Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Rockwell, Harici Sabit Diskler ve PLC Hedeflemenin Oluşturduğu Siber Riski Azaltmayı Amaçlıyor
Michael Novinson (MichaelNovinson) •
8 Kasım 2023
Üretim kuruluşlarının eski sistemlere aşırı derecede bağımlı olması, siber saldırıların son iki yılda daha sık, karmaşık ve incelikli hale gelmesine yol açtı.
Ayrıca bakınız: OT-CERT: KOBİ’lerin Siber Güvenlik Risklerini Ele Almalarına Olanak Sağlıyoruz
Rockwell Automation Akıllı Cihazlardan Sorumlu Kıdemli Başkan Yardımcısı Tessa Myers, şirketin Boston’daki Otomasyon Fuarı konferansında, atık su arıtma tesisleri gibi endüstriyel tesislerdeki harici sabit disklerin özellikle sorun oluşturduğunu söyledi. Cihazlar küçüktür, gizlenmesi kolaydır ve normal cihazlar gibi görünerek tehdit oluşturur (bkz.: Verve Satın Alma, Rockwell’e Varlık Tanımlama Konusunda Destek Veriyor).
Şirketin Küresel Kurumsal Müşteri Deneyimi Başkan Yardımcısı Rachael Conrad, bir tehdit aktörünün ABD’deki 16.000’den fazla atık su arıtma tesisinden birine zarar vermesinin bir yolunun, kötü amaçlı yazılım bulaşmış bir Raspberry Pi bilgisayarını harici bir sabit sürücüye yüklemek olabileceğini söyledi. Çıkarılabilir cihaz güvenliği olmadan herhangi bir kişi endüstriyel tesisten değerli bilgilerle çıkabilir.
Conrad, bir atık su arıtma tesisindeki sahte bir müfettişin, kötü amaçlı yazılım içeren harici bir sabit sürücüyü tesisin ağına yükleyebileceğini söyledi. Myers’a göre endüstriyel operasyonlara yönelik çoğu siber saldırının temel amacı kesinti yaratmaktır. İkincil hedefler arasında mağdur kuruluştan fidye almak veya toplulukları riske atmak yer alır.
Tehdit aktörü doğru kimlik bilgilerine sahip olabileceğinden, içeriden gelen saldırılar endüstriyel kuruluşlar için özellikle zorlayıcı olabilir. Yaygın olarak bahsedilen bir su sistemi hackleme olayı, daha önce yaklaşık 10.000 kişiye hizmet veren kırsal bir Kansas su bölgesinde çalışan ve 2022’de tesisi kapatmak için bir uzak masaüstü uygulaması için hala aktif olan kimlik bilgilerini kullandıktan sonra kurcalama suçunu kabul eden bir adamı içeriyor.
Conrad, kimlik bilgilerine bakılmaksızın birden fazla koruma katmanına sahip sıfır güven yaklaşımının, kimsenin sıkı bir kontrol ve doğrulama olmadan geçemeyeceğinden emin olmak için önemli olduğunu söyledi (bkz: Otonom Operasyonlar için Programlama, Kendi Kendine Öğrenme Çok Önemli).
Myers, atık su arıtma tesislerindeki kötü amaçlı yazılımların varlığının, sistemin en yüksek verimlilikten daha düşük bir verimlilikle veya ortalamanın altında bir operasyonel performansla çalışmasına neden olarak su kaynağını tehdit etme potansiyeline sahip olduğunu söyledi.
Programlanabilir Mantık Denetleyicileri Etrafında Siber Riski Azaltmak
Conrad, bir atık su arıtma tesisi kötü amaçlı yazılım sızmasını durdurabilirse, tehdit aktörlerinin, süreçleri otomatikleştirmek için kullanılan endüstriyel bir bilgisayar olan tesisin programlanabilir mantık denetleyicisini hedef alarak saldırıları artırabileceğini söyledi. Böyle bir saldırı başarılı olursa tehdit aktörünün su arıtma tesisinden akan kimyasalları değiştirebileceğini söyledi.
Conrad, gelişmiş planlama, güvenlik açığı yönetimi gibi korumalar ve programlanabilir mantık denetleyicilerinin yönetimi ve izlenmesinin, atık su arıtma tesislerinin tehditleri etkili bir şekilde kontrol altına almasına yardımcı olabileceğini söyledi. Atık su arıtma tesisinin ağları ve uygulamaları yedeklenirse, herhangi bir kesinti olmadan birkaç saniye içinde yeniden çalışır duruma getirilebileceklerini söyledi.
Myers, “Felaket kurtarma için, ağlarınızın ve sistemlerinizin tamamının, işlemleri geri yüklemeye hazır, temiz bir yedeğe sahip olduğundan emin olmak istiyorsunuz” dedi. “Sektörümüzde sadece dakikalar değil, saniyeler de önemlidir. Bir güvenlik olayını tespit etme, durdurma ve kurtarma yeteneği çok kritik öneme sahiptir.”
Rockwell’in endüstriyel tesislere yönelik siber güvenlik teklifleri, Pazartesi günü kapanan Verve’nin satın alınmasıyla geliştirildi. Rockwell, Conrad’ın OT zorluklarını aşmak için BT düzeyinde güvenlikle oluşturulduğunu söylediği Verve’nin güvenlik açığı yönetim platformundan ve ayrıca şirketin profesyonel hizmet ekibinden yararlanacak (bkz: Rockwell Microsoft ile Nesil Yapay Zeka Anlaşması Yaptı, Siber Firmayı Satın Aldı).