Dünyanın kritik ulusal altyapısına (CNI) yönelik fiziksel tehdit hiç bu kadar büyük olmamıştı. Bir zamanlar Rus gazını Almanya’ya taşıyan Kuzey Akım 1 ve 2 yeraltı boru hatlarının en az 50 metresi, Eylül 2022’nin sonlarında düzenlenen bir saldırıda imha edildi, ancak kimin suçlanacağı belirsizliğini koruyor.
Daha yakın zamanlarda Rusya, Ukrayna’daki savaşını kendi füzeleri ve İran tarafından sağlanan Shahed-136 insansız hava araçlarıyla enerji altyapısını hedef almaya kaydırdı. Ukrayna Devlet Başkanı Volodymyr Zelensky’nin 18 Ekim’de attığı tweet’e göre, “Ukrayna’daki elektrik santrallerinin %30’u yıkıldı ve ülke çapında büyük elektrik kesintilerine neden oldu”, 1 Kasım’da ise Avrupa Komisyonu Enerji Komiseri Kadri Simson ile yaptığı görüşme sırasında , Zelensky, “% 30 ila% 40 arasında [the country’s] enerji sistemleri yok edilmişti.”
Büyüyen Siber Güvenlik Tehdidi
Bununla birlikte, Ukrayna’daki savaştan kaynaklanan fiziksel güvenlik tehditleri ve Doğu ile Batı arasındaki artan gerilimler, CNI’mıza yönelik tek ciddi tehdit değildir. Büyüyen bir siber güvenlik tehdidi de var. 7 Mayıs 2021’de, Houston, Teksas’tan çıkan ve güneydoğu ABD’ye benzin ve jet yakıtı taşıyan Colonial Pipeline, bir fidye yazılımı saldırısını kontrol altına almak için tüm operasyonlarını durdurmak zorunda kaldı.
Bu saldırıda bilgisayar korsanları, çalışanların Dark Web’de bulunan tek bir kullanıcı adı ve parolayı kullanarak şirketin sistemlerine uzaktan erişmesine izin veren bir VPN (sanal özel ağ) hesabı aracılığıyla giriş elde etti. Colonial, Rusya bağlantılı siber suç grubu Darkside’ın üyesi olan bilgisayar korsanlarına saldırıdan kısa bir süre sonra 4,4 milyon dolar fidye ödedi.
Bir yıldan kısa bir süre sonra, GRU’nun Rus siber askeri birimi tarafından işletildiği iddia edilen bir tehdit grubu olan Sandworm, adı açıklanmayan bir Ukraynalı güç sağlayıcının çalışmasını engellemeye çalıştı. “Saldırganlar, hedeflerinin çeşitli altyapı bileşenlerini ele geçirmeye çalıştı: Elektrik trafo merkezleri, Windows ile çalışan bilgi işlem sistemleri, Linux ile çalışan sunucu ekipmanı, [and] Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi (SSSCIP) yaptığı açıklamada, aktif ağ ekipmanı” dedi.
Saldırıyı analiz etmek için Ukraynalı yetkililerle iş birliği yapan Slovak siber güvenlik firması ESET, saldırı girişiminin ICS özellikli kötü amaçlı yazılımların ve normal disk silicilerin kullanımını içerdiğini ve düşmanın Industroyer kötü amaçlı yazılımının güncellenmiş bir varyantını serbest bıraktığını söyledi.
ESET, “Sandworm saldırganları, Industroyer2 kötü amaçlı yazılımını Ukrayna’daki yüksek voltajlı elektrik trafo merkezlerine dağıtma girişiminde bulundu.” Kurbanın elektrik şebekesine iki dalga halinde sızıldığı anlaşıldı; ilk uzlaşma Şubat 2022’de Rusya’nın Ukrayna’yı işgaliyle aynı zamana denk geldi ve ardından Nisan’da saldırganların Industroyer2’yi yüklemesine izin veren bir sızma gerçekleşti.
Dijital Ortamlar
Ağ güvenlik yazılımı konusunda uzmanlaşmış bir İsveç şirketi olan Clavister’ın CEO’su John Vestberg’e göre, “siber suçluların kritik ulusal altyapıya yönelik giderek artan bir tehdit oluşturduğu artık şüphesizdir.” “Petrol ve gaz gibi CNI, fidye yazılımı çeteleri için birincil hedeftir” diye ekliyor. Enerji firmalarının ve tedarikçilerinin, tahmine dayalı analitiği ve AI (yapay zeka) ve ML (makine öğrenimi) teknolojileri gibi araçları kullanarak siber güvenliğe reaktif yerine proaktif bir yaklaşım benimsemeleri gerektiğine inanıyor.
Flexxon markası X-PHY’nin CEO’su ve kurucusu Camellia Chan aynı fikirde: “CNI kuruluşlarının gözlerini toptan ayırmaması çok önemli” diyor. “İyi siber güvenlik, devam eden, proaktif, akıllı ve kendi kendine öğrenen bir süreçtir ve çok katmanlı bir siber güvenlik çözümünün parçası olarak yapay zeka gibi gelişmekte olan teknolojileri benimsemek, her tür saldırıyı tespit etmek ve daha sağlam bir siber güvenlik çerçevesi oluşturmaya yardımcı olmak için gereklidir.”
CNI kuruluşlarının karşılaştığı tek sorun, iyi organize olmuş, genellikle devlet destekli fidye yazılımı çeteleri de değildir. Sorunun bir kısmı, endüstriyel kuruluşların (su ve enerji şirketleri gibi kamu hizmetleri dahil) ortamlarını dijitalleştirdikçe, potansiyel güvenlik zayıflıklarını ve güvenlik açıklarını tehdit aktörlerine geçmişte olduğundan çok daha fazla maruz bırakmalarıdır.
Entegre BT/OT Ağları
Geleneksel olarak güvenlik, bir kuruluşun OT (operasyonel teknoloji) ağı izole edilmek üzere tasarlandığından ve ayrıca özel endüstriyel protokoller ve özel yazılımlar çalıştırdığından kritik öneme sahip olarak görülmese de, artık durum böyle değil.
Bir siber güvenlik otomasyon yazılımı şirketi olan Forescout’ta OT ürün mühendisliğinden sorumlu Başkan Yardımcısı Daniel Trivellato’nun dediği gibi: “OT ortamları modernize edildi ve artık BT ağlarından hava boşluklu değil, bu da daha fazla açığa maruz kaldıkları ve güvenlik önlemlerinin olmayışının tehdit oluşturduğu anlamına geliyor.” kritik risk.” Bu iki ortamı birbirine bağlarken, kuruluşlar tehdit ortamını artırıyor ancak riski azaltmak için uygun önlemleri zorunlu olarak almıyor.
Trivellato’ya göre bu, Industroyer, Triton ve Incontroller gibi ICS’ye ve OT’ye özgü kötü amaçlı yazılımlarla “tehdit aktörleri tarafından fark edilmedi” ve saldırganların saldırılarda kullanmaya başladıkları giderek daha karmaşık yeteneklere sahip olduğunun kanıtı oldu ve bu da pek çok ciddi sonuçla sonuçlandı. olaylar. Trivellato, “Çoğu OT cihazı yamalanamasa da, cihaz görünürlüğü ve varlık yönetimi, segmentasyon ve trafiğin sürekli izlenmesi gibi zayıflıkları gidermeye yönelik uygulamalar var” diye ekliyor.
Izgara Uç Riski
Sıfır güven segmentasyon şirketi Illumio’nun kritik altyapı çözümleri direktörü Trevor Dearing için, enerji şirketlerine saldıran siber suçluları cezbetme nedenlerinden biri de potansiyel olarak sunulan yüksek ödüller. “Çetelerin çoğu, hizmetin müşterilere teslim edilmesini engelleyebilirlerse, şirketlerin fidyeyi sadece veri çalmaktansa ödemeye daha yatkın olduğunun farkına varıyor” diyor.
Bir başka problem de, diyor ki, enerji sistemleri artık elektrik santralleri ve elektrik hatları da dahil olmak üzere sadece geleneksel şebekeden oluşmuyor. Bunun yerine, akıllı sayaçlar, güneş panelleri ve insanların evlerinde ve işyerlerinde piller gibi merkezi olmayan cihazlar olan “grid edge” olarak bilinen şey ortaya çıkıyor. ABD’de 150’den fazla jeneratörün sahibi ve işletmecisi olan Utah merkezli şirket sPower’ın, Mart 2019’da tehdit aktörlerinin Cisco güvenlik duvarlarındaki bilinen bir kusuru kullanarak iletişimleri kesintiye uğrattığı bir siber güvenlik saldırısına maruz kalan ilk yenilenebilir enerji sağlayıcısı olduğuna inanılıyordu. yaklaşık 12 saatlik bir aralık.
Yenilenebilir enerji sistemlerinin saldırılara karşı özellikle savunmasız olmasının bir yolu, eviricileridir. Güneş panelleri ve şebeke arasındaki arabirimi sağlayan bunlar, PV (fotovoltaik) güneş paneli tarafından üretilen DC (doğru akım) enerjisini şebekeye sağlanan AC (alternatif akım) elektriğine dönüştürmek için kullanılır. Eviricinin yazılımı güncellenmemiş ve güvenli değilse, verileri, Ukrayna ve ABD’deki önceki saldırılarla hemen hemen aynı şekilde ele geçirilebilir ve manipüle edilebilir. Ayrıca bir saldırgan, kötü amaçlı yazılımı daha büyük güç sistemine yayarak daha da fazla hasara yol açabilecek bir invertöre kod yerleştirebilir.
Virginia Politeknik Enstitüsü ve Eyalet Üniversitesi’nde doçent olan ve solar PV’nin siber güvenlik riskini değerlendiren 2018 tarihli bir makalenin ortak yazarı Ali Mehrizi-Sani’ye göre, bilgisayar korsanları inverter kontrollerine siber saldırılar başlatmak için bir PV sisteminde yapay bir arıza oluşturabilir ve izleme sistemi.
Kasım 2020’de çevrimiçi yayın PV Tech’e “Bu, güç sistemine saldırmak için kullanılabilecek ve kullanılmış olan bir güvenlik açığıdır” dedi. halka açık yerlere ve binaların üzerine kurulan güneş panelleri ile daha merkezi hale geldikçe, ağları yönetmek giderek daha fazla sağlam, bulut tabanlı IoT güvenliğine güvenecek.
Büyük Düzenleme
Hükümetlerin yanı sıra kuruluşların en yüksek düzeyde CNI koruması sağlamalarının bir yolu da standartların uygulanmasıdır. Örneğin, Almanya birkaç yıl önce BT güvenlik yasalarını çıkardı ve tüm ağ sağlayıcıları, operatörler ve diğer CNI işletmelerinin bilgi güvenliği yönetim sistemleri (ISMS) için ISO 27001 aile standartlarını karşıladıklarından emin olmalarını zorunlu hale getirdi. BSI Kritiklik Yönetmeliğinde, kritik altyapının işletimini güvence altına almak için eksiksiz bir BT güvenlik stratejisini göstermek için öngörülen yükümlülükler vardır.
Benzer şekilde ABD’de NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection) standartlar grubu, Kuzey Amerika’da BES’i (Toplu Elektrik Sistemi) önemli ölçüde etkileyen tüm kuruluşların kritik altyapısını yönetir; ancak bu standartlar dizisi yalnızca elektrik için geçerlidir. ve petrol ve gaz endüstrilerine değil. Bir hukuk, risk ve uyum danışmanlığı firması olan GRCI Law’da siber olaylara müdahale başkanı Cliff Martin’e göre, CNI’dan sorumlu personelin buna göre eğitilmesi ve eylemlerinin gerçek sonuçları olabileceğini anlamaları gerekiyor. “Bu, geleneksel BT siber güvenlik önlemlerini BT ortamına kolayca kopyalayıp yapıştıramayacakları anlamına geliyor – bu şekilde çalışmıyor.”
Ancak Illumio’dan Dearing, giderek daha fazla şirketin hem OT hem de BT ortamları için tek bir strateji geliştirdiğini söylüyor. “Anahtar,” diyor, “ihlal edileceğinizi varsaymak ve buna göre plan yapmaktır. Altyapınızın tüm farklı parçalarını ayırarak bölümlere ayırırsanız, o zaman bir bölüme yönelik bir saldırının mutlaka bir zararı olmayacaktır. diğer tüm parçalar üzerinde zincirleme etki.”
Ukrayna’daki savaş ve Kuzey Akım boru hatlarına yapılan saldırılar, şirketleri, özellikle kuzey yarımkürede kış aylarında enerji altyapısına yönelik fiziksel tehdide karşı uyardı. Ancak, tek endişe bu değil. CNI’ye yönelik siber güvenlik saldırıları, kısmen ulus devlet aktörlerinin artan tehdidi nedeniyle ve aynı zamanda siber suçluların müşterilerin çok ihtiyaç duyduğu bir hizmeti potansiyel olarak reddetmekten ciddi para kazanabileceklerini fark etmeleri nedeniyle artıyor. Aynı zamanda, OT ve BT teknolojilerinin yakınsaması, siber suçluların hedef alması için potansiyel olarak çok daha büyük bir saldırı yüzeyi sağlıyor.
Geleneksel olarak güvenlik, OT için kritik bir husus olarak görülmese de, şirketler CNI’da felakete yol açabilecek bir ihlali önlemek istiyorsa, ağ trafiğinin segmentasyonu ve sürekli izlenmesi gibi teknik çözümlere artan bir odaklanma ile bunun değişmesi gerekiyor.
—Chris Price’ın Hikayesi
Bu hikaye ilk olarak yayınlandı IFSEC Küresel, Informa Network’ün bir parçası ve güvenlik ve yangın endüstrisi için önde gelen haber, özellik, video ve teknik inceleme sağlayıcısıdır. IFSEC Global, video gözetimi, erişim kontrolü, hırsız/yangın alarmları ve koruma gibi köklü fiziksel teknolojilerdeki gelişmeleri ve siber güvenlik, dronlar, akıllı binalar, ev otomasyonu, Nesnelerin İnterneti ve daha fazlasında ortaya çıkan yenilikleri kapsar.