Dünya genelinde enerji, ulaşım ve sağlık hizmetleri dahil olmak üzere kritik altyapı hızla dijitalleşiyor. Şirketler, operasyonel verimliliği artırmak ve maliyetleri azaltmak için bilgi teknolojisi (IT) ile operasyonel teknolojiyi (OT) birbirine bağlıyor. Ancak bu sistemleri etkili güvenlik önlemleri almadan birleştirmek, kabul edilemez düzeyde risk oluşturur. Kuruluşların, ihlallerin kaçınılmaz olduğunu ve kötü bir aktörü durdurmak ve sisteme girdikten sonra etkilerini sınırlamak için politikaların yürürlükte olması gerektiğini kabul ederek bir “ihlal varsayma” zihniyetini benimsemesi ve uygulaması gerekir.
Mevcut Oyun Durumu
İyi haber şu ki, kuruluşların çoğu güvenlik duruşlarını güçlendirme ihtiyacının farkında. Yakın tarihli bir Gartner raporuna göre, %81’i siber farkındalığın ötesine geçiyor ve aktif olarak sistemlerinde güvenlik açıkları arıyor.
Kritik altyapı, kötü aktörler için birincil hedeftir; bu nedenle federal hükümet, yeni politikalar, taktikler ve özel komiteler yoluyla kritik altyapıyı daha iyi güvence altına almak için adımlar atıyor. Bir saldırı, yaygın elektrik kesintilerine neden olabilir, ulusal ulaşım sistemlerini durma noktasına getirebilir ve hayatları riske atabilir. İki yıl önce Colonial Pipeline siber saldırısı sırasında durum böyleydi. Saldırganların, şifrelenmiş sistemleri geri yüklemek için kurbanlarından fidye taleplerini ödemelerini beklediğinden bahsetmiyorum bile.
Kamu sektörünün BT ve OT bağlantılarının risklere kapı açan yönleri nelerdir ve bunları ele almak için mevcut çözümler nelerdir?
İhlalin Direnç Oluşturmada Kritik Olduğunu Varsaymak
Daha eski eski sistemler tipik olarak siber güvenliğin bir öncelik olmadığı dijital öncesi bir çağ için tasarlandı, bu nedenle normal ağ kontrollerini kullanarak herhangi bir bağlı sistemin güvenliğini garanti etmek zordur. Geçmişte, ajanslar güvenlik önlemlerini genellikle podyum modeli aracılığıyla uygulardı. Bu yaklaşım, ağları her biri bir güvenlik duvarı ile ayrılmış katmanlara göre düzenledi. Güvenlik sorunu, her katmanın güvenilir bir ağ olmasıdır. Kötü amaçlı yazılım bir katmana bulaşırsa, tespit edilmeden tüm iş yüklerine ve ona bağlı uç nokta cihazlarına hızla yayılabilir.
Enerji sektöründe, OT’ye yoğun bir şekilde güvenmek, fidye yazılımı saldırılarına maruz kalma oranını artırdı. Kötü niyetli kişiler kuruluşa eriştikten sonra, kötü amaçlı yazılım bağlı sistemlere yayılabilir veya saldırgan, kritik alanlara dağıtmak için ağa manuel olarak sızabilir. Tersine, ana BT ortamı tehlikeye girerse, fidye yazılımı tüm bağlı siber-fiziksel sistemlere yayılabilir.
Bir siber saldırıyı tespit etme ve hafifletme konusunda herkese uyan tek bir yaklaşım olmadığı anlayışıyla, kritik altyapının kendini korumasının en etkili yolu, “ihlali varsay” zihniyetini uygulayarak daha proaktif hale gelmektir.
Sıfır Güven, Günümüzün Hiper Bağlantılı Ortamlarında Riski Azaltıyor
Pek çok insanı evden çalışmaya zorlayan pandemi sırasında ve sonrasında kuruluşlar, dizüstü bilgisayarlar, cep telefonları vb. tek cihazlara farklı sistemler ve uygulamalar yükledi. bu gevşek uç noktaların her birini koruyan bir ağ.
İhlal varsayma zihniyetini uygulamak, kötü aktörleri dışarıda tutmaktan daha çok, yalnızca güvenilen kişilerin girmesine izin veren politikaları uygulama meselesidir. Birden fazla uygulama çalıştıran tek bir cihazda, bir cihazın diğer hangi uç noktaları ve ağları etkileyeceğini kontrol etmeniz önemlidir. potansiyel riskleri anlayın ve gerektiğinde uygun kuralları uygulamaya koyun.
OT ve BT birleşiyor, ayrı dünyalardan uzaklaşarak entegre bir işlev haline geliyor. Bu ortamların her ikisini de korumak için güvenliğin de birleşmesi gerekir.
Biden yönetimi, ABD hükümetini siber güvenlik yaklaşımını dayanıklılık oluşturmaya zorlamak için sıfır güven yönergelerini yayınladı. Kuruluşların nerede sıfır güven zihniyetini benimsemeleri gerektiğine inandıklarına ve bu terimin siber güvenlik konuşmalarında ne sıklıkla ortaya çıktığına bakılmaksızın, ilkeler küresel olarak tanınmaya ve uygulanmaya başlıyor. Belirli bir çözümü benimsemek değil, zihniyeti değiştirmek ve insanların siber güvenliğe yaklaşımını değiştirmekle ilgilidir. Bir saldırı durumunda ve sonraki sonuçlarda buna göre plan yapamayacaklarından, kuruluşların bu zihniyeti geliştirmemesi ihmalkarlık olacaktır.