Siber Bilgili Mühendislik (CIE), OT siber riskine dair yeni bir bakış açısıdır; OT/mühendislik ekipleri ve BT/kurumsal siber güvenlik ekipleri tarafından benimsenen bir bakış açısıdır. BT ve OT ekipleri arasındaki bu tür bir fikir birliği, OT güvenlik alanının yirmi yıllık tarihinde benzeri görülmemiş bir durumdur.
Tehditler
OT tehdit ortamı kötüleşmeye devam ediyor, bu da fiziksel operasyonlara yönelik önemli siber riskleri ele almak için BT ve OT ekiplerini dahil etme konusunda giderek daha acil bir ihtiyacımız olduğu anlamına geliyor. Özellikle, en son Waterfall / ICSStrive 2024 Tehdit Raporuna göre, 2023’te 68 siber saldırı 500’den fazla operasyonel teknoloji (OT) sitesini kapattı, hasar verdi veya başka şekilde fiziksel olarak etkiledi. Bu saldırı sınıfının oranı 2010 ile 2019 arasında çoğunlukla “sabit”ti ve her yıl imalat ve ağır sanayi için kamuya açık kayıtlarda sıfır ila beş saldırı vardı. On yılın başından bu yana, bu saldırıların sayısı yılda yaklaşık iki katına çıktı ve birleşti. OT güvenliği sorunu, “teorik” bir sorundan gerçek ve katlanarak büyüyen bir soruna dönüştü.
Bu kapanmalara neden olan saldırıların çoğu fidye yazılımıdır, ancak hacktivist, tedarik zinciri ve ulus devlet saldırıları da artmaktadır. Daha kötüsü, en gelişmiş fidye yazılımı grupları ulus devletlerden saldırı araçları alıp satmaktadır – iki tür tehdit aktörü tarafından kullanılan araçlar ve teknikler ayırt edilemez hale gelmektedir.
OT Farklıdır
OT’deki siber güvenlikle ilgili sürekli bir sorun, OT’nin farklı olmasıdır. Çoğu BT ağında bilgi varlıktır ve bizim zorunluluğumuz bilgiyi korumaktır. OT ağları fiziksel süreçleri otomatikleştirir – genellikle çok pahalı, tehlikeli fiziksel süreçler. OT ağlarındaki siber güvenlik zorunluluğu, güvenli, güvenilir ve verimli fiziksel işlemleri korumak ve yalnızca ikincil olarak, OT ağında herhangi bir bilgi varsa, hassas ticari sırları ve diğer bilgileri korumaktır.
OT ağlarıyla ilgili ikinci bir sorun da değişiklik kontrolüdür. Kurumsal güvenlik ekipleri, mühendislik ekiplerinden tüm OT ağını güvenlik güncellemeleriyle güncellemelerini istediklerinde, mühendislik ekipleri çoğunlukla reddeder. Neden? Çoğu mühendislik ekibinin gerçekten sorması gereken ancak nadiren sorduğu açıklayıcı soru şudur: “Bu değişikliğin birini öldürme olasılığı ne kadar?” Mühendisler herhangi bir değişiklik yapmadan önce bu sorunun yanıtını almalıdır ve bir güvenlik olayı olasılığı asla sıfır değildir. Fiziksel süreçleri tamamen güvenli hale getirmenin bir yolu yoktur.
Sorunu açıklığa kavuşturmaya yardımcı olan ikinci soru, “Bu değişikliğin tesisi devre dışı bırakma ve milyar dolarlık varlığımızın planlanmamış bir şekilde kapatılmasına neden olma olasılığı nedir?” Her değişiklik fiziksel bir riski temsil eder. Mühendislik ekiplerinin, işletmeleri, mesleki dernekleri ve genellikle yasalar gereği fiziksel operasyonlara yönelik önemli riskleri ele almaları gerekir. Mühendislik Değişiklik Kontrolü (ECC), önerilen değişikliklerin risklerinin değerlendirildiği, test edildiği ve yönetildiği disiplindir. Sorun, ECC’nin çok pahalı olmasıdır. OT ağlarında değişiklik imkansız değildir, ancak özellikle küçük veya hiç şirket içi mühendislik ekibi olmayan kuruluşlarda, birinin mühendislik hizmetleri için ücretlendirme yapmak üzere bütçe ayırması gerekecektir.
Siber Bilgili Mühendislik
Bu tehditler ve OT/endüstriyel otomasyon ağlarının “zor” doğası, Idaho Ulusal Laboratuvarı’nın yeni Siber Bilgili Mühendislik (CIE) girişimi üzerinde çalışmasının nedenidir. CIE, “iki yüzü olan bir madalyon” olarak konumlandırılmıştır.
- Bir tarafı siber güvenliktir; mühendislik ekiplerine siber tehditler hakkında eğitim vermekten, fiziksel operasyonlara ve mühendislerin bu tehditlere karşı işletmeye ve topluma karşı yükümlülüklerine kadar her şeyi kapsar.
- Diğer taraf ise mühendisliktir; mühendislerin fiziksel riski yönetmek için sahip olduğu güçlü araçları kullanın; bu araçları siber tehditleri ele almak için de kullanın.
Örneğin, büyük bir rafineride çalıştığınızı düşünün. Rafineri, sıcak hidrokarbonlarla dolu altı katlı yüksek basınçlı kaplar olan katalitik krakerler kullanır. En kötü durumdaki kraker patlamasının öldürme yarıçapında günde 8 saat çalıştığınızı düşünün. Krakerlerinizden birinin altındaki fırını aşırı ısıtan bir siber saldırıdan nasıl korunmayı tercih edersiniz? Kraker aşırı basınçlanırsa, sıcak hidrokarbonları bir alev bacasına yönlendirmek için mekanik olarak zorla açılan mekanik, yaylı aşırı basınç tahliye vanasını mı tercih edersiniz? Yoksa fırını kontrol eden bilgisayarda daha uzun bir parola mı tercih edersiniz?
Çoğu kişi mekanik bir vana tercih edeceklerini söyler – bu vanaların sonuçta CPU’ları yoktur ve bu nedenle gerçek anlamda “hacklenemezler”. Gerçek uzmanlar, teşekkürler, bu vanalardan üç veya dört tanesini istediklerini söylerler, çünkü tek bir vananın çalışmasını bozabilecek korozyon ve metal yorgunluğu riskleri vardır. Ve fırını kontrol eden bilgisayarda daha uzun bir parola isterler. Ve bu iki önleme ek olarak mutlak bir “tekne dolusu” siber güvenlik isterler – sonuçta bu onların hayatları tehlikede. Bu son cevap doğrudur – “CIE parasını harcadığımızda”, paranın bir yüzünü veya diğer yüzünü harcamayız. Tüm parayı harcarız.
Ama bir düşünün – ISO 27001 standardında aşırı basınç tahliye vanası nerede? NIST Siber Güvenlik Çerçevesinde? Ya da endüstriyel IEC 62443 standardında? Bu standartlarda aşırı basınç tahliye vanaları veya diğer mühendislik araçlarına dair hiçbir ipucu yok – bunlar siber güvenlik standartları, mühendislik standartları değil. Güvenlik mühendisliği, koruma mühendisliği, otomasyon mühendisliği ve ilgili disiplinlerin hepsinin fiziksel operasyonlara yol açabilecek tüm tehditleri ele almak için emrinde güçlü araçları var. Bu araçlar siber tehditleri ele almak için evrensel veya sistematik olarak uygulanmadı ancak uygulanmalı.
En Önemlisi On Yılda Değişim
CIE, OT güvenliğinde on yıldan uzun süredir gerçekleşen en önemli değişikliktir. Mühendislik ekipleri ve hatta birçok kurumsal güvenlik ekibi CIE’yi öğrendiğinde, genellikle “Bu çok mantıklı. Bu neden yeni? Bu yeni olmamalı. Neden en başından beri soruna bu şekilde bakmıyoruz?” gibi tepkiler verirler.
Mühendisler sonuçları, fiziksel süreç tasarımını ve çok çeşitli “hacklenemez” elektromekanik ve diğer korumaları anlar ve siber tehditler ve araçlarının siber tehditlere uygulanabilirliği konusunda hızla bilgi sahibi olmaları gerekir. Kurumsal güvenlik tehditleri ve henüz elektromekanik veya analog azaltmaları olmayan sistemler için ihtiyaç duyulduğunda devreye alınabilecek “tekne dolusu” siber güvenlik azaltmalarını anlar. Her ekibin kendi benzersiz bilgi ve bakış açılarını katkıda bulunmasıyla, OT güvenlik sorunu aniden çözülebilir ve karşılanabilir hale gelir.
Yazar Hakkında
Andrew Ginter, Waterfall Security Solutions’da Endüstriyel Güvenlik Başkan Yardımcısıdır. Dünyanın en güvenli endüstriyel sahalarıyla çalışan, konu uzmanlarından oluşan bir ekibe liderlik etmektedir. Andrew ayrıca, OT güvenliği hakkında üç kitap yazmış ve endüstriyel güvenlik standartlarına ve rehberliğine düzenli olarak katkıda bulunmuş biri olarak, bu sahalardan öğrendikleri hakkında da yazmaktadır.
CIE’ye üst düzey bir giriş, siber güvenlik ve gerekli özen yükümlülükleri konusunda mühendislik perspektifi için Andrew’un son kitabı Engineering-Grade OT Security’nin ücretsiz bir kopyasını talep edebilirsiniz. Andrew’a şu adresten ulaşılabilir: [email protected] ve şirketimizin web sitesinde https://waterfall-security.com/