Bridewell Yönetilen Güvenlik Hizmetleri Direktörü Martin Riley tarafından
ABD petrol ve gaz endüstrisi, çevresel etkilerini iyileştiren, hizmetleri kolaylaştıran ve müşteri deneyimlerini geliştiren yeni teknolojileri operasyonlarına entegre etmeye yönelik gözle görülür bir eğilimle heyecan verici bir değişim döneminden geçiyor. Bu dönüşümün çoğu veri talebinden ve IoT, yapay zeka ve otomasyondan yararlanılmasından kaynaklandı ve kaç tane ABD petrol ve gaz şirketinin faaliyet gösterdiğini modernleştirmeye yardımcı oldu. Bu teknolojiler sektörde haklı olarak önemli yatırımları çekerken, bu işletmelerin siber güvenliğe nasıl yatırım yaptıklarını da gözden geçirmeleri için uygun bir an.
Birçok ABD petrol ve gaz şirketi için zorluk, dijital dönüşümün faydalarını hızlı bir şekilde gerçekleştirmek istemeleridir, bu da bu yeni yetenekleri hızla geliştirmek anlamına gelir. Ancak, sektörün gayet iyi bildiği gibi, bu siber güvenlik pahasına olamaz. Bu şirketler için siber saldırılar, hızlı dijital dönüşümün faydalarından daha ağır basan, operasyonlarına yönelik yıkıcı bir tehdittir. Son birkaç yılda, tehdit aktörleri hedeflerinde daha yetenekli ve hırslı hale geldikçe, bu saldırılar daha sık ve karmaşık hale geldi.
Bu tehdit, özellikle geçtiğimiz yıl, Colonial Pipeline’ın fidye yazılımına kurban gitmesiyle petrol ve gaz endüstrisine şimdiye kadarki en büyük saldırının gerçekleştiği ABD’de yaygın. Saldırı, Colonial Pipeline’dan zorla milyonlarca dolar aldı ve onların, oluşturdukları faturalandırma sistemlerini tekrar çevrimiçi hale getirdikleri için boru hatlarını birkaç günlüğüne kapatmalarına yol açtı. Bu riskleri göz önünde bulunduran ABD petrol ve gaz şirketleri, daha geniş dijital dönüşümlerini sağlamak ve siber riskleri azaltmak için siber güvenliğe en uygun şekilde nasıl yatırım yapabileceklerini sorgulamakta haklılar.
Petrol ve gaz endüstrisinde siber saldırılar neden artıyor?
Tarihsel olarak, petrol ve gaz şirketleri BT’lerini ve “Operasyonel Teknolojilerini” (OT) net bir şekilde ayırmışlardır. Bu, BT sorunlarının operasyonları üzerinde doğrudan bir etkisi olmayacağı anlamına geldiği için bu şirketler için faydalı oldu. Ancak bu ayrım, son yıllarda dijital dönüşümün yönlendirdiği BT ve OT’nin yakınsaması ile azaldı. Endüstri, IIoT’nin kullanıma sunulmasıyla birlikte daha fazla OT sistemini internete bağlama eğiliminde olduğundan, daha fazla güvenlik riski pahasına kullanılabilirliklerini artırdı.
Uygulamada, BT ve OT teknolojilerinin bulanıklaşması, büyük görünürlük zorluklarının yanı sıra sahiplik ve becerilerde bir boşluk yarattı. Sonuç olarak, BT’yi etkileyen sorunlar artık operasyonları da etkiliyor; OT ortamına potansiyel bir saldırı vektörü haline getirir. Ayrıca “OT” teknolojisinin 30 yıla kadar hizmet verecek şekilde tasarlandığını da belirtmekte fayda var. Bu, sektör için standart olmakla birlikte, güvenlik açığı ve risk yönetiminin tarihsel olarak farklı bir süreç izlediği ve güvenlik açıklarını potansiyel istismara açık bıraktığı anlamına gelir.
Petrol ve gaz şirketleri için temel zorluk, karşılaştıkları yeni güvenlik risklerinin mevcut ekipler tarafından daha az bilinmesi, sayısallaştırılmamış ve nispeten yeni olmasıdır. Buna göre, karşılaştıkları tehditlerin kapsamını ve nereye yatırım yapmaları gerektiğini anlamak zordur. Birçoğu BT ve OT ortamlarını güvence altına alacak kaynaklara sahip olsa da, cevaplamaları gereken temel sorular “yatırım yapmaya nereden başlamalıyız?”dır. ve “en iyi uygulama nedir?”.
Petrol ve gaz şirketleri nereye yatırım yapmalı?
Bu eğilimler göz önünde bulundurulduğunda, endüstrinin ve bir bütün olarak ABD’nin bakış açısının değişmekte olduğu açıktır. Bu yıl Başkan Biden, petrol ve gazın doğal olarak dahil olduğu bir grup olan temel ulusal altyapıya yönelik fidye yazılımı operasyonlarının üstesinden gelmek için tasarlanmış yeni önlemler uyguladı. Tedbirler, fidye yazılımı kurbanı olan şirketlerin bunu 72 saat içinde ifşa etmesi gerektiğini belirtiyor ve böylece tehdit aktörlerinin ABD şirketlerini nasıl hedef aldığına dair daha güçlü bir anlayış oluşturuyor.
Biden’ın yeni önlemleri, “temel hizmetler” operatörlerinin güvenlik olaylarını “gereksiz gecikme olmaksızın” ilgili kurumlara bildirmesini zorunlu kılan Avrupa’da hâlihazırda yürürlükte olan NIS yönergeleriyle uyumludur. Bir bütün olarak, NIS direktifleri, ABD petrol ve gaz şirketlerinin nereye odaklanmaları gerektiğini anlamaları için güçlü bir temel sağlar. Bridewell Consulting tarafından yakında yayınlanacak bir raporun parçası olarak, petrol ve gaz, elektrik ve akıllı enerji sektörlerinde ankete katılanların %91’i NIS Düzenlemeleri ve siber güvenlik gözetim sürecinin siber güvenlik duruşlarını geliştirdiği konusunda hemfikir.
Bu şirketler için özellikle ilgili olan, NIS’nin tespit ve müdahaleye net bir şekilde odaklanmasıdır. NIS güvenlik ilkelerinin C ve D Hedefleri, kuruluşların potansiyel güvenlik sorunlarını tespit etmek, mevcut güvenlik önlemlerinin etkinliğini izlemek ve ilgili ağ ve bilgi sistemlerinde anormal olayları tespit etmek için izleme uygulamasını zorunlu kılar. Kuruluşların ayrıca daha esnek bir hizmet sunmak için uygun olay yönetimi ve hafifletme süreçlerini devreye sokması gerekir. ABD petrol ve gaz şirketleri için bu uygulamalardan bazılarını kendi operasyonlarına uygulamak, tehditleri tespit etme ve uygun şekilde yanıt verme becerilerini artıracaktır.
Bu şirketler, varlık görünürlüğünü destekleyen tespit ve yanıtlarını iyileştirmenin yanı sıra, kırmızı ekip değerlendirmeleri gibi güvence faaliyetlerine yatırım yapmaktan da yararlanabilir. İdeal olarak, bu şirketlerin yeterince hazırlıklı olmasını sağlamak için tüm endüstride standart uygulama haline gelmelidirler. Güvenlik açıkları ve risk yönetimlerinin geleneksel olarak eksik olduğu göz önüne alındığında, bu, potansiyel sorunları belirlemelerine ve bir saldırgan metodolojisini taklit eden hedeflenen faaliyetlere dayalı sonraki yatırımlar için diğer alanlara yön vermelerine yardımcı olacaktır.
Güvenlik dönüşümüne doğru yaklaşımı bulmak
ABD petrol ve gaz şirketleri için zorluk, bu yetenekleri dahili olarak oluşturmak için gereken karmaşıklık ve zamandır. Bu şirketler daha geniş dijital dönüşümlerini sürdürürken, ideal olarak siber güvenliklerinin buna ayak uydurmasını ve desteklemesini istiyorlar. Birçoğu yeterli zaman verildiğinde algılama ve müdahalelerini etkili bir şekilde artıracak kaynakları oluşturabilse de, bu amaçla doğru siber güvenlik personelini işe almak, eğitmek ve işlerine dahil etmek birkaç yıl alabilir.
Bridewell Consulting gibi bir siber güvenlik hizmetleri sağlayıcısıyla çalışmanın yardımcı olabileceği yer burasıdır. Yönetilen Tespit ve Müdahale hizmetlerimizle, petrol ve gaz şirketlerinin bu yetenekleri birkaç dakika veya saat içinde oluşturmasına yardımcı olabiliriz. Ekiplerinin bir uzantısı olarak hareket eden siber güvenlik uzmanlarıyla, şirket içinde ölçeklendirme gecikmeleri olmadan yönetme, tespit etme ve yanıt verme konusunda bize güvenebilirler.
ABD petrol ve gaz şirketlerinin büyük bir değişimden geçmesiyle birlikte, dış kaynak yönetimi ve tespiti, siber güvenliklerinin dijital dönüşümü engellemek yerine mümkün kılmasını sağlayabilir. Ancak ABD petrol ve gaz şirketlerinin yaklaşımı ne olursa olsun, en önemli şey siber güvenliğe bugünden yatırım yapmaya başlamalarıdır.
yazar hakkında
Martin Riley, Yönetilen Güvenlik Hizmetleri Direktörü, Bridewell. Martin, Bridewell’e 2021’de Yönetilen Güvenlik Hizmetleri Direktörü olarak katıldı. Bir Kurul Direktörü olarak, Güvenlik Operasyonları Merkezi (SOC) ve Yönetilen Tespit ve Müdahale (MDR) hizmeti dahil olmak üzere Bridewell’in Yönetilen Güvenlik Hizmeti portföyünün sürekli büyümesine ve ölçeklendirilmesine liderlik etmekten sorumludur.
Martin şirket içi, genel, özel ve hibrit bulut hizmetlerinde güvenli ağ çözümleri tasarlama, uygulama ve yönetme konusunda yaklaşık 20 yıllık bir deneyime sahiptir. Bridewell’e katılmadan önce, hizmet geliştirmenin yanı sıra işin stratejik yönü ve dijital dönüşümünden sorumlu olduğu Timico’nun CTO’suydu. Bundan önce Adapt’te Altyapı Başkanıydı.
Martin, siber güvenliğin altyapı ve bulut hizmetlerinde oynadığı rol konusunda tutkulu. Azure sertifikalıdır ve Cisco ve Juniper Networks’te akreditasyonlara sahip bir AWS Mimarıdır.
Bağlantılı – https://uk.linkedin.com/in/martinariley
Şirket Web Sitesi – www.Bridewell.com