Görev açısından kritik varlıkları ve hizmetleri korumak için üzerinize düşeni nasıl yapabilirsiniz?
Rockwell Automation Siber Güvenlik Küresel Ticaret Müdürü Kamil Karmali tarafından yazılmıştır.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kritik altyapıyı Amerikan toplumunun temeli olan temel sistemler ve hizmetler olarak tanımlar. Bunlar ülkemiz için o kadar hayatidir ki, yetersiz kalırlarsa veya yok edilirlerse halk sağlığı, fiziksel güvenlik veya ekonomik güvenlik için feci sonuçlar doğurabilir.
İç Güvenlik Bakanlığı’na (DHS) göre kritik altyapımız karayolları, bağlantı köprüleri ve tünelleri, demiryolları, su ve elektrik gibi kamu hizmetleri, gıda temini, sağlık altyapısı, binalar ve ilgili hizmetleri içerir. Ekonomik hayatta kalmamız ve günlük yaşamımız bu hayati sistemlere bağlıdır.
CISA, ABD’de siber güvenliği desteklemek ve kritik altyapı güvenlik açıklarını azaltmak için oluşturuldu.
Ülkemizin kritik altyapısını güvence altına almaya odaklanın
Mayıs 2021’de Başkan Biden, özellikle kritik altyapı için ulusumuzun siber güvenlik duruşunu iyileştirmek ve modernize etmek amacıyla bir Yürütme Emri imzaladı.
Beyaz Saray’ın yürütme emriyle ilgili bilgi notu şöyle diyor: “Yerli kritik altyapımızın çoğu özel sektöre ait ve işletiliyor ve bu özel sektör şirketleri siber güvenlik yatırımları konusunda kendi kararlarını veriyor. Özel sektör şirketlerini Federal hükümetin liderliğini takip etmeye ve gelecekteki olayları en aza indirmek amacıyla siber güvenlik yatırımlarını artırmak ve uyumlu hale getirmek için iddialı önlemler almaya teşvik ediyoruz.”
Yürütme Emri’nin ülkemizin kritik altyapısı için siber güvenliği güçlendirme yollarından birkaçı şunlardır:
- Sağlayıcıların Devlet ağlarını etkileyebilecek ihlal bilgilerini paylaşmalarını istemek.
- Siber olayları analiz etmek ve iyileştirme için somut önerilerde bulunmak için bir Siber Güvenlik Güvenliği İnceleme Kurulu oluşturmak.
- Federal departmanların bir tehdidi belirlemek ve azaltmak için tek tip adımlar atabilmesi için siber olaylara müdahale için standartlaştırılmış bir oyun kitabı oluşturma. Başucu kitabı ayrıca özel sektöre müdahale çabaları için bir şablon sağlayacaktır.
Hem kamu hem de özel sektör kuruluşları, kimlik avı gibi daha az karmaşık saldırılarda büyük bir artışla birlikte endişe verici derecede karmaşık ve kötü niyetli siber faaliyetlerle karşı karşıyadır ve tespit edilmezse sakatlayıcı olabilir.
Kritik altyapı siber güvenlik korumasına yönelik adımlar
ARC Advisory Group’taki analistler, yakın zamanda kritik OT sistemlerinin güvenliğini sağlamaya yönelik gereksinimleri gözden geçirdi. Sonraki raporları, endüstriyel şirketler için aşağıdaki temel önerileri içeriyordu:
- Temel bilgilerin kapsandığını doğrulamak için OT siber güvenlik stratejilerini gözden geçirin ve kuruluşunuzun karmaşık saldırıları ele alabileceğine dair güven sağlayın. Örneğin, kurulu temel envanterler ne sıklıkla değerlendirilir? Hangi algılama, azaltma ve yedekleme/kurtarma sistemleri tasarlandı?
- Tüm çalışanlara siber farkındalık eğitimi veriliyor mu? Denetleyici ve cihaz seviyelerinde hangi fiziksel veya ürün güvenlik adımları uygulandı?
- Nesnelerin İnterneti (IoT) cihazları, bulut hizmetleri, uzaktan çalışanlar, tedarik zincirleri ve üçüncü taraf sistemlerle ilgili riskleri azaltmak için dijital dönüşüm çabalarının baştan yeterli güvenliği içerdiğini doğrulayın. Siber güvenlik uzmanlığındaki boşlukları doldurmak için üçüncü tarafları düşünün. Siber güvenlik yeteneği, dünya çapında ünlü bir şekilde yetersizdir. Etkili altyapı güvenlik çözümlerini hızlı ve doğru bir şekilde dağıtmak zorunludur ve bu uzmanlığa sahip danışmanlık firmaları, büyük miktarda boşa harcanan çaba ve maliyetten tasarruf sağlayarak uzmanlık sağlayabilir.
Kamu ve özel kuruluşlar, kritik altyapı endüstrilerindeki siber güvenlik boşluklarını ele almak ve kapatmak için acilen harekete geçmelidir.
Hibe fonu sağlanacak
Kongre, Kasım 2021’de iki taraflı 1 trilyon dolarlık bir altyapı faturasını onayladı. Altyapı faturasının bir kısmı, CISA, Çevre Koruma Ajansı (EPA) ve Federal Acil Durum Yönetim Ajansı’na (FEMA) milyarlarca dolarlık fon sağlayacak. Tüm fonlar, eyalet ve yerel yönetim seviyeleri de dahil olmak üzere ülkenin kritik altyapı hizmetlerinin korunmasına yardımcı olan hizmetler ve hibeler için kullanılacaktır.
Örneğin, elektrik şebekelerinin ve su/atık su sistemlerinin fidye yazılımlarına ve diğer siber saldırılara karşı savunmalarını güçlendirmelerine yardımcı olacak hükümler var. Hibeler ayrıca, güvenlik açığı değerlendirmeleri, kötü amaçlı yazılım analizi veya tehdit algılama gibi onaylanmış bir siber güvenlik planı gönderiminde gerekli adımları da destekler.
Hibe almaya hak kazanabilmek için, inceleme için DHS’ye, siber saldırıları tespit etmek ve bunlara yanıt vermek için teknik yetenekleri ve protokolleri detaylandıran bir siber güvenlik planı sunulmalıdır. Planın belirli temel standartları karşılaması gerekecektir. (Yayınlandığında daha fazla bilgi verilecektir). Rockwell Automation’ın Tanımlama, Koruma, Tespit Etme, Yanıt Verme ve Kurtarma kategorileriyle etkili siber güvenlik için NIST çerçevesini temel alan siber güvenlik değerlendirme ve planlama protokolleri, başlamak için mantıklı bir yol olacaktır.
Kritik altyapı siber güvenliği: sivil bir sorumluluk
Açıkça görülüyor ki, hem hükümetlerin hem de özel kuruluşların kritik altyapı operasyonlarında siber güvenlik riskini azaltma zamanı. Tek engel, eylemi geciktirmektir.
yazar hakkında
Kamil Karmali, Rockwell Automation Global Services organizasyonu için Global Ticaret Müdürü olarak görev yapmaktadır. Endüstriyel IoT ve üretim teknolojisinde fonksiyonlar arası ekip liderliği, satış yönetimi, yetenek geliştirme ve yönetici danışmanlığı konularında 15 yıldan fazla deneyime sahiptir.
Rockwell Automation, Inc. (NYSE: ROK), endüstriyel otomasyon ve dijital dönüşümde dünya lideridir. İnsanca mümkün olanı genişletmek, dünyayı daha üretken ve daha sürdürülebilir kılmak için insanların hayal gücünü teknolojinin potansiyeliyle birleştiriyoruz. Merkezi Milwaukee, Wisconsin’de bulunan Rockwell Automation, 100’den fazla ülkedeki müşterilerimize adanmış yaklaşık 25.000 sorun çözücü istihdam etmektedir. Connected Enterprise’ı endüstriyel işletmelerde nasıl hayata geçirdiğimiz hakkında daha fazla bilgi edinmek için www.rockwellautomation.com adresini ziyaret edin.