Modern bir tıp, üretim veya lojistik tesisi geliştiriyorsanız, yatırımınızın büyük bir kısmının cihazınızın elektronik özelliklerine yapıldığına şüphe yoktur. Sensörler, bağlı cihazlar ve makineler, akıcı bir deneyim sunmak için senkronize edilir. Tesis operatörleri için buna asansörler, HVAC sistemleri, PLC kontrolleri, vanalar, pompalar ve “bağlı” olarak düşünmediğimiz bir dizi sistem dahildir. Sorun da tam olarak bu.
Bahsedilen cihazların çoğu artık merkezi bir bina yönetim sistemi tarafından kontrol ediliyor, ancak bunlar koruma düşünülerek tasarlanmamıştır. Bir bilgisayar korsanı asansör kadar basit bir şeye erişim elde ederse, ağda hareket ederek güvenlik yayınlarını devre dışı bırakabilir, monitörleri kurcalayabilir ve ortalığı kasıp kavurabilir. Bazen bu bir fidye yazılımı saldırısına dönüşür. Diğer zamanlarda, tehdit aktörüne ve amaçlarına bağlı olarak tüm tesisin kapatılmasına dönüşebilir.
BT’den OT’ye ve ürün güvenliğine
Honeywell Küresel Başkan Yardımcısı ve Siber Güvenlik Genel Müdürü Mirel Sehic, konuyla ilgili düşüncelerini paylaşmak için Left to Our Own Own Devices podcast’ine katıldı. Operasyonel teknoloji sistemlerine yönelik saldırılarla ilgili olarak, “güvenlik akışlarınıza erişimi kaybettiniz. Şimdi standart bir premium ticari binaysa ‘tamam onu hemen düzeltmem lazım’ diyebilirsiniz. Ama ya bir hastane olsaydı? Ya bir veri merkezi olsaydı? Sonuçları nelerdir ve bu bir rahatsızlık mı yoksa hayatları tehlikeye mi atıyor?”
Mühendislik, mekanik ve robotik eğitimi alan Mirel Sehic, üretim tesislerinde, petrol kulelerinde ve diğer yerlerde valfleri ve pompaları kontrol etmek için proses kontrol ortamı ve PLC konusunda dişlerini çıkardı. Ağır sanayi için kritik altyapı kontrol sistemleri mühendisi olarak edindiği deneyim, ona çok güvendiğimiz kritik altyapının siber güvenlik açısından yeterli olmadığını ilk elden gösterdi.
Bu iş kolu, onu ICT, PLC ve dijital sistemler için kontrol sistemlerini entegre etme konusunda en ileri noktaya götürdü. Dijital dönüşüme ilk elden tanık oldu, şirketlerin BT’yi OT’ye ve şimdi de ürün güvenliğine uygulamasını izledi – bağlantılı kontrollerin siber güvenlik zayıf noktaları haline gelmemesini sağlıyor.
Aşırı karmaşık sistemlerdeki tehlikeler
Her tesisin bir merkezi kontrol sistemi vardır, ancak hiçbiri aynı olmadığı için hepsinin özelleştirmeye ve ince ayarlara ihtiyacı vardır. Evler, havaalanları, federal binalar, akademik kurumlar, depolar ve diğerleri, ele alınması gereken benzersiz zorluklara sahiptir.
Tesis operatörleri arasında günümüzün siber güvenlik farkındalığı manzarasını daha iyi anlamak için bir anket yürüttü ve siber liderlerin %93’ünün siyasi istikrarsızlığın önümüzdeki iki yıl içinde önemli ölçüde daha fazla saldırı için bir ortam oluşturduğuna inandığını ortaya çıkardı. Daha da endişe verici:
- Ankete katılanların %27’si son 12 ayda zaten bir ihlal yaşadıklarını söyledi
- Yanıt verenlerin %44’ü siber güvenlik veya ürün güvenliği için bir şeyler yüklediklerini veya üzerinde çalıştıklarını söyledi
- Ve ankete katılanların %50 gibi büyük bir kısmı, güvenlik yolculuklarına yeni başladıklarını söyledi.
Endişe verici olan, bu risklerin ihlal edilen kuruluşun dışında bile herkes tarafından paylaşılmasıdır. Hastaneler, kişisel olarak tanımlanabilir bilgileri ifşa etme riskiyle karşı karşıyadır, hizmetin kesintiye uğraması erişilebilirliği ortadan kaldırır, tedarik zincirinde birikmiş işler boş raflara yol açar, vb.
Bu kuruluşların karşılaştığı en büyük zorluk, eski sistemleri modern dijitalleştirilmiş operasyonlarına nasıl entegre edecekleridir.
ISA 99 Purdue modeli, gerçekten bölümlere ayrılmış ağlar oluşturmak için tasarlandı ve ihlal edildiğinde bilgisayar korsanlarının hareket etmesini engelledi, ancak çoğu yer için gerçek bu değil. Genellikle kuruluş, birbirleri, bulut ve çeşitli tesisler arasında veri paylaşan cihazlarla düzdür. Mirel Sehic, “Bugün düz ağlarımız var. Peki, bu bizi neye götürüyor? Bu ağlarda konuşan birçok sistemimiz var. Bazıları eski, bazıları oldukça yeni ve bazıları da son derece yeni.”
Meril müşterilerine anlatıyor ve sektörle paylaşıyor, “Bütün bu sistemler birbiriyle konuşmaya başladı – yani bu yeni bir şey. Geçmişte durum gerçekten böyle değildi. Sistemler artık veri paylaşmayan diğer sistemlerle konuşuyor. Bu sistemler ayrıca uç cihazlarla konuşuyor ve geri adım atıyor. Cihaz seviyesinden buluta veya cihaz seviyesinden uca, buluta konuşuyorlar.”
“Düşünürseniz, sanırım buradaki en büyük zorluk dijitalleşmemiz, birbirine bağlı, birlikte çalışabilir bir dünyaya doğru ilerlememiz. Belki durup ‘bir dakika, bütün bu eski sistemler, belki de bu şekil ve işlevde çalışacak şekilde tasarlanmamışlardır’ dedik.”
basit tut
İşi basit tutmak, uygulayıcıları ağları güvenli hale getirmenin ve ticari çıkarları kararlarımızın merkezinde tutmanın ne anlama geldiği konusunda eğitmekle el ele gider. Tüm ormanı görmek için ağaç örtüsünün üzerine çıkmamız gerekiyor.
Hangi tehditlerle karşı karşıyayız? Hangi riskleri taşıyoruz? Hangi konuda rahatız? Mirel Sehic’e göre, “Her şeyde olduğu gibi, öğeleri çeşitli bileşenlere ayırarak başlıyoruz ve o belirli şeyin çevreye uygulanabilirliğine göre öncelik sırasına koyuyoruz. Bu çok önemli çünkü tek bir ortam için geçerli olan her şey değil.”
Bir tıbbi tesisi bir rafineri ile karşılaştırırken, “Bir bakış açısı, yaklaşım, tehdit ve güvenlik açığı yönetimi farklılıkları vardır. Bunu tüm iş paydaşları için nasıl pratik hale getirebiliriz? Ve iş kelimesini vurgulayacağım çünkü yapmamız gereken bu.
Mesajlaşmamızı ne kadar basitleştirirsek ve herhangi bir jargonu kaldırırsak, diğerleri bunun işlerini nasıl etkilediğini o kadar çok anlayacaktır. Yöneticileri ve çeşitli paydaşları sohbete dahil etmek, siber güvenliğin örtüldüğü gizemi ortadan kaldırır. Bir yol haritası oluşturmamızı sağlayan konuşmalar yaratır. Baş Ürün Güvenlik Görevlilerinin (CPSO’lar) sorması gereken sorulardan bazıları şunlardır:
- Kuruluşun risk iştahı nedir?
- Bu iştahı olduğu gibi tutmak için ne kadar harcamaya hazırlar?
Bu sorular önemli konuşmalara yol açar. Ancak her şeyi ortaya koyduğunuzda bu risk iştahını tartmaya başlayabilirsiniz, o zaman kaç tane güvenlik katmanı uygulayabileceğinizi anlarsınız. Bakın, risk asla sıfır değil, çok az risk olabilir ve operasyonları engelleyen teknolojileri katmanlara ayırabilirsiniz, çok fazla iştah ve tesisler hedef haline gelebilir.
SBOM’lar önümüzdeki yıllarda nasıl yardımcı olabilir?
Yazılım Malzeme Listesi (SBOM) olarak bilinen bir yazılım ‘içerik listesi’ kavramı bir süredir ortalıkta dolaşırken, bunun düzenleyici ve gözetim organları tarafından gerekli hale geldiğini ancak son zamanlarda görmeye başlıyoruz.
SBOM’lara yönelik talepler yalnızca artacak, çünkü biraz düşünürsek, “Bugün kullandığımız uygulamaların büyük çoğunluğu bazı açık kaynak kod öğeleri içeriyor” dedi Şehik. “Açık kaynak kodu, depoları aktif olarak güncelleyen ve depoyu yöneten bir kişiye kadar tüm bu harika şeyleri yapan çok özel, çok kararlı, çok metodik bir bağımsız katkıda bulunanlar grubu tarafından yaratılmıştır. Bu kişi nadiren check-in yapabilir, yalnızca ilk taahhüdü tamamlayabilir.”
Açık kaynak ne kadar harika olursa olsun, yine de uygun SBOM üretimi ve yönetimi ile önemli ölçüde daha kolay ve daha şeffaf hale getirilen yönetim ve gözetime ihtiyaç duyar.
“Yani, bu yazılım içerik listesini aktif güvenlik açığı veritabanlarıyla eşleştirirsek, ürünümüz için besin değerimizi elde ederiz?” dedi Mirel Sehiç. “Çok fazla güvenlik açığı, diyetinizde çok fazla şeker olması kadar kötü. Dolayısıyla bu güvenlik açıklarının yönetilmesi gerekiyor. Her güvenlik açığı kırmızı kod anlamına gelmez. İş bağlamınıza göre haritalanması gerekiyor.”
Basitliğe geri dönersek, SBOM’lar, bir cihazda nelerin var olduğuna dair anlayışımızı basitleştirmenin ve ona karışık parçalardan oluşan bir kara kutu yerine haritalanmış bir sistem olarak yaklaşmaya başlamanın bir yoludur. “Sömürülebilirliğinizi ve genel tehdit ayak izinizi azaltmanın göze çarpan bir yolu.” dedi Şeyh.
2023 ve sonrası için hazırlık
Mirel Sehic’in 2023’ü “temellere dönüş yılı” olarak görmesi şaşırtıcı değil.
Verdiği üç ipucu şunlardı:
1 numara – Sahip olduklarınızı ölçün ve sağlam bir temel üzerine inşa edin “Mimari şemalarınızı ayırın, arabirim sistemlerini ve ilgili tedarikçilerin haritasını çıkarın. Mevcut iş operasyonlarınızla ilgili olarak siber güvenlik duruşunuzu belirleyin. Bence bu ilk ölçüm adımı süper, süper kritik. Aslında bir netlik noktasından başlamamıza izin verdiği için önemli.”
#2 – Siber güvenlik süreçlerini basitleştirin. Adreslenebilecek küçük parçalara ayırın. İşletmenin çalışabilirliği ile gerçekte neyin alakalı olduğunu düşünün?
“Görevleriniz neredeyse üç kovaya konulmalı, terk edilmeli – yapmayı bırakacağınız şeyler. Besleyeceğiniz şeyler ve başlattığınız şeyler doğru yönde ilerliyor. Ve son olarak yenilik yapın – bunlar, işletmenin büyümesine yardımcı olmak için yapacağınız yeni şeylerdir.”
#3 – Hesap verebilirlik anahtardır ve sahiplik aciliyeti tetikler. İğnenin hareket ettirilmesinden sorumlu olabilmeleri için kişilerin birincil irtibat kişisi olmasını sağlayın. “Bu ticari faydaların çok daha hızlı gerçekleşmesini sağlıyor. Kendimize hesap sormalıyız, başkalarından hesap sormalıyız ve bizim, bizim, bizim dediğimiz oranı yap oranı.
Nihayetinde, eğitim ve basitlik, ısırık büyüklüğünde parçalar halinde büyük bir resim yaklaşımı elde etmemizi sağlar. Güvenlik sistemleri bir günde kurulmaz ve dayanıklılık günümüzün tehditlerine karşı korunmak kadar önemlidir.
Zorlukları tanımlamak için basit kelimeler ve terminolojiler kullanıldığında, yöneticiler ve çeşitli oyuncular dikkat çekmeye başlar. Bu, uygun şekilde finanse edilen ve geleceğe yönelik güvenli olan daha iyi bir plana yol açar.