Dragos’un kıdemli düşman avcısı Abdulrahman Alamri, ilk çeyrekteki küresel siber güvenlik olaylarını analiz eden bir Nisan blog yazısında, fidye yazılımının “dünya çapındaki endüstriyel kuruluşları etkileyen en yaygın siber güvenlik tehdidi” olduğunu yazdı. Ancak elektrik sektörü nispeten zarar görmedi ve imalat sektörüne yönelik 100’den fazla saldırıyla karşılaştırıldığında yalnızca tek bir olay yaşandı.
Utility Dive, eşitsizlik hakkında soru sormak için Alamri’ye ulaştı: Elektrik sektörü diğerlerinden daha iyi korunuyor mu ve kamu hizmetleri arasında kayıtsızlık riski var mı?
Saldırı sayıları arasındaki fark bir dereceye kadar endüstrilerin büyüklüğüyle ilgilidir. Alamri bir e-postada şunları söyledi. Alamri, imalatın “kurum sayısına göre” en büyük sanayi sektörü olması nedeniyle en fazla sayıda olayın rapor edildiğini söyledi. Fidye yazılımı gruplarının “genel olarak fırsatçı ve mali motivasyona sahip olduklarını, saldırılarını hedeflerine ulaşmak için en büyük fırsatı algıladıkları kuruluşlara hedeflediklerini” söyledi.
Dragos, 2023’ün başından bu yana fidye yazılımı saldırılarında “çok sayıda endüstriyel kuruluşta operasyonel aksamalara yol açan” bir artış gözlemlediğini söyledi. Organizasyon, Hangi fidye yazılımı gruplarının faaliyetlerini, karanlık web sızıntı sitelerindeki paylaşımları da dahil olmak üzere izliyor ve fidye yazılımı operatörlerinin, bir bilgi teknolojisi ortamına yapılan bir saldırının “bir organizasyonu unsurları kapatmaya sevk ettiği” durumlarda operasyonel teknolojide bir miktar kesintiye uğradığı “birçok örneğin” farkındadır OT ortamlarını ihtiyati tedbir olarak kullanıyoruz” dedi.
Bu tür bir kesinti, 2021’de Colonial Pipeline’ın bir fidye yazılımı saldırısının ardından kapatılmasıyla meydana geldi. Fidye yazılımı hiçbir zaman boru hattına taşınmadı OT ortamı, ancak şirket proaktif bir güvenlik önlemi olarak operasyonlarını durdurdu ve bu da Doğu Kıyısı boyunca benzin ve jet yakıtı teslimatlarında kesintilere yol açtı.
Dragos’a göre imalat, ulaşım ve endüstriyel kontrol sistemleri ekipmanı ve mühendislik sektörleri dünya çapındaki ilk çeyrekteki kazaların yaklaşık %90’ını oluşturuyor. Petrol ve gaz sektörü sekiz olayla, yani saldırıların yaklaşık %4’üyle karşılaştı. Siber güvenlik firmasına göre madencilik, iletişim, elektrik ve yenilenebilir enerji sektörlerinin her birinde iki veya daha az saldırı yaşandı.
NERC CIP kuralları elektrik sektörünün korunmasına yardımcı oluyor
Alamri, elektrik enerjisi sektörünün bir güvenlik kültürü oluşturmaya yardımcı olan güvenlik kurallarına ve en iyi uygulamalara sahip olduğunu söyledi.
Alamri, North American Electric Reliability Corp. tarafından yönetilen Kritik Altyapı Koruma standartlarının “ayrı bir risk olarak fidye yazılımını doğrudan ele almadığını” söyledi. Ancak “kuruluşların farklı NERC CIP standartlarıyla ilgili uygulamak zorunda kaldığı politika, prosedür ve teknolojilerin çoğu, elektrik sektörü kuruluşlarının fidye yazılımlarına maruz kalmalarını önlemede yardımcı oluyor.”
Alamri, özellikle kamu hizmeti personelinin elektronik güvenlik çevrelerine odaklanan NERC CIP-005 ve sistem güvenliği yönetimini kapsayan CIP-007 konusunda eğitildiğini belirterek, bu kuralların “hem ağ hem de sistem güvenliğini yaygın olarak vurguladığını” belirtti. Kötü amaçlı yazılımları, özellikle de fidye yazılımlarını önlemeye yönelik en iyi uygulamalar olarak tanımlanıyor.”
Alamri, NERC ve Federal Enerji Düzenleme Komisyonunun, iç ağ güvenliği izlemesine ilişkin CIP-015 ve diğer CIP standartlarındaki revizyonların çoğuna sanallaştırmanın dahil edilmesi de dahil olmak üzere yeni standartları değerlendirdiğini ekledi.
“Şu anda CIP taslak hazırlama ekipleri tarafından üstlenilen mevcut iş süreçlerinin dışında, normal revizyonlar dışında ek kural ve düzenlemelerin gerekli olması pek olası değildir” dedi.
ArmorText’teki büyüme pazarları müdürü Matt Calligan, kamu hizmeti sektörünün daha fazla kurala ihtiyaç duymadığını ancak “eksik olanın, bu kuralların uygulanmasına ilişkin netlik ve çeşitli düzenlemelerin örtüşen gerekliliklerinin kamu hizmet şirketlerini nasıl bir Catch-22’ye soktuğu” olduğunu söyledi. .”
Calligan, kamu hizmetlerinin bulut tabanlı sistemleri kullanıp kullanamayacağına ilişkin sorulara dikkat çekti. NERC’nin kuralları, şebeke varlığı sahiplerinin, yazılımlarını çalıştıran cihazlar üzerinde belirli bir kontrole sahip olmalarını gerektirir ve bulut bilişim bunu zorlaştırır.
Calligan, “Dolayısıyla, en son bulut tabanlı teknolojileri kullanabilmeleri için bağışlamaya karşı izin yoluna giden kamu hizmet kuruluşlarınız ve olaylar açıklığa kavuşuncaya kadar ‘bulutta CIP verisi yok’ tavrını benimseyen diğer kamu hizmet kuruluşlarınız var” dedi. Bu durum “birçok departmanı kullanım ömrünün sonuna yaklaşan eski teknolojilere zorluyor.”
Alamri, NERC CIP’ye tabi olmayan kuruluşlar için “ek kuralların gerekli olabileceğini” söyledi. Ulusal Düzenleyici Hizmet Komiserleri Birliği, siber güvenlik rehberliği üzerinde çalışıyor ve Şubat ayında ABD Enerji Bakanlığı ile birlikte dağıtım sistemlerinin ve dağıtılmış enerji kaynaklarının güvenliğini iyileştirmeyi amaçlayan bir dizi siber güvenlik temelleri yayınladı.
NARUC, “NERC CIP’in deneyim ve gereksinimlerinin çoğunu almış ve bunları siber güvenlikle ilgili uygun kılavuz belgelerine dahil etmiştir” dedi.
Fidye yazılımı OT ortamlarına ‘yayılabilir’
Alamri, fidye yazılımının “kesinlikle kamu hizmetleri/enerji kuruluşları için devam eden en önemli ve en üretken tehditlerden biri” olduğunu söyledi. Fidye yazılımı tipik olarak bir kuruluşun operasyonel teknolojisini hedef alacak şekilde tasarlanmasa da, fidye yazılımı saldırganları “giderek daha fazla benimsiyor” [industrial control system]OT ortamında endüstriyel süreçleri durdurma yeteneğini gösteren özel süreç öldürme listeleri” dedi.
Alamri, Dragos’un ABD’li bir enerji şirketini etkileyen ve saldırganın “şirketi OT ortamına başarılı bir şekilde aktardığı” bir fidye yazılımı olayının farkında olduğunu söyledi. Ancak “düşmanın açıkça OT ortamını hedeflememiş olması ve başarılı navigasyonun tesadüfi olması” mümkündür.
Stellar Cyber’ın kurucusu ve Baş Teknik Sorumlusu Aimei Wei, OT ortamını etkileyen siber saldırıların yaklaşık dörtte üçünün BT tarafından kaynaklandığını söyledi.
“Bunlar BT’den OT’ye yayılıyor, dolayısıyla buradaki görüşümüz, insanların her ikisini de etkileyebilecek bir çözüme gerçekten ihtiyaç duyduğu yönünde. … Her iki ortamda da görünürlük elde ediyorsunuz ve BT’den OT’ye doğru yanal hareketi bulup tespit edebiliyorsunuz” dedi. Saldırıları “önlemek gerçekten zordur” ve bu nedenle “erken işaretleri yakalamak” önemlidir.
Calligan, hizmet şirketlerinin OT ortamlarında genellikle BT’den “hava boşluğu” olduğunu, ancak bunun da kendine has zorluklara yol açtığını söyledi.
“Büyük hizmet kuruluşlarında, masalarında biri OT’ye, diğeri BT’ye bağlı iki farklı renkli ekran bulunan birçok ekip tanıyorum; bu gerçekten ölçeklenebilir değil ve izolasyon kemikleşmiş düşünceyi besleyebilir” dedi. “OT tarafında giderek daha fazla dijital etkinliğe ve kontrole sahip hale geldikçe, OT ve BT’nin harmanlanması kaçınılmaz hale geliyor. Bu, dayanıklılık yaratmaya yönelik araçlar ve stratejiler konusunda evin her iki tarafı arasında diyalog ve işbirliğini gerektiriyor.”
Kamu hizmetleri rehavete karşı korunmalı
Nispeten Diğer sektörlere göre elektrik şirketlerinin operasyonlarını etkileyen fidye yazılımı saldırılarının az olması durumunda rehavet tehlikesi var mı?
Calligan, diğer sektörleri alt kategorilere ayırırken imalatı OT siber faaliyeti için büyük bir sektör olarak ele almanın “yanlış sonuçlara yol açabileceğini” ve kamu hizmetlerinin olduğundan daha güvenli görünmesine neden olabileceğini öne sürdü.
Alamri, olayların seyrek olması veya diğer sektörlerle karşılaştırıldığında daha az ciddi görülmesi durumunda kayıtsızlık ve sahte bir güvenlik duygusunun ortaya çıkabileceğini söyledi. “Ancak, kritik altyapılara yönelik son dönemdeki yüksek profilli siber saldırılar göz önüne alındığında, kamu hizmet kuruluşlarının kayıtsız olduğunu söyleyemeyiz” dedi. “Geçen yıl Dragos ekibi olarak elektrik sektöründeki müşterilerle gerçekleştirdiğimiz masa üstü tatbikatların sayısında %104’lük bir artış görüldü. Fidye yazılımı seçilen en yaygın senaryo olmaya devam ediyor.”
Stellar Cyber pazarlamadan sorumlu kıdemli başkan yardımcısı Steve Garrison, kamu hizmetlerinin özellikle seçimlere giderken güvenlik konusunda kayıtsız kalmasının bir hata olacağını söyledi. Kamu hizmetlerinin son zamanlarda çoğu fidye yazılımı girişiminden kaçınması iyi bir şey ancak “kısa vadeli eğilimin o kadar da anlamlı olduğunu düşünmüyoruz.”
Fidye yazılımı saldırganları son zamanlarda sağlık sektörünü de vuruyor. Wei’ye göre bu, yardımcı program saldırılarında bir düşüşe neden olabilir. “Saldırganlar belirli bir zamanda çabalarını belirli bir sektöre odaklıyor olabilir” dedi.
Garrison, “Bu yıl seçimler sırasında pek çok ilginç şey yaşanacak” dedi ve siber saldırılar, kamu hizmetlerinin izlediği en önemli tehditler arasında yer alıyor.