Aşağıdakiler 1 Kasım 2023’te piyasaya sürülecek kitap setinden alıntılardır.
Geleneksel BT ağları ile operasyonel teknoloji (OT) veya endüstriyel kontrol sistemi (ICS) ağları arasındaki farklar hakkında çok şey yazıldı: OT ağlarında yama uygulamak daha zordur, antivirüs daha zordur, OT ağları çok eski protokoller ve bilgisayarlar kullanır ve çok büyük farklar vardır. Bu ağları yöneten kişilerin değişime karşı direnci. Ancak bu farklılıkların hepsi yüzeyseldir. Bu iki tür ağ arasındaki temel fark, sonuçlardır: Çoğu zaman, siber saldırıların en kötü sonuçları, BT ve OT ağlarında niteliksel olarak keskin bir şekilde farklıdır.
Bu fark nedir? Fidye yazılımı BT ağımıza saldırıyor ve ne yapacağız? Algılıyoruz, yanıt veriyoruz ve kurtarıyoruz. Etkilenen bilgisayarları tespit edip izole ediyoruz. Adli görüntüler alıyoruz ve ekipmanı siliyoruz. Yedeklerden geri yükleme yapıyoruz. Tekrarlıyoruz. En kötü durumda, kişisel olarak tanımlanabilir bilgiler (PII) veya diğer hassas bilgiler sızdırılır ve davalarla karşı karşıya kalırız. Bunların hepsi ticari sonuçlardır. Başka bir deyişle, BT ağlarında siber riski yönetmenin amacı, bilgileri koruyarak, yani iş bilgilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini koruyarak iş sonuçlarını önlemektir.
Ancak OT ağlarında, uzlaşmanın en kötü sonuçları neredeyse her zaman fizikseldir. Nesneler patlıyor ve insanları öldürüyor, endüstriyel arızalar çevre felaketlerine neden oluyor, ışıklar sönüyor veya içme suyumuz kirleniyor. OT ağları için siber risk yönetiminin hedefi genel olarak doğru, sürekli ve verimli çalışmayı sağlamaktır fiziksel sürecin. Amaç “bilgiyi korumak” değil, fiziksel operasyonları bilgiden, daha spesifik olarak bilginin içine yerleştirilmiş olabilecek siber sabotaj saldırılarından korumaktır. BT ve OT ağları arasındaki temel fark budur: ne insan hayatı, ne zarar gören türbinler, ne de çevresel felaketler “yedeklerden geri yüklenemez.”
Bu, bir şekilde sihirli bir değnek sallayıp tüm endüstriyel ağları tamamen yamalanmış, tamamen antivirüs korumalı, tamamen şifrelenmiş ve modern BT siber güvenlik mekanizmalarıyla tamamen güncel hale getirsek bile, bu temel farkın kalacağı anlamına gelir. Bugün ve her zaman sonuç farkı, iş ağlarına kıyasla güvenlik açısından kritik ve güvenilirlik açısından kritik ağlarda risk yönetimine farklı bir yaklaşım gerektirir.
Güvenlik Mühendisliği
İyi haber şu ki, mühendislik mesleğinin OT siber risklerini ele alacak güçlü araçlara sahip olması. Örneğin mekanik aşırı basınç valfleri basınçlı kapların patlamasını önler. Bu valfler CPU içermez ve bu nedenle hacklenemezler. Tork sınırlayıcı kavramalar türbinlerin parçalanmasını önler, CPU içermez ve bu nedenle hacklenebilir. Tek yönlü ağ geçitleri fiziksel olarak saldırı bilgilerinin tek yönde geçmesine izin veremez ve bu nedenle hacklenemezler. Günümüzde bu güçlü araçlar genellikle ihmal ediliyor çünkü bu araçların BT güvenlik alanında bir benzeri yok.
Biraz daha derine inersek, mühendislik mesleği bir yüzyılı aşkın süredir kamu güvenliğine yönelik riskleri yönetiyor. Zayıf mühendisliğin kamu güvenliği açısından risk oluşturması nedeniyle mühendislik mesleği tıp ve hukuk mesleklerine benzer şekilde birçok yargı bölgesinde yasal olarak düzenlenmiş, kendi kendini düzenleyen bir meslektir. Mühendislik mesleğinin OT siber risklerini yönetmeye çok büyük katkısı var, ancak bu hem mesleğin içinde hem de dışında yeterince anlaşılamıyor.
Neden? Başlangıç olarak, dünyada OT güvenlik uygulayıcılarının 50 katı kadar BT güvenliği uygulayıcısı vardır ve bu nedenle, endüstriyel siber güvenlik çözümlerine ihtiyaç duyduğumuzda genellikle ilk danışılan kişiler BT uzmanlarıdır. Ancak çoğu BT güvenlik uzmanı mühendis değildir ve bu nedenle mühendislik mesleğinin sorumluluklarının ve bu mesleğin yapabileceği katkıların farkında değildir.
Bir bütün olarak mühendislik mesleğinin durumu pek de iyi değil. Fiziksel sonuçları olan siber saldırılar yılda iki kattan fazla artmaya devam ederse, OT siber sorunu on yılın sonundan önce kriz boyutlarına ulaşacak. Ancak çoğu yargı bölgesinde mühendislik mesleği, kamuya ve fiziksel operasyonlara yönelik siber riskleri henüz kavrayabilmiş değil. Bu yazının yazıldığı sırada, güçlü siber risk yönetimini endüstriyel tasarımlara uygulamamanın, bir mühendisin uygulama lisansına mal olabileceği hiçbir yargı yetkisi yoktur.
Yine de ilerleme var. Geçtiğimiz yarım on yılda, sağlam siber güvenlik mühendisliğine yönelik bir dizi yaklaşım netleşti:
- Süreç mühendisliği: Sonuç Odaklı Siber Güvenlik için Güvenlik PHA İncelemesi ders kitabı, çalışanlara, çevreye ve kamu güvenliğine yönelik siber tehditlere yönelik hacklenemez fiziksel azaltımları hayata geçirmek için rutin süreç tehlike analizi (PHA) mühendislik incelemelerini kullanmaya yönelik bir yaklaşımı belgelemektedir.
- Otomasyon mühendisliği: Andrew Bochman ve Sarah Freeman’ın kitabı Siber Sabotajla Mücadele: Sonuç Odaklı, Siber Bilgilendirilmiş Mühendislikle Tanışın Temel olarak risk değerlendirmesiyle ilgili bir metindir ancak ekipman korumasına yönelik siber tehditlere yönelik hacklenemez dijital azaltımlar da dahil olmak üzere, siber tehditlere yönelik hacklenemez hafifletmelere ilişkin bir dizi bölüm içerir.
- Ağ Mühendisliği: Kitabım Güvenli Operasyon Teknolojisi “Bilgiyi korumaya” çalışmak yerine, doğru fiziksel işlemleri, gelen bilgi akışlarına gömülebilecek saldırılardan korumaya yönelik mühendislik perspektifini açıklar. Metnin büyük bir kısmı, saldırı bilgilerinin ağlara girmesi için herhangi bir yol sunmadan, izleme bilgilerinin ağdan çıkmasını sağlayacak endüstriyel ağları tasarlamanın farklı yollarına odaklanmıştır.
Bu temayla ilgili olarak ABD Enerji Bakanlığı (DOE), Haziran 2022’de “Ulusal Siber Bilgilendirilmiş Mühendislik Stratejisi”ni (PDF) de yayınladı. Strateji, diğer şeylerin yanı sıra “tasarım kararlarını kullanmak” için bir mühendislik bilgisi bütünü geliştirmeyi amaçlıyor. ve siber saldırılara yönelik yolları hafifletmek, hatta ortadan kaldırmak veya bir saldırı meydana geldiğinde sonuçları azaltmak için mühendislik kontrolleri.
İleriye dönük
Yeni kitabın ele aldığı ana soru, siber güvenlik söz konusu olduğunda, “ne kadar yeterli?” Sonuçlar, bir sistemin veya ağın ihtiyaç duyduğu koruma derecesini belirler ve mevcut en iyi kılavuz, güvenlik açısından kritik ve kritik altyapı sistemlerini güvence altına almamız gerektiğini söylüyor Gerçekten iyice. Bu çok pahalı bir süreçtir. Daha da kötüsü, en iyi siber güvenlik programları bile kamu güvenliği risk altında olduğunda mühendislik tasarımlarından beklediğimiz belirleyici korumayı sağlayamıyor.
Güvenlik mühendisliği, rutin ve sistematik olarak uygulandığında, pek çok güvenlik ve güvenilirlik/ulusal güvenlik sonucunu göz ardı etme potansiyeline sahiptir. Bu, dramatik biçimde basitleştirme potansiyeline sahiptir “ne kadar yeterli?” sorusunu, OT ağlarında kalan riskleri ele alan siber güvenlik programlarının gerekli gücünü ve maliyetini azaltarak sorun. OT kapanmaları, ekipman hasarı ve siber saldırılardan kaynaklanan daha kötü durumlar açısından yaklaştığını gördüğümüz kriz göz önüne alındığında, bu yeni yaklaşımın zamanı geldi .
Daha kitap hakkında bilgi linkte bulabilirsiniz.