Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Küresel siber ajanslar, tehditlerle mücadele etmek için kapsamlı OT envanterlerini çağırıyor
Chris Riotta (@Chrisriotta) •
29 Eylül 2025
Küresel siber güvenlik ajansları, kritik altyapı operatörlerini operasyonel teknoloji ortamlarının tam bir resmini oluşturmaya çağırıyorlar, ancak analistler, yayılan, onlarca yıllık ağların her köşesini haritalamanın pratikte daha zor olabileceğine dair uyarılar.
Ayrıca bakınız: Ondemand Panel | HCLTech ve Microsoft ile OT güvenliğini güçlendirmek
Birleşik Krallık Ulusal Siber Güvenlik Merkezi ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve diğer Müttefik ortaklarının siber ajansları tarafından desteklenen rehberlik, OT ortamlarının “kesin bir kaydını” oluşturmak ve sürdürmek için ilkelere dayalı bir çerçeve detaylandırmaktadır. Power şebekeleri, su sistemleri ve fabrikalar operatörlerini, sistem bağlantısını belgelerken, yapılandırılmış değişim yönetimi ve üçüncü taraf erişim ve sözleşmeye bağlı riskleri titizlikle yöneterek kayıtları doğrulamak ve koruyarak varlıklarını kritiklik ile kataloglamaya çağırıyor.
OT güvenlik uzmanları, OT ortamlarının kesin bir kaydının uygulanması ve sürdürülmesi mümkün ve gereklidir. Ancak süreç, eski sistemlerin gerçek zamanlı envanteri zorlaştırdığı için operatörlerin varlık görünürlüğüne nasıl yaklaşımında büyük bir değişim gerektiriyor. Yine de, siber-fiziksel tehditlerin artan karmaşıklığı, kuruluşların artık kimin neye eriştiğine dair dinamik bir kayıt olmadan artık çalışmayı göze alamayacağı anlamına geliyor.
BeyondTrust’un kamu sektörü baş siber güvenlik teknolojisi olan Kevin Greene, “Gerçek bir kaynağa sahip olmak karmaşık eski ortamlar için son derece önemlidir.” Greene, kesin bir kayıtla kör noktaların kaldırılmasının, kritik altyapı operatörlerinin görev-kritik sistemleri daha iyi savunmasına izin vereceğini söyledi. Dokümantasyon için yapılan baskı, güvenlik kararlarının tek bir yetkili görünüm tarafından bilgilendirilmesini sağlamak için malzeme yazılım faturaları, güvenlik açığı yönetimi, varlık izleme ve sıfır güvenle ilgili daha geniş endüstri çabalarıyla uyumludur.
Yetkili, beş göz ve uluslararası partnerde, OT ortamlarında pazarlık edilemez olarak görünürlüğü artırmaya işaret eden “devam eden bir” değişim ve fikir birliği “olduğunu da sözlerine ekledi. Greene, bu kuralcı gereksinimlerin nihayetinde yama, segmentasyon, kimlik koruması ve izleme gibi kontrolleri destekleyeceğini ve siber saldırılara karşı OT savunmalarını güçlendirmek için destekleyeceğini söyledi.
Bu değişim Amerika Birleşik Devletleri’nde NIST SP 800-82 güncellemelerinde, CISA’nın sektörler arası OT danışmanları ve enerji, ulaşım ve sudaki son görevlerde görülebilir. Hükümetler dünyanın dört bir yanında aynı yönde ilerliyor, operatörleri hassas envanterleri, belge yapılandırma değişikliklerini ve kritik olayları düzenleyicilerin veya denetçilerin doğrulayabileceği şekilde kaydetmek için bastırıyor.
Kılavuz, operatörlere statik varlık listelerinin ötesine geçmeleri ve farklı bağlantı, değişim yönetimi ve üçüncü taraf erişim yöntemlerini açıklayabilecek yaşam kayıtları oluşturma talimatı verir. Ayrıca paydaşları ağ protokollerini ve mimari güvenlik kontrollerini belgelemeye teşvik eder.
Uzmanlar, kesin bir kaydın gerçek değerinin aktif tehdit istihbaratı ve risk puanlamasına bağlı olduğunda geldiğini söylüyor. Ciser verilerini, CISA’nın istismar tahmini puanlama sistemi gibi CISA’nın istismar edilmiş güvenlik açıkları kataloğu ve araçları ile ilişkilendirerek, operatörler, en acil tehditleri vurgulayan dinamik risk yönetimi platformlarına dönüştürebilirler.
Shankar, “Kesin bir kaydı sürdürmek sadece varlıkları tanımlamak değil, aynı zamanda kaydın zamanla alakalı ve işlem yapılabilir kalmasını sağlamakla ilgilidir.” Dedi. Diyerek şöyle devam etti: “Böyle bir kaydın sürdürülmesi, değişim yönetimi iş akışlarına organizasyonel bağlılık ve entegrasyon gerektiriyor, ancak teknik engeller artık aşılmaz değil.”
Birçok kritik altyapı operatörü sınırlı kaynak ve personel ile mücadele etmektedir. Uzmanlar, teknolojinin artık varlık verilerini sürekli olarak yenilemek, doğruluğunu doğrulamak ve canlı tehdit istihbaratı ile zenginleştirmek için var olduğunu söylüyor. Özellikle kritik sektörler için, “kesin kayıt”, isteklilik rehberliğinden pratik bir taban çizgisine geçiyor – biri esneklik ve düzenleyici hazırlık için gerekli görülüyor.
Rehberlik, kesin bir kaydın OT ve BT ekipleri arasında işbirliği gerektiren bir yönetişim sorunu olduğunu ve sistem bilgisinin nasıl korunduğuna dair açık bir hesap verebilirlik olduğunu kabul etmektedir. Rekoru “tek bir gerçek kaynağı” olarak çerçeveleyerek, rehberlik, gelecekteki saldırılara karşı esnekliğin, güvenlik duvarları, saldırı tespiti ve hızlı yanıt çabaları gibi kapsamlı belgelere ve envanter listelerine bağlı olabileceğini düşündürmektedir.