Kimya Firmaları Yeni Düzenlemeler Öncesinde Siber Güvenliği Artırıyor

Önde gelen küresel kredi derecelendirme kuruluşu Moody’s Ratings, AB ve ABD’li düzenleyicilerin giderek ekonominin kritik sektörlerine odaklanması nedeniyle temel siber savunma uygulamalarının sektörde “neredeyse evrensel” hale geldiğini belirten bir rapor yayınladı.

Ağ ve Bilgi Güvenliği Direktifinin NIS 2.0 olarak adlandırılan güncellenmiş versiyonu kapsamında, AB’deki kimya firmaları için yeni siber güvenlik kuralları Ekim ayında yürürlüğe girecek. ABD, potansiyel olarak 2026’nın başlarında yürürlüğe girebilecek olan 2022 Kritik Altyapı için Siber Olay Raporlama Yasası kapsamında olay raporlama ve fidye yazılımı düzenlemelerini tamamlıyor.

Moody’s’in raporu, İç Güvenlik Bakanlığı’nın Nisan ayında ABD’nin mevcut biyolojik ve kimyasal güvenlik düzenlemelerinde “halk sağlığı, ekonomik risk oluşturan hem kasıtlı hem de kasıtsız tehlikeli araştırma sonuçları olasılığını artırabilecek sınırlamalardan muzdarip olduğu” yönündeki uyarısının ardından geldi. güvenlik veya ulusal güvenlik” (bkz: DHS: Yapay Zekayla Geliştirilmiş Nükleer ve Kimyasal Tehditler ABD İçin Risklidir).

Uzmanlar ayrıca yakın zamanda Bilgi Güvenliği Medya Grubu’na, tehdit aktörlerinin kimyasal, biyolojik, radyolojik ve hatta nükleer saldırılar gerçekleştirmek için yapay zekadan giderek daha fazla yararlanacağını söyledi.

Son yıllarda kimya sektörünü hedef alan fidye yazılımı ve bilgisayar korsanlığı grupları arasında, CISA’nın kimya firmalarına yönelik saldırılar başlatırken operasyonel teknoloji ve endüstriyel kontrol sistemlerine odaklandığını söylediği LockBit 3.0 da yer alıyor. Ajansa göre, Lazarus gelişmiş kalıcı tehdit grubunun savunma müteahhitleri için sahte iş ilanları kullanarak kimya sektörünü de hedef alması muhtemeldir.

Moody’s anketi, kurumsal siber güvenlik şeflerinin %88’inin doğrudan bir üst düzey yöneticiye rapor verdiğini ve bu oranın kimya sektöründe %95 ile daha da yüksek olduğunu ortaya çıkardı. Veri noktası, “üst düzey yöneticiler arasında siber güvenlik tehditleri farkındalığını destekleyen güçlü bir yönetim yapısına” işaret ediyor. Raporda ayrıca kimya firmalarının liderlik ücretlerini siber risk performansına giderek daha fazla bağladığı belirtiliyor. Ankete katılanların %38’i, CEO’larının maaşının siber hedeflerle bağlantılı olduğunu söyledi.

CISA, CIRCIA kapsamındaki kuruluşlar için 72 saatlik bir siber olay raporlama kuralı önerdi. Ajans, ülke genelinde 300.000’den fazla kuruluş için potansiyel olarak geçerli olabilecek federal olay raporlama gerekliliklerini daha iyi koordine etmek amacıyla DHS’ye hükümetler arası bir Siber Olay Raporlama Konseyi kurma çağrısında bulundu (bkz: CISA, Siber Olay Raporlama Kuralları Konusunda Kamuoyunun Katkısını İstiyor).

Üçüncü taraf yazılımlar şirketler için önemli bir risk oluşturmaya devam ederken Moody’s anketi, Amerika kıtasındaki kimya endüstrisinden yanıt verenlerin %88’inin bir tür bağımsız siber sigortaya sahip olduğunu ortaya çıkardı. Küçük ve orta ölçekli firmalar ortalama genel siber harcamalarını bilgi teknolojisi bütçelerinin yaklaşık %10’una çıkardılar ve Moody’s bunun “muhtemelen tarihsel yetersiz yatırımın telafisini temsil ettiğini” söyledi.

Raporda, “Kimyasal madde ihraç eden kuruluşlar, temel ve ileri yöntemlerin bir karışımını kullanarak siber savunma stratejilerinde yüksek derecede karmaşıklık sergiliyor” deniyor. Ayrıca çoğu kimya firmasının olay müdahale planları, haftalık veri yedeklemeleri ve çok faktörlü kimlik doğrulama dahil olmak üzere temel siber savunmaları uyguladığı belirtiliyor.

Moody’s kimya sektörüyle ilgili raporu için 1.900’den fazla katılımcıyla anket yaptı. Rapor, CIRCIA ve NIS 2.0 düzenlemelerinin “hem şirket içinde (yönetim kurullarına) hem de düzenleyiciler ve müşteriler gibi dış paydaşlar için artan raporlamayla” sonuçlanacağını öngördü.