Bir kuruluşu siber saldırılara karşı korumak için gerekli uzmanları bulma ve tutma söz konusu olduğunda, siber güvenlik yöneticileri büyük zorluklarla karşılaşmaya devam ediyor – Uber’in en son siber saldırısını ele alalım – en büyük şirketler bile bu engellerle karşı karşıya. Dahası, istatistikler uygun siber güvenlik yeteneğini bulmanın giderek zorlaştığını gösteriyor.
Bununla birlikte, kamu hizmeti şirketleri hem ticari operasyonlarına güç veren standart bilgi teknolojisi (IT) yığınını hem de sundukları hayati hizmetleri sağlayan operasyonel teknolojiyi (OT) korumak zorunda olduğundan, bu sektör için deneyimli güvenlik personeli bulmak daha da zordur. Bazıları becerilerde bazı örtüşmeler olduğunu iddia etse de BT ve OT’yi korumak için gereken bilgi ve yaklaşımlarda farklılıklar vardır.
Sonuç olarak, kamu hizmetleri, ekiplerinde yalnızca normal BT yönelimli siber güvenlik becerilerine sahip çalışanlara sahipse işletmelerini başarılı bir şekilde koruyamaz. Bunun nedeni, bu kişilerin becerilerine rağmen, güvenlik duvarı seçimi ihtiyacı gibi operasyonel ortamlarda ortaya çıkan özel güvenlik güçlüklerinin farkında olmamasıdır. Kamu kuruluşlarında çalışan güvenlik uzmanları, Endüstriyel Kontrol Sistemi (ICS) ve OT protokolleri ile çalışan ve bunları denetleyebilen güvenlik duvarlarını seçmeyi bilir; bu, yalnızca OT odaklı uzmanlığa sahip profesyonellerin muhtemelen bileceği ek bir seçim gereksinimidir. Bu nedenle kamu hizmetleri, operasyonel teknolojileri güvence altına almak için gereken teknik bilgiye ve yeteneğe sahip birine ihtiyaç duyar.
Doğru Ekibi Kurmak
Bu uzman OT güvenlik uzmanlığından yoksun olan kamu hizmetleri, yalnızca ihlal yaşama riskini değil, aynı zamanda iş operasyonlarını engelleme riskini de taşır. Kamu hizmetleri tarafından istihdam edilen güvenlik uzmanları, kuruluşlarında hangi donanım tarama araçlarının kullanılacağını veya hiç kullanılıp kullanılmayacağını bilmelidir. Donanım tarama teknolojilerinin çoğu, bir OT ortamında etkisizdir ve yeterli yapılandırma olmadan kurulursa, faydadan çok zarara neden olabilir.
Örneğin, bir Ağ Eşleyici (Nmap) taraması, BT ortamında açık bağlantı noktalarını bulmak ve uzak sunucularda çalışan sistemleri belirlemek için kullanılan tipik bir araçtır. Ancak, bir OT bağlamında kullanılırsa, eski uzak uçbirim birimleri muhtemelen tuğlalanır. Uzak Terminal Birimi (RTU), daha sonra eylemlerinin başarılı olmasını umması gereken kamu hizmeti çalışanları tarafından yeniden başlatılmalıdır. Aslında arızalanması durumunda, ki bu yaygın bir durumdur, RTU’yu değiştirmeleri gerekecektir. Yardımcı program, operasyonel bir RTU olmadan geçici olarak etkili operasyonlar için ihtiyaç duyduğu uzaktan kontrol özelliklerine veya telemetriye erişemez.
Operasyonel Teknoloji ve Sistemler
Kamu hizmetleri operasyonları ayrıca yaygın, önceden oluşturulmuş sistemler yerine tescilli, özel olarak oluşturulmuş teknoloji tarafından yürütülür. Sonuç olarak satıcılar, bu tür sistemler için güvenlik güncellemelerini geleneksel uygulamaları için yaptıkları kadar hızlı veya sık yayınlamazlar. Buna karşılık şirketler, tescilli yazılımlarda bulunan güvenlik sorunlarını gidermek için güncellemeleri test etmek ve yayınlamak için daha fazla zaman harcıyor. Özel olarak tasarlanmış OT sistemleri için yamaların, geleneksel yazılımları için düzenli olarak haftalık veya aylık güncellemeler yayınlayan satıcıların yayınlaması 4-6 ay sürebilir. Donanım üreticileri yükseltmeleri yılda yalnızca bir kez yayınlayabilir. Buna göre, kamu hizmetleri, güvenlik politikalarını, çevrelerindeki bilinen güvenlik açıklarıyla aylarca yaşamak zorunda kalacaklarını dikkate alacak şekilde ayarlayabilmelidir.
Ek olarak, OT sistemlerinin tipik olarak BT platformları ve uygulamalarından çok daha uzun yaşam döngüleri vardır. 15 ila 20 yıllık işletim teknolojilerine rastlamak alışılmadık bir durum değil; örneğin bir yardımcı program, onlarca yıllık anahtar rölelerine sahip olabilir – bunlardan bazıları tipik olarak tamir edilemeyecek durumdadır. Bunu, beş yıl veya daha kısa olan günümüz BT sistemlerinin normal yaşam döngüsüyle karşılaştırın. Sonuç olarak, modern bir BT yığınındaki sistemlerin tümü olmasa da çoğu, mevcut güvenlik kaygıları ve tehditleri göz önünde bulundurularak tasarlanmıştır. Bununla birlikte, bu eski OT sistemleri, çağdaş siber güvenlik risklerinin üstesinden gelmek için yaratılmadıkları için bu tür yerleşik korumalardan yoksundur.
Hizmet Hizmetlerinde İyileştirmeler
Şimdi yardımcı program güvenliğiyle ilgili bazı iyi haberler var. Normal BT ortamlarıyla karşılaştırıldığında, tipik OT ortamları, varsa bile daha az İnternet ağ geçidine sahip olduklarından, dış saldırılara karşı biraz daha az savunmasızdır. Ancak bu, kamu hizmetlerinin karşılaştığı siber güvenlik tehlikelerini veya başarılı bir siber saldırının ciddi sonuçlarını ortadan kaldırmaz.
Kamu hizmeti yöneticilerinin neyin risk altında olduğunu ve OT uzmanlığına sahip güvenlik personeli tutmanın neden bu kadar önemli olduğunu anlaması gerekir. BT güvenliğinin mahremiyete ve gizliliğe yüksek öncelik verdiğini ve verileri yetkisiz erişime karşı etkili bir şekilde koruduğunu bilmelidirler. Bununla birlikte, OT güvenliği güvenlik ve güvenilirliği ilk sıraya koymalıdır çünkü OT ile ilgili bir siber güvenlik saldırısı kamu hizmeti çalışanlarının ve halkın hayatını tehlikeye atabilir.
Yardımcı programlar, sürekli çalışması amaçlanan son derece hassas OT durumlarının kapatılmasını gerektiren güncellemeleri uygulamak için bilgi ve beceriye sahip güvenlik uzmanları gerektirir. Özel ihtiyaçları için en iyi güvenlik araçlarını seçebilecek uzmanlar istiyorlar. Ayrıca, tüm bu sorunları dikkate alan kapsamlı güvenlik planları geliştirebilen siber güvenlik uzmanlarına ihtiyaç duyarlar.
Kamu hizmetleri, operasyonel teknolojiyi oluşturan ve hâlihazırda işleten tesis mühendisleriyle iyi çalışabilen, tesislerini çalıştıran operasyonel teknolojilerin özel karmaşıklıklarını kavrayan ve katmanlı bir savunma sistemi tasarlayıp sunabilen siber güvenlik uzmanlarına sahip olmaktan yararlanır. kuruluşun en önemli varlıklarının korunmasına öncelik veren kapsamlı bir yaklaşım..
yazar hakkında
Dominick Birolin, CISSP, CISA, NSE4, Strive Consulting’de Siber Güvenlik ve Uyum Başkan Yardımcısıdır. Dominick, çok çeşitli sektörlerde kapsamlı bilgi teknolojisi, denetim ve uyumluluk deneyimine sahiptir. Kariyerine 1995-1999 yılları arasında ABD Ordusu’nda mikrodalga ve uydu haberleşmesi askeri meslek uzmanlığı ile başladı, daha sonra AT&T North New Jersey Bakım Müdürü olarak görev yaptı ve burada Y2K için ağlarını hazırladı. Dominick, Reuters (şimdiki adıyla Thompson Reuters) için çalıştı ve 11 Eylül saldırıları aşağı Manhattan’ın ana veri merkezi olan Dünya Ticaret Merkezi içindeki ana veri merkezlerini yok ettikten sonra borsa veri akışlarını yeniden inşa etti.
Güç endüstrisine yaptığı genişleme, 2010 yılında Kuzeydoğu ABD’de bir IPP için çalışırken geldi. NERC CIP uyumluluğu ve siber güvenlik programlarını oluşturduğu yer. Son olarak bağımsız danışman olarak görev yaptı ve burada müşterilere NERC CIP uyumluluğu konusunda yardımcı oldu ve Endüstriyel Kontrol Sistemleri (ICS) ve Operasyonel Teknoloji (OT) Ortamlarında Konu Uzmanı (SME) olarak görev yaptı. Ayrıca Wurldtech (bir GE Şirketi) ve North American Energy Alliance LLC (Essential Power, LLC) ile üst düzey çözüm mimarı rollerinin yanı sıra AT&T Managed Internet Services ile teknoloji KOBİ rolleri üstlenmiştir.
Dominick daha önce MRO NERC Standartları İnceleme Forumu (NSRF) grubunun bir üyesiydi ve şimdi NERC Güvenlik Çalışma Grubunun bir üyesi olarak hizmet veriyor. Güvenlik Çalışma Grubu (SWG), devam eden bir çalışma grubu ile ERO ile endüstri arasındaki işbirliğini geliştirmek için resmi bir girdi süreci sağlamada Güvenilirlik ve Güvenlik Teknik Komitesine (RSTC) hizmet eder. SWG ayrıca, ERO Enterprise Compliance Assurance grubuna güvenlik uyumluluğuyla ilgili ürünlerin geliştirilmesi ve geliştirilmesinde kılavuz ilkeler, kılavuzluk, en iyi uygulamalar ve öğrenilen dersler dahil olmak üzere teknik uzmanlık ve geri bildirim sağlayarak, endüstrinin ortaya çıkan riskleri azaltma çabalarını destekler.
Dominick, Sertifikalı Bilgi Sistemi Güvenliği Profesyoneli (CISSP), Sertifikalı Bilgi Sistemi Denetçisi (CISA) ve Fortinet Ağ Güvenliği Uzmanı NSE4’tür. Daha fazla bilgi için https://striveconsulting.com/ adresini ziyaret edin.