Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC), kritik ulusal altyapı (CNI) organlarına ve operasyonel teknolojiye (OT) dayanan diğer kuruluşlara yardımcı olmak üzere tasarlanmış yeni bir kılavuz yayınlamak için Five Eyes ortakları ve Avrupa Birliği’ndeki (AB) diğer kurumlarla güçlerini birleştirdi. ) satın alma kararları verirken ürünlerde gelişmiş güvenlik talep ediyorlar.
CNI operatörleri, çoğu düşman istihbarat teşkilatlarının emriyle çalışan kötü niyetli aktörlerin neredeyse sürekli tehdidi altındayken, NCSC, tasarım gereği güvenlik ilkelerine bağlı ürün ve üreticilerin seçimi konusunda net bir rehberlik sağlamayı hedeflediğini söyledi. kendi sistemlerine dayanıklı bir temel kazandırmak ve siber saldırıların oluşturduğu riskleri en aza indirmek.
Tarihsel olarak bu tür bileşenler, tehdit aktörlerine teknoloji sitelerine erişmeleri için açık bir pencere sağlayacak şekilde güvenlik öncelikli olarak (veya çoğu durumda hiç) geliştirilmemiştir; giderek daha fazla OT bileşeni daha geniş BT sistemlerine bağlandıkça bu pencere çok daha geniş hale gelmektedir. .
Üstelik başarılı bir uzlaşma birden fazla kurban arasında kolayca kopyalanabildiği için bu tür bileşenler sıklıkla yoğun bir şekilde hedef alınır.
NCSC’nin ulusal dirençlilik ve gelecek teknolojisi direktörü Jonathan Ellison, “Siber saldırganlar dünya çapında operasyonel teknolojiyi giderek daha fazla hedef alırken, kritik altyapı operatörleri için güvenliğin kullandıkları sistemlere dahil edilmesini sağlamak hiç bu kadar hayati olmamıştı” dedi.
“Bu yeni kılavuz, kuruluşlara, satın alma kararları verirken tasarımı gereği güvenli olan OT ürünlerine nasıl öncelik verecekleri konusunda pratik tavsiyeler vererek, karşılaştıkları gerçek siber tehditleri azaltmaya yardımcı oluyor.
“Birleşik Krallık’taki OT sistem operatörlerine, siber dayanıklılıkları için güçlü bir temel oluşturmalarına yardımcı olmak ve üreticilere güvenliğin ürünler için ekstra bir özellik değil, talep edilen bir gereklilik olduğu sinyalini vermek için bu rehbere uymalarını şiddetle tavsiye ediyorum.”
NCSC’nin Amerikalı mevkidaşı CISA’nın web sitesinden resmi olarak indirilebilen kılavuz, hem kendilerini savunmaya yardımcı olmak hem de üreticileri daha iyisini yapmaya zorlamak için OT kullanıcılarının satın alma süreçlerine entegre etmeleri gereken 12 güvenlik hususunu ortaya koyuyor.
Alıcıların dikkat etmesi gereken ve bu soruların cevabının her zaman ‘evet’ olması gereken hususlar şunlardır:
- Ürün, konfigürasyon ayarlarında ve mühendislik mantığında yapılan değişikliklerin kontrol edilmesini ve izlenmesini destekliyor mu?
- Temel ürün, konfigürasyon değişiklikleri, güvenlik ve emniyet olayları dahil olmak üzere tüm eylemlerin açık standart formatlar kullanılarak günlüğe kaydedilmesini destekliyor mu?
- Ürün, güvenli işlevsellik ve hizmetleri desteklemek ve yapılandırma ayarlarını ve mühendislik mantığını taşımak için açık standartları kullanıyor mu?
- Ürün, bakım yapma ve diğer değişiklikleri yapma ve tedarikçiye bağımlılığı en aza indirme yeteneği de dahil olmak üzere sahiplere ve operatörlere ürün üzerinde tam özerklik veriyor mu?
- Ürün, yapılandırma ayarları ve mühendislik mantığı da dahil olmak üzere verilerin, hizmetlerin ve işlevlerin bütünlüğünü ve gizliliğini hem beklemede hem de aktarım sırasında koruyor mu?
- Ürün, tüm sürümlere tüm güvenlik özelliklerini dahil ederek, varsayılan şifreleri ortadan kaldırarak ve karmaşık şifrelere izin vererek, saldırı yüzeylerini azaltan ve sahiplerin üzerindeki yükü ortadan kaldıran, eski protokollerin varsayılan olarak devre dışı bırakıldığı, güvenli ‘kutudan çıktığı gibi’ geliyor mu? harici arayüzleri ortaya çıkarmak ve kullanıcılara bunları orijinal durumuna sıfırlama olanağı vermek mi?
- Ürün, ‘yüksek sesle’ başarısız olan, ancak kritik süreçlerin devam etmesine izin veren ve önemli siber beceriler gerektirmeyen güvenli kimlik doğrulamalı iletişimleri destekliyor mu?
- Ürün, kötü niyetli komutlar gönderen tehdit aktörlerine karşı onu koruyan, temel işlevlerin kullanılabilirliğini koruyan ve bir olayın daha geniş sistemler üzerindeki etkisini en aza indiren güvenli kontrollerle birlikte geliyor mu?
- Ürünün temel sürümü, çok faktörlü kimlik doğrulama veya rol tabanlı erişim kontrolü gibi önlemler yoluyla yetkisiz erişime karşı uygun şekilde koruma sağlıyor mu?
- Ürünün nasıl ele geçirilebileceğini ve bu tür senaryoları azaltmaya yönelik tedbirleri ortaya koyan tam ve ayrıntılı bir tehdit modeli var mı?
- Ürün üreticisinin test, destek ve yönetim ile ücretsiz yamalamayı da içeren bir güvenlik açığı açıklama ve yönetim programı var mı?
- Üründe, orijinalin artık desteklenemediği durumlarda kullanıcıların desteklenen bir işletim sistemine ücretsiz geçiş yapmalarını sağlayan, iyi belgelenmiş ve basit bir yama ve yükseltme süreci var mı?
Siber emniyet kemerleri
Bugün yazan CISA direktörü Jen Easterly, mevcut durumu, kamuoyu baskısının otomobil üreticilerini standart olarak emniyet kemerleri, kilitlenme önleyici frenler ve benzeri güvenlik özelliklerini geliştirmeye başlamaya zorlamasından hemen önceki dönemle karşılaştırdı. ABD’de, yüksek yollardaki ölümlere yönelik öfke, 60 yıl önce çığır açan bir metnin yayınlanmasından kaynaklanıyordu: Her Hızda GüvensizTüketici savunucusu ve politikacı Ralph Nader tarafından.
“Siber güvenlik sorunumuz yok; Yazılım kalitesi sorunumuz var” dedi Easterly. “Artık, yabancı düşmanların kusurlu yazılımlardan aşırı derecede yararlandığı bir devrilme noktasındayız ve bu tanınma, daha iyi güvenlik için ortak bir talebe yol açıyor.
“Otomobil güvenliği reformlarının ancak halkın temel standart olarak daha güvenli arabalar talep etmesiyle başarılı olması gibi, yazılım endüstrisi de güvenli tasarıma yalnızca biz onu işleyen, güvenli, dijital bir ekosistemin temeli olarak talep ettiğimizde öncelik verecektir.
“Tasarım gereği güvenlik girişimi, tıpkı kamu güvenliği kampanyalarının ülkeye araçlarının güvenlik özelliklerini nasıl değerlendireceğini öğrettiği gibi, müşterilere yazılımları hakkında satıcılara sorabilecekleri önemli sorular sunarak bu talebi destekliyor. Kullanıcıları güçlendirerek yazılım güvenliğinde sarsıcı bir değişim yaratmayı hedefliyoruz.”