ABD’li yetkililer ve özel güvenlik uzmanları, bu ülkenin fiziksel altyapısının, sofistike ulus devlet düşmanlarının ve suç teşkil eden bilgisayar korsanlığı çetelerinin giderek artan gizli saldırıları tarafından tehdit edildiği konusunda uyardı. Bir Rus askeri istihbarat birimiyle bağlantılı bilgisayar korsanları, bu yıl zaten Teksas’ta çok sayıda su tesisine saldırıda bulunmuştu. Her seferinde Rus saldırganların, su tesislerindeki fiziksel ekipmanı kontrol etmek için kullanılan yazılım arayüzlerini manipüle ettiklerini göstermek için sosyal medyada videolar yayınladığı bildirildi. Yetkililer, Ocak ayında meydana gelen bir saldırının Teksas’taki bir su tesisindeki bir tankın taşmasına neden olduğuna inanıyor.
FBI Direktörü Christopher Wray, Kongre’deki son ifadesinde, Çin’in bilgisayar korsanlarının “kritik altyapımızı -elektrik şebekemizi, petrol ve doğal gaz boru hatlarımızı, ulaşım sistemlerimizi- hedef aldığını ve her Amerikalı için teşkil eden riske şu anda dikkat etmemiz gerektiğini” açıkça uyardı.
FBI şefi Kongre önünde böylesine samimi bir açıklama yapmak zorunda hissettiğinde, bu, Amerikan kamuoyunun bu endişe verici tehdidin ardındaki temel yapısal sorunları dikkate alması için uygun bir zaman gibi görünüyor.
BT Siber Güvenliği ile OT Siber Riski Arasındaki Fark
Öncelikle siber güvenlik ile siber risk yönetimi arasında net bir ayrım yapmak kritik önem taşıyor. Siber güvenlik, bir kuruluşun tüm bilgi teknolojisinin (BT) ve CISO’ların ve güvenlik operasyon merkezlerinin alanı olan verilerinin güvenliğini sağlamayı içerir. Ancak tesis operatörleri, enerji, ulaşım ve enerji sistemlerine yönelik fiziksel tesisleri yönetmek için kullanılan operasyonel teknolojinin (OT) güvenliğinden büyük ölçüde sorumludur.
OT bileşenleri ısıtma ve soğutma, telekomünikasyon ve bina kameraları ve güvenlik sistemlerine yönelik kontrolleri içerir. Çoğu zaman, CISO ile OT yöneticisi arasında, OT güvenliğinin bazı yönlerini ve belirli sistem ve cihazlara yönelik riskleri kimin denetleyeceğine ilişkin olarak bir boşluk veya gri alan olabilir. Güvenlik açıkları, daha sonra ilgili sistemleri ve cihazları tehlikeye atacak kötü amaçlı yazılım yüklemek için ekipmana gizlenen arka kapıları içerebilir. Diğer tehditler arasında donanıma zarar verecek şekilde güç kaynaklarının kesilmesi veya sistem arızalarına neden olacak şekilde makinelerin kapatılması yer alır.
Siber risk yönetimi, bu saldırıların olasılığını ve çeşitli olay türlerinin tahmini ciddiyetini hesaba katar. Bu şekilde işletmeler başarılı bir saldırının yol açabileceği potansiyel zararları modelleyebilir. Siber risk yönetimi yaklaşımının herhangi bir zamanda bir kuruluşun siber güvenlik durumunu tanıması gerekir, ancak aynı zamanda sektörüne, büyüklüğüne, konumuna, müşteri tabanına ve diğer parametrelere göre işletmenin ne kadar hedeflendiğini de hesaplamalıdır.
Kritik altyapı sektörlerindeki CISO’lar, kurumsal BT altyapılarını ve OT ortamlarını, yönetim ve bakım için sürekli olarak internete bağlı ekipmanlarla güvence altına alma riskiyle karşı karşıyadır. Uygulamaların ve altyapının bu bağlantısı, ekipmanı siber olaylara ve fidye yazılımı saldırılarına maruz bırakabilecek bir vektör oluşturur. Tehdit aktörleri bir OT sistemine fidye yazılımı saldırısı gerçekleştirerek başarılı olduğunda, bu kesintiler üretimin durdurulmasına, sipariş tesliminde gecikmelere ve markanın itibarının zedelenmesine yol açabilir, ayrıca güvenlik, yasal ve mevzuatla ilgili endişelerden oluşan bir labirent oluşturabilir.
OT Siber Riskini Analiz Etmek ve Önlemek İçin Adımlar Atmak
Kimlik avı e-postalarının nasıl tanınacağı konusunda eğitimi olmayan çalışanlardan, temel siber güvenlik programlarına sahip olmayan iş ortaklarına kadar, OT tesislerinde siber riskler çok fazladır. Riskler aynı zamanda uygunsuz bir şekilde işe alınan ve ayrılan yüklenicileri veya parola yönetimi politikaları gibi temel siber hijyen uygulamalarını hiçbir zaman uygulamayan tesisleri de kapsayabilir.
Bu çok yönlü sorunu her yönüyle ele almak için CISO’ların ve CFO’ların karşılaştıkları birçok karmaşık senaryoyu daha iyi ele almaları ve maliyet-fayda analizine dayalı olarak hangi güvenlik önlemlerinin en üst düzeyde öncelik alması gerektiği gerekiyor. Ayrıca siber riski parasal açıdan ölçmek ve azaltma stratejilerinin yatırım getirisini değerlendirmek için tekrarlanabilir uygulamalar geliştirmeleri gerekiyor. Bu yaklaşım, siber güvenlik yatırımlarını optimize ederken aynı zamanda kuruluşu, siber güvenliğe ilişkin güncel SEC düzenlemelerine uygun olarak yeterli siber sigorta kapsamını almaya hazırlar.
OT riskinin azaltılmasına yönelik yeni stratejiler arasında, güvenlik açıklarının neden olabileceği tüm iş zararlarını değerlendirerek CISO’lara ve CFO’lara avantaj sağlayan siber risk ölçümü ve yönetimi (CRQM) araçları yer alıyor. CRQM araçları, olası siber olayların etkilerini kapsamlı bir şekilde analiz ederek ve ardından hafifletme için en önemli risk kaynaklarına öncelik vererek yardımcı olur. Siber risk değerlendirmeleri, değerlendirmeye bağlamsal bilgiler ekleyerek siber güvenlik değerlendirmelerini de geliştirebilir. Bu şekilde kuruluşlar, risk azaltma projelerine öncelik vermek ve net bilgiye dayalı siber güvenlik yatırım kararları vermek için siber risk portföylerini proaktif bir şekilde yönetebilirler.
ABD altyapısına yönelik daha tehlikeli yabancı saldırılar neredeyse her gün artarken, sıradan operasyonel teknolojimizde gizlenen potansiyel olarak yıkıcı riskleri gözden kaçırmak veya göz ardı etmek artık pratik değil. Bu saldırılara ve bunların kritik altyapıya ve Amerikan halkına verebileceği potansiyel zararlara karşı korunmak için daha kapsamlı siber güvenlik ve siber risk değerlendirmelerine ihtiyaç duyulacaktır.
Reklam