Bu Help Net Security röportajında, Dünya Ekonomik Forumu Siber Güvenlik Merkezi Lideri Filipe Beato, imalat sektörünün dijitalleşmesi ile siber saldırılardaki artış arasındaki korelasyon konusundaki uzmanlığını paylaşıyor. Siber saldırıların imalat şirketleri, tedarik zincirleri ve küresel ekonomi üzerindeki geniş kapsamlı etkisini araştırıyor. Ayrıca Beato, imalat endüstrisinin karşılaştığı siber tehditlerin benzersiz doğasını ve etkili siber güvenlik önlemlerini uygulamanın zorluklarını tartışıyor.
İmalat sektörünün hızlı dijitalleşmesi, sektöre yönelik siber saldırılardaki artışı nasıl etkiledi?
İmalat sektörü, fabrikalarını, üretim hatlarını ve ürünlerini birbirine bağlayarak ileri teknolojilerin ölçeklenmesiyle dijital olarak dönüşüyor.
Üretim operasyonlarının dijitalleşmesi, dönüşüm fırsatları ve daha fazla verimlilik ve sürdürülebilirlik sağlarken, aynı zamanda geçmişte sınırlı harici bağlantıya sahip izole silolar olarak çalışan üretim ortamlarını ve altyapıları da birbirine bağladı. Bu, saldırı yüzeyini genişleterek üreticileri siber saldırılara karşı daha savunmasız hale getirdi.
Hem 2021 hem de 2022’de imalat, siber saldırıların en çok hedef aldığı sektör oldu. Yalnızca 2022 yılı boyunca, endüstriyel altyapıya yönelik fidye yazılımı saldırıları ikiye katlanarak sistemik etkilere ve kesintilere yol açtı.
Başarılı bir siber saldırının bir üretim şirketi, tedarik zinciri ve küresel ekonomi üzerinde nasıl bir etkisi olabilir?
İmalat sektörü, toplum için gerekli olan çeşitli endüstrileri içerir. Tüketim malları, elektronik, otomotiv, enerji, ilaç, yiyecek ve içecek, ağır sanayi ve petrol ve gaz gibi küresel döngüsel ekonomilere katkıda bulunur. Üretim ekosisteminde, üretim tesisleri, kuruluşların hem üretici hem de tüketici olduğu dünya çapında yayılmıştır.
İmalat sektöründeki siber saldırılar, operasyonların aksama süresi, fiziksel ve insani etkiler ve hatta çevreye zararlar gibi farklı düzeylerde önemli sistemik etkilere yol açabilmektedir. Çoğu kuruluşun hem tüketici hem de tedarikçi olduğu üretim ekosisteminin karmaşıklığı göz önüne alındığında, bunlar şirketin doğrudan etkisi olarak görülebilse de, bir siber saldırı daha geniş bir ürünün büyük arzına yönelik büyük kademeli etkiler yaratabilir.
Bu, yakın zamanda Şubat 2022’de Japonya’daki 14 tesisteki 28 üretim hattının, önemli bir tedarik zinciri oyuncusunun siber saldırıya uğramasının ardından en az bir gün kesintiye uğramasıyla görüldü. Bir yıl sonra, Şubat 2023’te, büyük bir yarı iletken endüstrisi tedarikçisi olan Applied Materials, tedarikçilerinden birindeki bir ihlalin önümüzdeki çeyrekte 250 milyon dolarlık bir etkisi olacağını duyurdu.
Bu yılın Mart ayında, elektronik şirketi Western Digital, çalınan 10 terabayttan fazla veri ve bilgisayar korsanlarının 8 rakamlı bir fidye talep etmesiyle bir ihlal yaşadı.
İmalat sektöründeki siber tehditler diğer sektörlerdekilerden nasıl farklıdır ve üreticiler siber güvenlik önlemlerini uygularken hangi benzersiz zorluklarla karşılaşır?
Forum’un Siber Güvenlik Merkezi, siber dayanıklılıklarını güçlendirmeye yardımcı olmak için Petrol ve Gaz, Elektrik ve Havacılık gibi çeşitli sektörlerle birlikte çalışıyor.
Bununla birlikte, oldukça homojen olan çoğu sektörün aksine, imalat oldukça çeşitlidir ve bu nedenle zorluklar ve dolayısıyla bu sektöre siber dayanıklılığı yerleştirmeye yönelik yaklaşımlar oldukça benzersizdir. İmalat sektörü, bir dizi kısıtlama nedeniyle siber güvenliği başarılı bir şekilde yerleştirmek için mücadele ediyor. Üretim tesisleri, daha düşük bilgi işlem gücüne sahip ve düzenli olarak güncellenmeyen eski ve eskiyen teknolojiyi kullanmaya devam ediyor. Diğer kısıtlamalar, düzenli siber güvenlik yamalarını veya güncellemelerini sınırlayan kesinti süresine karşı düşük tolerans ve uzatılmış üretim döngüleridir. Üretimdeki plansız kesinti maliyetleri en yüksekler arasındadır (250.000 $/saat’e kadar).
Ayrıca, düşük aksama süresi toleransı nedeniyle üretim şirketleri fidye yazılımı için kazançlı bir hedeftir. Son olarak, başka bir konu da farklı siber güvenlik kültürüdür, farklı öncelikler ve üretim üst yönetiminin siber güvenlik bütçesini güvence altına almaya ve siber güvenliği kalite ve güvenlik eğitimine dahil etmeye kadar düşük farkındalık nedeniyle BT ve OT güvenlik ekipleri arasında genellikle çok az uyum vardır.
Avrupa Birliği’ndeki Siber Direnç Yasası ve NIS 2 ve CER yönergeleri gibi mevcut yasal çabalar, imalat sektöründeki siber güvenlik sorunlarını nasıl ele almayı hedefliyor?
Farklı altyapılarda gelişmiş bir siber direnci zorlamak için AB’deki NIS 2 ve Siber Direnç Yasası veya ABD’deki Başkan Biden’ın çeşitli yürütme emirleri gibi küresel olarak yürütülen birkaç yasama çabası var. Bunlar, Siber Direnç konusunda endüstri eylemini zorlamak ve bir kuruluşun siber risklerini azaltmak için etkili olarak görülmüştür. Parçalanmış düzenleyici gelişmeler bile küresel olarak harekete geçecektir.
Örneğin, Siber Direnç Yasası, donanım ve yazılım ürünlerine yaşam döngüleri boyunca zorunlu siber güvenlik gereksinimleri getirmek için tartışılıyor. Siber Direnç Yasası’nın kabul edilmesi, kurallara uyum sağlamak ve müşteriler için siber güvenlik risklerini azaltmak amacıyla, üreticilere Avrupa pazarında satılan ürünler için siber güvenlik gereksinimlerini sürdürme yükümlülükleri getirecektir.
Bu yılın başlarında, Ocak 2023’te, iki yeni AB direktifi de yürürlüğe girdi: ağ ve bilgi sistemlerinin güvenliğine ilişkin önceki direktifin yerini alan NIS2 ve Avrupa’nın kritik öneme sahip sistemleriyle ilgili 2008 direktifini yürürlükten kaldıran Critical Entities Resilience (CER) direktifi. altyapı. 2021’de, Avrupa Komisyonu (AK) Enerji Direktörlüğünden gelen bir talebin ardından, Dünya Ekonomik Forumu’ndan Siber Dayanıklılık Sistemleri: Elektrik topluluğu, tedarik zincirinin etkilerini dikkate alarak yeni Siber Güvenlik Direktifini iyileştirmek için öğrenilen 15 ders ve tavsiyelerden oluşan bir koleksiyon geliştirdi. enerji endüstrisindeki siber güvenlik için saldırılar ve diğer sistemik riskler.
Yeni mevzuatlar, tıbbi cihaz ve ilaç üreticileri gibi belirli üretim endüstrilerini “önemli” veya “temel kuruluşlar” olarak sınıflandırıyor ve güvenlik risklerini yönetmelerini ve olayların hizmet alıcıları üzerindeki etkisini önlemelerini veya en aza indirmelerini gerektiriyor.
NIS 2.0 direktifi kapsamında AB, ABD ve diğer ülkelere daha katı olay raporlama gerekliliklerini zorunlu kılma konusunda da katılacak. Mevzuat, tüm kuruluşların siber ihlalleri ve saldırıları olaydan haberdar olduktan sonraki 24 saat içinde bildirmesini zorunlu kılacak.
NIS2 uyumluluğu aynı zamanda üretim şirketlerinin güvenlik önlemleri uygulamasını, güvenlik duruşlarını sürekli olarak izlemesini ve değerlendirmesini ve ağ altyapılarındaki potansiyel güvenlik açıklarını belirlemesini gerektirir.
Farklı sektörler ve ülkeler arasındaki işbirliği, üreticiler için birleşik bir siber güvenlik altın standardı oluşturmaya nasıl yol açabilir?
İmalat sektörü, siber dirençli hale gelerek büyüyen tehdit ortamına karşı hazırlıklı olmalıdır. İmalat sektörünün temel mücadelelerinden biri, siberle ilgili sorunların yönetiminde parçalı bir yaklaşıma sahip olmaktır.
Dünya Ekonomik Forumu, karar vericiler arasında farkındalık yaratarak ve küresel taahhüdü harekete geçirerek endüstriyel üretim ekosisteminde siber direnci güçlendirmek için kamu sektörü ve akademi de dahil olmak üzere imalat ekosisteminden paydaşları bir araya getiriyor. Bu yeni girişim, üretim ekosisteminde kolektif sorumluluk için yol gösterici ilkeler ve uygulamalar olarak ortak bir siber dayanıklılık anlayışı tanımlamayı amaçlıyor.