Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Sektör Çok Faktörlü Kullanıyor, Buluttan Kaçınıyor, Siber Sigortayı Karşılayamıyor
David Perera (@daveperera) •
14 Ekim 2024
Kredi derecelendirme kuruluşu Moody’s’in sektörel değerlendirmesi, petrol ve gaz sektörünün yüksek düzeyde siber farkındalığa ve düşük düzeyde siber sigortaya sahip olduğunu söylüyor.
Ayrıca bakınız: İsteğe Bağlı Panel | OT Güvenliğini HCLTech ve Microsoft ile Güçlendirme
Mali analiz firmasının Pazartesi günü yayınlanan ve yenilenemeyen enerji sektöründeki borç ihraççıları arasında 2023 yılında yapılan bir ankete dayanan ödeme duvarı araştırması, on sektör şirketinden dokuzundan fazlasının özel siber güvenlik personeli istihdam ettiğini ortaya çıkardı. Petrol ürünlerinin taşınması, depolanması ve toptan pazarlanmasından sorumlu alt sektör olan orta ölçekli şirketlerde bu sayı 10’da 8’in biraz üzerine düşüyor. Moody’s sözcüsü, açık bir neden bulunmadığını ve eşitsizliğin anlamlı olmadığını söyledi.
Ankete katılan şirketlerin dörtte biri, CEO maaşını siber güvenlik hedeflerine ulaşmayla ilişkilendiriyor; bu rakam, yalnızca %18’lik küresel kurumsal ortalamayı aşan bir rakam. Entegre petrol şirketlerinde (araştırmadan dağıtıma kadar işin tüm yönlerini ele alan şirketler) bu sayı CEO’ların üçte ikisine çıkıyor.
Ankete katılanların tamamı olay müdahale planlarının olduğunu ve 10 kişiden dokuzu bu planları yılda en az bir kez test ettiğini söyledi. 10 kişiden sekizinden fazlası, e-posta gibi çevrimiçi kaynaklar için çok faktörlü kimlik doğrulamayı kullanıyor; bu sayı, büyük entegre petrol şirketlerinde 10 üzerinden 10’a çıkıyor. Yedekleme daha zayıf bir alandır; sektör katılımcılarının yalnızca %67’si düzenli olarak yedekleme aldıklarını bildirmiştir; bu rakam %81’lik kurumsal ortalamanın altındadır.
Sektör, 2021’de Colonial Pipeline’da meydana gelen ve Amerika’nın Güneydoğusunda kısa süreli gaz kesintilerine yol açan olay da dahil olmak üzere bir dizi yüksek profilli saldırıya maruz kaldı. Saldırı, o zamanlar yeni oluşan Biden yönetiminin siber güvenliğe yaklaşımını şekillendirdi ve yeraltındaki fidye yazılımını bozmayı hedefleyen çok yıllı, uluslararası bir çabayı harekete geçirdi (bkz.: LockBit ve Evil Corp, Fidye Yazılımına Karşı Baskıda Hedef Alındı).
Teksaslı petrol hizmeti devi Halliburton, geçtiğimiz günlerde ABD federal düzenleyicilerine, şirketin ağustos ayının sonlarında ağlarında “izinsiz aktivite” olduğunu kabul etmesinden sonra bilgisayar korsanlarının verileri çaldığını söyledi. İspanyol entegre çokuluslu Repsol, Eylül ayında doğal gaz müşterilerine, üçüncü taraf bir teknoloji sağlayıcısında meydana gelen bir olayın, tam adlar, ulusal kimlik numaraları ve adresler dahil olmak üzere verilerin ihlaline yol açtığını söyledi.
Moody’s’in petrol ve gaz sektörüne odaklanan başkan yardımcısı Janko Lukac, e-postayla yaptığı açıklamada, “Enerji sektörleri özellikle siber saldırı riski altında” dedi. “Enerji üretimi ve dağıtımı ulusal güvenliğin anahtarıdır ve dolayısıyla hassas bir konudur. Bir şeyler maddi olarak ters giderse, Sömürge Boru Hattı olayının da gösterdiği gibi, son tüketiciler için potansiyel olarak doğrudan sonuçları olabilir.”
Anket sonuçlarına göre, sektördeki yüksek düzeydeki siber güvenlik farkındalığı, bulut depolamaya yönelik temkinli tutumla birleşiyor.
Ankete katılan şirketlerin neredeyse tamamı özel bulut teknolojisine yöneldiklerini ancak BT altyapısını kendi tesislerinde tutmaya kararlı olduklarını da belirtti. Genel bulut bilişimi kullananların çoğu, Avrupa, Orta Doğu ve Afrika merkezli petrol şirketleri hariç, tek bir sağlayıcıya bağlı kalma eğiliminde. Bu firmaların temsilcilerinin neredeyse üçte ikisi Moody’s’e birden fazla sağlayıcı kullandıklarını söyledi.
Sektörde siber sigorta kullanımı yaklaşık %80 olan kurumsal ortalamanın altındadır. Sektör firmalarının yalnızca yarısı sigortayı taşıyor; bu, iç güvenliğe ve risk yönetimi uygulamalarına duyulan yüksek güven ile açıklanabilen bir veri. Moody’s, “Sigorta ürünlerinin maliyeti ve kalitesi de faktörler olabilir” diye yazdı.
“Sektörle yapılan görüşmelere dayanarak, potansiyel hasarların oldukça maliyetli olabileceği görülüyor (potansiyel üretim kayıpları/çevresel zararlar dikkate alındığında). Bazı risklerin büyüklüğü ve ciddi sonuçları nedeniyle, uygun bir sigorta teminatı bulmak genellikle ekonomik açıdan uygun değildir. “dedi Lukac.
Siber güvenlik müşterilerinin çoğu primlerin hızla arttığından şikayetçi, ancak Moody’s verilerine göre petrol sahası hizmetlerinde oranlar 2020 ile 2022 arasında %315 arttı. Bu dönemde toplam sektör primleri %70 oranında arttı; bu oran kurumsal ortalama olan %50’nin üzerindedir.