Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Kritik Altyapının Operasyonel Teknoloji Güvenliğinin Sağlanmasına İlişkin İlkeler
Prajeet Nair (@prajeetspeaks) •
3 Ekim 2024
Operasyonel bir teknoloji ağından veri çekmeyin: OT ağları verileri dışarı aktarmalıdır. Kritik OT ağlarını daha az kritik OT ağlarından ayırın. Yöneticiler elektrik tamamen kesildiğinde yeniden başlatmayı engellemeyeceklerini garanti etmedikleri sürece siber güvenlik sistemlerini OT ağına dahil etmeyin.
Ayrıca bakınız: MDR Yönetici Raporu
Bunlar, ABD, Avustralya, Almanya ve Japonya’dan siber kuruluşlar da dahil olmak üzere dokuz hükümetin desteğiyle Salı günü yayınlanan kılavuzdan alınan sonuçlardır.
Kılavuz, kuruluşların su, enerji, ulaşım ve sağlık gibi sektörlerdeki kritik altyapılara yönelik siber güvenlik korumalarını güçlendirmek için izleyebileceği altı temel prensibi özetlemektedir.
Kılavuzun altı ilkesi, OT güvenliğinin kritik yönlerine odaklanıyor: güvenlik, iş bilgisi, veri koruma, ağ bölümlendirme, tedarik zinciri güvenliği ve insan faktörü. OT sistemleri, geleneksel BT ağlarından farklı olarak insan hayatını doğrudan etkileyebilecek fiziksel süreçleri kontrol eder.
Kılavuz, güvenliğin en önemli prensip olduğunu söylüyor. Yanlış giden kritik bir altyapının birinci dereceden tehlikeleri arasında yüksek voltaj, yanıcı patlamalar, yüksek hızlı çarpışmalar ve kimyasal ve biyolojik tehlikeler yer alır. Bu tehlikeler şu soruyu akla getiriyor: Bir kuruluş, “kötü bir aktörün ağda olduğunu veya şu anda ağda olduğunu bilerek” yazılımın doğru şekilde çalıştırılmasına dayalı bir çalışma ortamına personel göndermeye hazır mı? Rehber soruyor.
OPSWAT uluslararası kıdemli başkan yardımcısı James Neilson, artan jeopolitik gerilimlerin kritik altyapıları ve OT ağlarını “siber suçlular ve ulus devletler için ana hedeflere” dönüştürdüğünü söyledi (bkz: Kritik Altyapılara Yönelik Saldırıların Sayısı Artıyor).
Saldırganların, tamamı OT sistemlerine bağlı olan, enerjiden ulaşıma kadar çeşitli temel hizmetleri hedef alarak toplumları giderek daha fazla bozmaya çalıştıklarını da sözlerine ekledi. Neilson, bunun, sıklıkla öne sürülen önleme ihtiyacını özellikle kritik altyapı ortamlarında önemli hale getirdiğini söyledi. “Önleme yerine tehdit tespitine aşırı güvenmek, kuruluşları gereksiz yere açıkta bırakabilir.”
Temel ilkelerden biri, yapılandırma dosyaları da dahil olmak üzere OT verilerinin değerli olduğunu ve korumaya ihtiyaç duyduğunu vurguluyor. OT ortamları, tipik BT sistemlerinden farklı olarak yavaş bir şekilde değiştiğinden, yapılandırma verileri saldırganlar için özellikle çekici hale gelir. Herhangi bir ağ konfigürasyonunun 5 yıl içinde değişmesi pek mümkün değildir ve yirmi yıl veya daha uzun süre dayanabilir. Rehberde, 1250 adresini bilen bir saldırganın bir devre kesici olduğunu veya bir OT ağı hakkında daha derinlemesine bilgi sahibi olduğunu “kurumsal bir BT ortamında önceden konumlandırma kavramına benzetilebilir” deniyor.
Kılavuz, herhangi bir zayıf halkanın tüm sistemi tehlikeye atabileceğinden tedarik zinciri elemanlarının, satıcıların, yüklenicilerin ve üçüncü tarafların güvence altına alınması ihtiyacının altını çiziyor. Neilson, “Herhangi bir bileşendeki güvenlik açıkları tüm ağı tehlikeye atabilir” dedi.
Neilson, “Bir kuruşluk önleme, bir kiloluk tedaviden daha değerlidir” diye ekledi.