Nicole Darden Ford, Rockwell Automation’da Küresel Başkan Yardımcısı ve CISO’dur. Şirketin siber güvenlik lideri olarak Nicole’e, kurumsal BT varlıklarını işi etkinleştiren ölçeklenebilir, geleceğe hazır platformlarla koruma görevi verilmiştir. Üretim, sağlık ve hukuk dahil olmak üzere farklı sektörlerdeki kuruluşlar için siber güvenlik programları oluşturmaya ek olarak Nicole, halka arz için iki işletmenin konumlandırılmasına yardımcı oldu.
Bu Help Net Security röportajında Nicole, bir endüstriyel kuruluşun siber güvenliğe hazır olup olmadığını değerlendirmek için kullandığı üç temel göstergeyi açıklıyor ve işletmeler ile hükümetler için kritik altyapılarını siber tehditlere karşı güçlendirme konusunda değerli bilgiler sağlıyor. Ayrıca, en son trendleri ve gelişmeleri vurgulayarak, sürekli değişen siber güvenlik ortamına ilişkin uzman bakış açısını paylaşıyor.
Tecrübeli bir CISO olarak, bir endüstriyel kuruluşun siber güvenlik duruşunu ölçmek için değerlendirdiğiniz ilk üç faktör nedir?
İlgili kuruluşlarımızı siber tehditlere karşı savunmak ve korumak için, CISO’lar olarak rolümüz, hızla değişen tehdit ortamında ilerlemeyi hızlandıran akıllı kararlar almak için gereken disiplini uygulamakla başlar. Dünya çapında hükümetler artan siber risklerin farkına varıyor ve gönüllülükten zorunluluğa doğru bir geçiş görüyoruz. Daha fazla hesap verebilirlik için bu artan düzenleyici baskı, siber güvenlik liderliğinin bir kuruluşun riski azaltma becerisi için çok önemli olduğu anlamına gelir.
Endüstriyel kuruluşlar için siber güvenlik duruşunu ölçmek için aşağıdaki üç noktaya bakıyorum:
- Standart bir endüstri çerçevesine uyum (örn. NIST CSF, IEC 62443). Rakipler yeteneklerini artırdıkça ve ilerlemenizi ölçtükçe uyum sağlayabilmeniz için titizlikle başlar.
- OT ortamının değerlendirilmesi. Varlıkları ve bunların neye bağlandıklarını değerlendirip anlamadan, amaçsızız. Bu, çevrede ne olduğuna dair samimi bilgiye sahip olmak ve neyi korumaya çalıştığımızı bilmekle ilgilidir. Boşlukları kapatmak ve yetenekleri olgunlaştırmak için buradayız.
- Sağlam bir OT siber güvenlik planının varlığı. Bir kuruluşun OT siber yolculuğunda olduğu yer, ilerlemeyi ölçmenin önemli bir yoludur. Halı zeminde işe yarayan şey, mutlaka mağaza zemininde işe yaramaz. Üretim ortamındaki siber riskleri ele almak için gereken insan, süreç ve teknoloji yatırımlarını ayırıyor muyuz? Finansal kaynakları optimize eden ve bir OT siber saldırısının gerçek etkilerini ele alan bir yol haritası oluştururken dikkatli olmalıyız.
Kritik altyapıyı hedef alan siber saldırılar, pandeminin başlangıcından bu yana artıyor. İşletmeler ve hükümetler bu yıla hazırlanmak için ne yapabilir?
Kurumlar, zamanla yarışa dönüşen siber ortamda risk bazlı kararlar almak zorunda. Jeopolitik güçler siberi silah olarak kullandığından, siber risk değerlendirmelerinin bir parçası olarak kendi jeopolitik analizlerimizi yapmalıyız. Kritik altyapıya yönelik saldırıların nedenlerini anlamak, siber savunma önlemlerinin belirlenmesine yardımcı olacaktır.
Hazırlığımızı geliştirmek için aşağıdaki eylemlere öncelik veriyorum:
- Bağlamak – Kuruluşunuzu etkileyen tehditler hakkında istihbarat ve bilgi paylaşımını iyileştirmek için stratejik kamu-özel sektör ortaklıkları kurun (örn. CISA’nın Siber Güvenlik Bilgi Paylaşımı ve İşbirliği Programı).
- Angaje etmek – Görevinizi destekleyen doğru uzmanlığı ve insanları getirin.
- Davranmak – Kolayca uygulayabileceğiniz bir planınız olsun. Doğru yeteneğin yerinde olması ve kuruluşunuz için risklerin anlaşılması gerekecektir. İster büyük ister küçük bir kuruluş olun, hepimiz bu işte birlikteyiz ve hazır olmamız gerekiyor.
Teknolojiden ve mevcut bütçeden bağımsız olarak, CISO’lar görünmeze ancak bazen, onu tanımladıktan sonra bile erişebilir ve kontrol edebilir. Kritik altyapıyı koruyan güvenlik liderlerine ne tavsiye edersiniz? Ağlarının güvenliğini sağlamaya nasıl yaklaşmalılar?
Kritik altyapıya yönelik artan tehdit endişe verici ve yetersiz bir ifadeden başka bir şey değil. Geçen yıl, Microsoft’un ulus-devlet bildirimlerinin sayısını kritik altyapıya ikiye katladığını gördük. Bu yüzden, düşmanların kim olduğunu, neyin peşinde olduklarını ve nasıl çalıştıklarını düşünmemiz gerekiyor. Ayrıca, tedarikçi ilişkilerinde istismar edilen güvenlik açıklarını ve zayıflıkları belirlemeye çok dikkat edin.
OT güvenliğinin gözünüzü korkutmasına izin vermeyin. Eyleme yönelik bir önyargı önemlidir.
Yapabileceğimiz şey, temelde mükemmel olmaya odaklanan disiplinli bir yaklaşımı izleyerek süreci basitleştirmeye odaklanmaktır. OT güvenliği için, temel olan ve herhangi bir OT siber güvenlik yol haritasına uyarlanabilen dört adımı içeren “DRIMR” olarak adlandırmayı sevdiğim bir CISO oyun kitabı kullanıyorum.
1. Adım: Keşfet – Nerede durduğunuzu bilin. Bir güvenlik ve risk değerlendirmesi yapın ve tüm sorunları günlüğe kaydedin ve bulgulara göre ilerlemeyi gözden geçirin. Kapsamlı ağ keşfi ve varlık envanterine bağlı kalın.
Adım #2: Düzeltin – Ortadan kaldırmanız, yükseltmeniz veya değiştirmeniz gereken varlıklara öncelik verin. Bu, 1. adımda keşfettiklerinize bağlı olarak farklı görünecektir.
Adım #3: İzole Edin – Fiziksel ve mantıksal olarak bir çevre oluşturun. Bu, güvenlik duvarlarını, OT varlıklarını korumak için politikalar belirlemeyi, üçüncü taraf erişimini ve güvenli uç noktaları kontrol etmeyi içerebilir.
Adım #4: İzleyin ve Yanıtlayın – Gerçek zamanlı OT ağı izlemeyi etkinleştirin ve verileri sürekli olarak görüntüleyin ve bunlara tepki verin. Bir OT SOC kurun ve BT ile OT siber olay müdahale ekibinizi entegre edin.
Uzman bakış açınızdan, siber güvenlik ortamı nasıl gelişiyor? Endüstriyel kuruluşlar için en acil siber güvenlik endişeleri nelerdir?
Son 12-24 ay bize üretime ve kritik altyapıya yönelik saldırıların kalıcı olduğunu gösterdi. Pek çok kuruluş, OT siber tehditlerinin büyüklüğünü ve bir saldırının maliyet üzerindeki etkilerini hâlâ tam olarak anlamış değil.
ABD hükümeti, Mart ayında bir başka eylem çağrısı işlevi gören Ulusal Siber Güvenlik Stratejisini yayınladı. Verileri tutan ve toplumumuzun işlemesini sağlayan sistemlerin sahiplerine ve operatörlerine daha büyük bir sorumluluk kayması görüyoruz.
Üretimin tüm sektörler arasında en çok hedef alınan sektör olduğunu bilerek, üretim ortamında aşağıdaki güvenlik endişelerini ele almalı ve harekete geçmeliyiz:
- Eski donanıma yama uygulayamama – Teknoloji borcunu çözmenin tam zamanı. Tehdit aktörleri tarafından istismar edilen kritik açık güvenlik açıklarına sahip olma riskini almayın. Daha fazla maliyete gerek yok.
- Varlıkların görünür olmaması – Bilmediğiniz şeyi koruyamazsınız.
- Hızla düzeltememe – Bu, doğru ve kapsamlı bir varlık envanterine sahip olmamaya bağlıdır.
- OT yeteneği ve uzmanlığına sahip olmamak – Dijital yakınsamayı bilen insanları bulma ihtiyacı. Çapraz beceri ve beceri geliştirmenin gerekli olduğunu kabul edin.