Kritik ulusal altyapı için bir siber güvenlik programını yönetmeye ilişkin genel yönergeler ve gerçekler
Juan Vargas, Siber Güvenlik ve Mühendislik Danışmanı, Artech, LLC
Kritik ulusal altyapı için bir siber güvenlik programı yönetmenin gerçekliği nedir? Yirmi yıl önce hiçbir fikrimiz yoktu. North American Electric Reliability Corporation (NERC), 11 Eylül saldırılarının ardından enerji şirketlerini Kritik Altyapı Koruması (CIP) standartlarına zorunlu olarak uymaya zorlayana kadar şirketler altyapıyı koruma konusunda ciddileşmek zorunda değildi. Ya da onların erken bir versiyonu. Ancak bu değişiklik, ihtiyacımız olmayan Operasyonel Teknoloji (OT) dünyası için eksiksiz bir ürün ve hizmet ekosistemi yarattı.
Kritik altyapının tanımı gelecekte değişebilirken, Amerika Birleşik Devletleri’nin bu tanımı enerji üretiminde su tesislerini de içerecek şekilde genişletebileceğine dair haberler dolaşıyor – benim geçmişim her şeyin başladığı yerdir. Uzun yıllar boyunca, düzenlemenin sürekli değişen doğasına ayak uydurmak için birçok organizasyonel tekrara tanık oldum. Ve yeni insanların neyin işe yarayıp neyin yaramadığına uygun bir giriş yapması adildir.
Bir OT siber güvenlik programını yönetmeye ilişkin yaygın bir yanılgı, bunun çoğunlukla doğru yazılımı seçmekle ilgili olduğudur. Veya en yeni yazılım. Veya en güçlü yazılım. Yazılım araçları önemli ölçüde daha iyi, daha ucuz ve daha etkili hale gelirken, en büyük zorluk, mevcut yetenek havuzuyla son derece gelişmiş programları yönetmek ve yürütmek olmuştur. BT yazılımlarını kullanmak veya anlamak için eğitmediğimiz bir iş gücü ve bu tür girişimlerin yatırım getirisini görmeyen yöneticiler.
Ne kadar acı verici olsa da NERC CIP standartları, kritik altyapının korunmasına yardımcı olma hedefinde büyük ölçüde başarılı olmuştur. Santrallerin ne kadar güvenli olduğu konusu gelecekte daha derin bir analize tabi olabilir, ancak en azından eskisinden daha güvenli ve her yinelemede daha iyi hale geliyor. O kadar başarılı oldu ki, başkalarının takip etmesi için uluslararası bir referans haline geldi. Kanada ve Meksika’nın yanı sıra Avrupa’nın çeşitli bölgeleri ve Orta ve Güney Amerika’daki birçok ülke de bunu benimsemiştir. Dayanıklılığını ve güvenilirliğini artırmak isteyen her ülke için harika bir başlangıç noktasıdır. NERC’nin standartları iyileştirmeler için sık sık revize ettiği göz önüne alındığında, trendin önümüzdeki yıllarda da devam etmesi muhtemeldir. Ancak bu, bir program yöneticisinin artan ağrılardan kaçınması için nasıl eylemlere dönüşür?
Bir program yöneticisinin olağan zorluklarını anlamak
Mantıklı görünenle başlayalım. Yeni işe alınan bir program yöneticisi, sınırlı bir bütçe kullanarak bir programı hayata geçirmek için yönetimden destek alır. Program yöneticisi, çalışmasını sağlamak için yazılıma ihtiyacı olduğunu biliyor ve bu nedenle piyasadaki olası tüm siber güvenlik yazılımlarının bulunduğu bir mağazaya giriyor. Problemin en kolay olası çözümünü düşünür. En yeni yazılımları satın alıp BT ekibinden bunu elektrik santralinde kurmasını ve desteklemesini isteyebilir mi? Elbette. Ama bu büyük bir hata. Kim destekleyecek? BT, kontrol sisteminin nasıl çalıştığını biliyor mu? Kontrol sistemi satıcısı işler bozulduğunda sizi destekleyecek mi? Görünen o ki, destek buradaki anahtar kelime ve programınızın başarısı için çok önemli çünkü aksi halde tek başınasınız. Ve kısa bir süre sonra, uzman olmamanız gereken konularda uzman olmanız gerekecek. Bu yaklaşım, çok yavaş ve maliyetli olduğu için OT’de nadiren işe yarar. Program yöneticisi, işe yarayan özelleştirilmiş bir program oluşturmak için hızla konu uzmanı olma ve en iyi yetenekleri elde etme ve elde tutma becerilerine fazlasıyla güvenir. Gerçek şu ki, BT yöntemleri OT dünyasına pek iyi yansımaz, satıcılar kararlarınızı desteklemez ve bir çalışan daha iyi bir iş için her ayrıldığında programınız büyük zarar görür.
Bir siber güvenlik programını yönetmenin en ucuz ve en etkili yolunun, kilit tedarikçilerle uzun vadeli bir ilişki kurmak ve enerji santralleri için iyi ölçeklenen üç dahili yetkinlik geliştirmeyi öğrenmek olduğunu öğrendik. Bu yetkinlikler uyumluluk, mühendislik ve operasyonlarda üç kariyer yolunu izler.
Tedarikçilerle çalışmak neden önemlidir?
Daha fazla genişlemek için, OT satıcılarıyla çalışırken en düşük fiyatı aramıyorsunuz. Bunun yerine, ekiplerinize ihtiyaç duydukları desteği sağlamak için saygın bir siber güvenlik stratejisi, kontrol sisteminize garantili entegrasyon ve olağanüstü müşteri desteği arıyorsunuz. Satıcılarla uzun vadeli bir ilişkiye sahip olmak, yetenek kaybı veya eğitim ihtiyaçları sorunlarını hafifletmeye de yardımcı olacaktır. Son olarak, BT satıcılarından farklı olarak, OT satıcıları enerji santrali personeli ve onların operasyonel gerçeklikleri konusunda deneyime sahiptir.
Uyumluluk analistinin rolü
Uyumluluk ihtiyaçlarınızı uyumluluk analistlerinin yardımıyla karşılarsınız. Bunlar genellikle şirket çalışanlarıdır, tercihen çeşitli kaynaklardan veri çıkarma ve işleme konusunda çok rahat olan kişilerdir. Ayrıca kodlama konusunda da iyi olmalarını istersiniz. Ve eğer birisinin NERC gerekliliklerini bilmesi gerekiyorsa o da onlar. Ara sıra birkaç günlüğüne fabrikaya gidebilirler, ancak işlerinin büyük bir kısmı ofiste veya belki de evdedir. Santrallerin CIP standartlarına uygun olduğuna dair kanıt üreterek NERC cezalarından kaçınmayı hedefliyorlar. Ayrıca uygunluk verilerini üst yönetim için Anahtar Süreç Göstergelerinizi (KPI’ler) geliştirmek için kullanacaksınız ve mühendislik ekibinizin bakım yaptıklarında kararlarını bildirmek için de kullanacaksınız.
Programınız yeniyse ve deneyimsiz (ancak teknik olarak sağlam) bir analist işe alıyorsanız, en iyi strateji önce tek bir tesiste çalışmasına izin vermektir. Bu verilerin çıkarılmasını otomatikleştirmenin bir yolunu bulana ve aynı anda birden fazla site yapabilene kadar uyumluluk gereklilikleri ve tesiste bulunan araçlar hakkında bilgi sahibi olmalarına izin verin. Çoğu zaman enerji şirketleri uyum analistleri ve mühendislerin rollerini birleştirdi, ancak sonuçlar pek iyi olmadı çünkü çoğu zaman analist ve mühendislerin çıkarları çatışır. Tersine, iyi eğitimli bir uyumluluk analisti, yöntemleri geliştikçe beş veya daha fazla tesisi kolayca denetleyebilir. Ayrıca, program başladıktan sonra öğrenme eğrisini azaltarak yeni işe alınanları eğitebilirler.
Mühendisler rutin bakım sağlar
Siber güvenlik mühendisleri genellikle bakım için farklı sitelere seyahat eden dönüşümlü bir iş gücüdür. Doğru mühendis, bilgisayar sistemlerini çok iyi bilecek ve bir çözüm bulana kadar saatlerce sorun giderme konusunda kendinden emin olacaktır. BT uzmanlarını işe almak, eski kontrol mühendislerini işe almak kadar iyi sonuçlar vermedi. Tam zamanlı mühendis çalıştırmayı ekonomik olarak uygun görmeyen daha küçük şirketler, bu rolleri satıcılara yaptırabilir. Yazılım yamaları yükler, antivirüs tanımlarını ve çeşitli yazılım paketlerini günceller ve yaygın sorunları giderirler. Eğitimli bir mühendis, görevlerini tesis başına yaklaşık bir hafta içinde tamamlayabilir. Her fabrikayı ayda bir yamalamak çoğu şirket için çok maliyetli ve kaynak yoğundur, bu nedenle çoğu enerji santrali bu görevleri daha yavaş bir sıklıkta, örneğin üç ayda bir tamamlama eğilimindedir. Olağanüstü koşullar altında, NERC istisnalara izin verir. Ancak genel olarak, uyumsuzluk riski daha yüksek olduğundan istisnalara güvenmek ideal değildir.
Mühendislerin amacı, uyumluluk analistlerinin verilerini çıkarabilecekleri bir çalışma sistemi sağlamak ve şirket çalışanlarına sistemlerini korumak için araçlar sağlamaktır. Bir değişiklik gerektiğinde mühendisler, değişiklikleri yapmak için yazılımı yakından tanıyan kişilerdir. Ancak mühendisler, bakımına yardımcı oldukları çoğu aracın son kullanıcıları değildir.
Son kullanıcılar kimlerdir?
Bir elektrik santralindeki yerel çalışanların günlük siber güvenlik operasyonlarını yürütmesine izin vermek tartışmalı bir karar olabilir. Bilgisayar güvenliği endişelerini ele almak ve çalışanları bilgisayarlarını yapılandırmayla ilgili her türlü sorumluluktan kurtarmak için özel (“güvenilir” olarak okuyun) bir ekibe sahip olmak BT dünyasında bir normdur. Bununla birlikte, OT dünyasında, operasyon ekibinizin bilgi güvenliğinden ortak sorumlu olması gerekir çünkü işlerini tamamlamak için eninde sonunda özellikleri etkinleştirmeleri veya devre dışı bırakmaları gerekecektir. Yeni yazılım yükleyin. Satıcılarla çalışın. Genel olarak deneyimler, harici mühendislere güvenmenin güvenlik açıklarına, uzun bekleme sürelerine ve gözetim ve sorumluluk eksikliğine yol açtığını göstermiştir.
İşte onu zaten bildiklerimiz çerçevesinde çerçevelemek için kullanabileceğimiz bir düşünce deneyi. Çoğu çalışanın tıp eğitimi yoktur ve kendileri veya başkaları için tıbbi kararlar almalarının tehlikeli olacağı mantıklıdır. Bununla birlikte, tıp uzmanları kendi yollarına devam ederken, çalışanları kalp masajı ve başkalarıyla ilgilenmek için bir dizi ilk müdahale tekniği sağlamak üzere eğitmek köklü bir uygulamadır. Benzer şekilde, sınırlı kaynaklarımız olduğu için santral çalışanlarının bir alt kümesine sistemlerini güvende tutmak için ilk müdahale prosedürlerini öğretmek zorundayız. Ofise serpiştirilmiş doktorlarımızın olmamasıyla aynı nedenle. Bu, her çalışanın aynı erişim düzeyine sahip olduğu anlamına gelmez. Operatörler, I&C Teknisyenleri ve DCS Mühendislerinin hepsinin farklı erişim seviyeleri olabilir. Güvenlik duvarı yapılandırmasına erişim gibi bazı özelliklere sitedeki hiç kimse erişemeyebilir. İnsanlara neleri koruyabileceklerine göre erişim verirsiniz.
Program Yöneticisi ne yapar?
Son olarak, program yöneticisinin rolü büyük resmi anlamaktır. Programı çalışır durumda tutmak için sermaye kaynakları tahsis edin. Doğru yeteneği bulun – ki bu çok büyük bir zorluktur – ve dışarı çıkıp işlerini yapabilmeleri için onlara ekibin vizyonunun ne olduğunu iletin. Ayrıca program yöneticileri, geçici yetenek açıklarını telafi etmek ve yazılım tekliflerini değişen gerçekleri yansıtacak şekilde özelleştirmek için satıcılarla zaman içinde müzakere edecek. Bu gerçeklerin farkında olmak, program yöneticisi için çok zorlu bir başka zorluğa yol açar: siber güvenlik programının kuruluş için neler başarabileceği konusunda gerçekçi olmak.
Bu son fikir genellikle keşfedilmeden bırakılır. Siber güvenlik programınız ne kadar gelişmiş olursa olsun, harika bir yönetici, gelişmiş bir saldırganın hayal bile edemeyeceğimiz şekillerde yararlanabileceği pek çok hareketli parça olduğunu bilir. Örneğin, mühendislerin yamaları gerçek zamanlı olarak dağıtamayacaklarını biliyorlar. Bir gecikme var. Ve son kullanıcılar zaman zaman özensiz olabilir. Ve kuruluşlarındaki hiç kimse, bir sıfırıncı gün açığını engellemek ve hatta tespit etmek için gerekli araçlara veya uzmanlığa sahip olmayabilir. Bu nedenle, genellikle harici bir sunucuya olay günlüğünü etkinleştirmek ve bir acil durum planına sahip olmak çok önemlidir. Günlükler, otopsi yazmanıza ve ne olduğunu anlamak için satıcılarla çalışmanıza yardımcı olacak kara kutunuz olacaktır. Acil durum planı, bir sorun tespit edilir edilmez kontrol altına almanıza yardımcı olacaktır. Bazen acil durum planı, tesis operatörlerinin kontrol ağını izole etmek için acil bir durumda bağlantısını kestiği, güvenlik duvarına tanımlanmış bir yer-uydu hattı kablosu kadar basittir.
Çözüm
Uzun bir yol kat ettik. Birçok şirket hala çalışanlarının rollerini belirlemeye çalışıyor ve birçoğu yılda bir kez bile yama yapmaya ayak uyduramadıkları için hâlâ istisnalar yazıyor. Birkaçı hala OT’yi BT ile birleştirebileceklerine inanıyor. Ve diğerleri, siber güvenlik programlarını yeni yollarla geliştirmek için Biden yönetiminin sunduğu fırsatlardan yararlanıyor. Çoğunlukla düzenlemeye tabi olmayan kamu hizmetleri şirketleri olmak üzere bazılarının henüz bir siber güvenlik programı yoktur. Farklı stratejilerin izleyicisi olarak, bu örgütsel deneylere tanık olmanın ve neyin en iyi çalıştığına dair içgörü sağlamanın değerini görüyorum.
yazar hakkında
Juan Vargas, Artech, LLC’de Siber Güvenlik ve Mühendislik Danışmanı.
Carnegie Mellon Üniversitesi mezunu, kariyerine Intel Corp’ta veri analizi yaparak başladı, ardından Emerson Electric’te otomasyon ve kontrol sistemlerine odaklandı ve sonunda bu sistemler için siber güvenlik uzmanı oldu. Amerika Birleşik Devletleri’ndeki En İyi 10 kamu hizmeti şirketinin tümü için enerji üretiminde ve çeşitli projelerde çoğu kontrol sistemiyle çalıştı.
Juan’a Twitter @JuanVargasCMU üzerinden ulaşılabilir.