Bu Help Net Security röportajında Tenable OT/IoT CTO Yardımcısı Marty Edwards, jeopolitik gerilimlerin kritik altyapıyı hedef alan siber saldırılar üzerindeki etkisini tartışıyor.
Edwards, kritik altyapı sektörlerinde siber güvenliği güçlendirmek için politika yapıcılar, devlet kurumları ve özel sektör arasındaki işbirlikçi çabalara duyulan ihtiyacın altını çiziyor. Personele, teknolojiye ve proaktif önlemlere yatırımı vurguluyor.
Son dönemdeki siyasi huzursuzluklar ve jeopolitik gerilimler, kritik altyapılara yönelik siber saldırıların sıklığını ve doğasını nasıl etkiledi?
Artan jeopolitik gerilimler, ABD hükümetini kritik altyapıyı hedef alan ulus devlet tehditleri hakkında çeşitli uyarılar yayınlamaya yöneltti; bu da hepimizin oturup dikkat etmesi gereken bir konu. Deneyimlerime göre, hükümet bu atıfları hafife almıyor; dolayısıyla belirli bir ülkeyle bağlantısı olan bir tehdit aktörü hakkında uyarı yayınladığında veya bilgi verdiğinde, bu, kamuoyunun bilmesi gereken, bunu destekleyecek önemli delillere sahip oldukları anlamına geliyor.
Ancak, medyada sansasyonel bir şekilde yer alan ulus devlet düzeyindeki bir saldırı konusunda daha az endişeliyim. Ben daha çok suçlu fidye yazılımlarının bu ortamlara girip onları kapatması konusunda endişeleniyorum. Bu beklenen bir sonuç ve siber güvenliğin temelleri aracılığıyla bu endişeleri hafifletebilmeliyiz.
Endüstriyel sektöre yönelik siber saldırıların karmaşıklığı nasıl gelişti? Siber gruplar artık hangi yeni yeteneklere sahip?
Endüstriyel sektörü hedef alan siber saldırıların karmaşıklığı son yıllarda çeşitli faktörlerin etkisiyle önemli ölçüde gelişti. Yazılım tedarik zinciri boyunca kritik altyapı varlıkları, cihazları ve sistemlerinin üçüncü taraflarla birbirine bağlı olması, saldırı yollarının belirlenmesini her zamankinden daha karmaşık hale getirdi. Bu birbirine bağlılık, saldırganların yararlanabileceği çok sayıda potansiyel giriş noktası yaratır.
Ek olarak, siber saldırganlar artık bir dizi yeni taktiğe sahip. Kritik sistemlere sınırsız erişim elde etmek için dışarıya bakan tek bir varlıktan ödün vermenin veya yanlış yapılandırılmış kimliklerden yararlanmanın önemini anlıyorlar. Colonial Pipeline ve su arıtma tesisleri gibi kuruluşlara yönelik son saldırılar, kötü niyetli aktörlerin yalnızca birkaç tıklamayla gerçek dünyada etkilere neden olma potansiyelini gösteriyor.
Fidye yazılımı suçluları, kesinti süresinin önemli mali kayıplarla sonuçlanabileceğini bilerek, ağırlıklı olarak operasyonel sistemlere dayanan sektörleri giderek daha fazla hedef alıyor. Hizmet Olarak Fidye Yazılımı (RaaS), fidye yazılımı saldırılarının çoğalmasını daha da artırdı ve bu saldırıları daha geniş bir tehdit aktörleri yelpazesi için daha erişilebilir hale getirdi. Kriminal fidye yazılımı operatörlerinin genellikle manşetlere çıkan sıfır günleri veya siber savaş düzeyindeki yetenekleri kullanmadığını unutmamak önemlidir; Yıllardır yama yapılmayan bilinen güvenlik açıklarından yararlanıyorlar. Saldırganlar minimum miktarda kaynak kullanmayı hedefler ve sıfır günler pahalıdır.
Ne yazık ki bu tehditler, kuruluşlar arasındaki kayıtsızlık ve bu alana yatırım yapma konusundaki kararlılık eksikliği nedeniyle daha da kötüleşiyor. Pek çok kuruluşun özel siber güvenlik bütçelerinden tamamen yoksun olması nedeniyle ICS güvenlik bütçeleri daralıyor. Kritik altyapıyı hedef alan siber saldırıların artan sıklığı ve şiddeti göz önüne alındığında, bu eğilim endişe vericidir. OT ortamlarının güvenliğini sağlamak son derece önemlidir ve kuruluşların, gelişen siber tehditlere karşı etkili bir şekilde savunma yapmak için siber güvenlik yatırımlarına öncelik vermesi gerekir.
Kritik altyapılarda BT ve OT sistemleri arasındaki ilişkiyi güvence altına almaya yönelik mevcut önlemler ne kadar etkilidir?
Mevcut önlemlerin etkinliği farklılık göstermektedir. Bazı ilerlemeler kaydedilmiş olsa da hâlâ çözülmesi gereken önemli zorluklar var.
Kritik altyapıyı dış dünyadan izole etmeye yönelik geleneksel yaklaşım artık geçerli değil ve rakiplerin tesis varlıklarına ilişkin anlayışları ile savunucuların bunları güvence altına alma yetenekleri arasında endişe verici bir boşluk var. Kritik altyapı sektörleri siber güvenlik uygulamalarında olgunlaşırken, birçok kuruluş hâlâ reaktif bir zihniyetle çalışıyor ve siber tehditlere yalnızca ortaya çıktıktan sonra müdahale ediyor. Siber olayların etkisi, proaktif önleme tedbirlerinden çok daha yüksek (milyonlarca) olabileceğinden, bu yaklaşım maliyetli ve sürdürülemezdir.
Liman siber güvenliğine ilişkin idari emirler gibi son girişimler, daha iyi siber güvenlik standartlarına doğru ilerlemeyi göstermektedir. Bu kuruluşlara daha fazla yetki verilmesi siber risklerin azaltılmasına yardımcı olabilir, ancak kaynakların etkili bir şekilde tahsis edilmesini, roller ve sorumlulukların açıkça tanımlanmasını ve mevcut siber politikalar ve düzenlemelerle uyumlu hale getirilmesini sağlamak çok önemlidir.
Zorluklardan biri, çok sayıda yetersiz korumaya sahip sisteme ev sahipliği yapmasına rağmen genellikle gözden kaçırılan OT ortamlarının gözetiminde yatmaktadır. Varsayılan şifreler ve kimlik doğrulama güvenliğinin eksikliği gibi yetersiz siber hijyen uygulamaları, özellikle su tesisleri gibi sektörlerde kritik altyapı için önemli riskler oluşturmaktadır.
Kritik altyapı sektörlerinde siber güvenliği güçlendirmek için politika yapıcılara ve devlet kurumlarına ne gibi tavsiyelerde bulunursunuz?
Personel ve yönetim yapılarının inşasına yatırım yapmak için ortak bir çaba gösterilmesi gerekmektedir. Bir CISO veya özel siber güvenlik rolleri olmadan, güvenlik önlemlerini etkili bir şekilde yönetmek ve uygulamak zorlaşır. Siber güvenlik çabalarının diğer operasyonel önceliklerle rekabet etmeden ihtiyaç duydukları ilgiyi ve kaynakları almasını sağlamaya yardımcı olmak için öncelikli odak noktası kritik altyapı sistemlerinin güvenliğini sağlamak olan özel ekipler oluşturmak da önemlidir.
İkinci olarak, kritik altyapı ortamlarında görünürlük kazanmak için teknolojiyi kullanmalıyız. Bu görünürlüğü sağlayacak teknoloji çözümleri mevcut olsa da çoğu zaman bunları uygulama konusunda tereddüt yaşanıyor. Politika yapıcılar, kuruluşların güvenlik duruşunu geliştirebilecek ve bu ortamlardaki tehditleri tespit edebilecek teknolojileri benimsemelerini teşvik etmeli ve desteklemelidir.
Siber güvenlik becerileri açığının giderilmesi de çok önemlidir. Politika yapıcılar, siber güvenlik rollerinin temel olarak tanınmasına öncelik vermeli ve eğitim ve işe alım çabalarını desteklemek için kaynak tahsis etmelidir. Kritik altyapıyı işleten her kuruluş, gelişen tehditlere karşı koruma sağlayacak özel siber güvenlik personeline sahip olmalıdır.
Son olarak, fidye yazılımıyla mücadele, kamu-özel sektör ortak çabasını gerektirir. Devlet kurumları, ulusal öneme sahip kritik altyapı sektörlerini belirlemek ve bunları korumaya yönelik özel stratejiler geliştirmek için sektörle işbirliği yapmalıdır. Stratejilerin uygulanabilir, sürdürülebilir olmasını ve her ülke veya bölgenin kendine özgü ihtiyaçlarını yansıtmasını sağlamak için her iki sektörün de görüşmelere aktif olarak katılması çok önemlidir. Politika yapıcılar, hükümet ve sektör paydaşları arasındaki işbirliğini ve uyumu teşvik ederek, kritik altyapı sektörlerinde siber güvenliği etkili bir şekilde artırabilir.