kötü niyetli komutları engelleyebilecek ve operasyonel güvenliği koruyabilecek özellikler.
- Güçlü Kimlik Doğrulama: Yetkisiz erişimi sınırlamak için çok faktörlü kimlik doğrulama (MFA) ve rol tabanlı erişim kontrolü.
- Tehdit Modellemesi: Ürün geliştirme sırasındaki potansiyel risklerin şeffaf analizi.
- Güvenlik Açığı Yönetimi: Üründeki güvenlik açıklarını belirlemek ve düzeltmek için güvenilir satıcı süreçleri.
- Yükseltme ve Yama Aletleri: Dayanıklılığı korumak için kolaylaştırılmış, güvenli ve kesintiye neden olmayan güncellemeler.
Kılavuz, alıcıların OT ürün üreticilerini Tasarımla Güvenlilik ilkelerine ve ISA/IEC 62443 ve NIST siber güvenlik çerçeveleri gibi uluslararası standartlara bağlılıklarına göre değerlendirmelerini sağlamayı amaçlıyor.
Alıcılar, bu unsurlarla tasarlanan ürünleri seçerek, kritik sistemleri için uzun vadeli, uyarlanabilir siber güvenlik temelleri oluşturabilir.
CISA ayrıca alıcıların üreticilere sorabilecekleri, güvenlik açığı yönetimi, güncelleme politikaları, sistem birlikte çalışabilirliği ve güvenli iletişim gibi alanları kapsayan pratik tavsiyeler de sağlar.
Kılavuz, alıcıların inovasyonu güvenlik ve dayanıklılıkla dengeleyen ürünlere öncelik vermesi gerektiğinin altını çiziyor.
Küresel İşbirliği ve Geleceğe Etkisi
Bu belge CISA’nın daha kapsamlı bir parçasıdır Talebe Göre Güvenli NSA, FBI gibi kurumlar ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve Kanada Siber Güvenlik Merkezi (CCCS) gibi uluslararası kuruluşlarla ortaklaşa geliştirilen girişim.
Kılavuz, küresel çerçevelere uyum sağlayarak, sınırlar ötesindeki kritik altyapılar için siber güvenliğe yönelik birleşik bir yaklaşım oluşturmayı amaçlıyor.
CISA, girişimin yalnızca güvenli ürün seçim süreçlerini standartlaştırmakla kalmayıp aynı zamanda satıcıları siber güvenlik konusunda proaktif bir yaklaşım benimsemeye teşvik edeceğini umuyor.
Kritik altyapı operatörleri ise gelişen tehditler karşısında sistemlerini korumak ve kamunun güvenini sürdürmek için daha iyi donanıma sahip olacak.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!