Cyolo’ya göre pek çok endüstriyel kuruluş, tehditleri etkili bir şekilde azaltmak ve operasyonel teknoloji (OT) sistemlerine güvenli erişim sağlamak için gereken kaynaklara, uzmanlığa ve işbirlikçi süreçlere sahip değil.
OT ortamlarına güvenli erişimin sağlanması siber güvenlikten daha fazlasıdır. Bu ortamlar, üretim hatlarının çalışır durumda tutulmasından, su ve elektrik akışının sağlanmasından ve topluluklarımızın düzgün işleyişi için hayati önem taşıyan diğer görevlerin yerine getirilmesinden sorumlu son derece hassas sistemler ve kritik altyapı içerir.
Ponemon Enstitüsü Başkanı ve Kurucusu Larry Ponemon, “Dünyamız giderek daha fazla birbirine bağlı hale geliyor ve bu raporun bulguları, kuruluşların OT ortamlarına güvenli erişim sağlamaya yönelik stratejilerini yeniden değerlendirmeleri ve geliştirmeleri yönündeki hayati ihtiyacı vurguluyor” dedi.
OT sistemleri geçmişte güvenlik nedenleriyle izole edilmişti ancak artık BT ağlarına ve internete artan bağlantıyla (bazen BT/OT yakınsaması olarak da adlandırılır) karşı karşıyadır. Aynı zamanda, daha fazla sayıda üçüncü taraf satıcıya ve yükleniciye OT ortamlarına uzaktan erişim olanağı veriliyor. Bu değişiklikler, erişim ve bağlantının uygun şekilde kontrol edilmemesi durumunda kuruluşları emniyet ve güvenlik tehditlerine maruz bırakabilecek ciddi yeni riskleri beraberinde getiriyor.
BT ve OT ekipleri arasında iletişim eksikliği
Kuruluşların %73’ü OT ortamlarına üçüncü tarafların erişimine izin veriyor ve kuruluş başına ortalama 77 üçüncü tarafa bu erişim izni veriliyor. Üçüncü taraf erişimini güvence altına almanın zorlukları arasında yetkisiz erişimin önlenmesi (%44), BT ve OT güvenlik önceliklerinin uyumlu hale getirilmesi (%43) ve kullanıcılara çok fazla ayrıcalıklı erişim verilmesi (%35) yer alıyor.
%73’ünün güvenilir bir OT varlık envanteri yok, bu da kuruluşları ciddi bir risk altına sokuyor. %71’i BT veya BT ile OT’nin birlikte OT ortamlarının güvenliğinden sorumlu olduğunu belirtiyor. Ancak işbirliği ve iletişim eksik; %37’si çok az işbirliği yaptığını veya hiç işbirliği olmadığını, %19’u ise ekiplerin OT güvenlik sorunları hakkında yalnızca bir olay meydana geldiğinde konuştuğunu bildiriyor.
Güvenlik riskini azaltmak, BT/OT yakınsamasını hedefleyen şirketlerin en önemli hedefi (%59) ve yakınsama peşinde olmayan kuruluşların %33’ü, kararlarında güvenlik riskinin en önemli faktör olduğunu belirtiyor.
Kuruluşların %49’u, COVID-19 salgını sırasında benimsenen uzaktan erişim araçlarının güvenliğini ve etkinliğini yeniden değerlendirmedi.
BT/OT entegrasyonu önemli zorluklarla karşı karşıya
Ancak yakınlaşmaya yönelik güçlü baskıya rağmen, BT ve OT sistemlerini birbirine bağlama konusunda önemli zorluklar devam ediyor. Kuruluşların en az dörtte biri en önemli yedi zorlukla karşı karşıyadır. Bunlar arasında bütçe eksikliği (%42), güvenlik riskleri (%35), ayrı ayrı çalışan ekipler (%32), beceri açığı (%31) ve teknoloji entegrasyonu (%30) yer alıyor.
OT ortamlarını işleten kuruluşlar, kritik sistemlerin yetkisiz erişime ve diğer siber tehditlere karşı korunması söz konusu olduğunda gerçek ve kalıcı engellerle karşı karşıyadır. Bir zamanlar OT ve endüstriyel kontrol sistemlerini (ICS) bu tür tehditlerden büyük ölçüde koruyan izolasyon, yerini ciddi potansiyel riskler yaratırken daha fazla üretkenlik ve güvenlik vaat eden yeni bir bağlantı çağına bıraktı.
Aynı zamanda kuruluşlar, operasyonların devam etmesine yardımcı olmak için üçüncü taraf satıcıların özel becerilerine ve konu uzmanlığına bağımlıdır; ancak bu kullanıcıları ve cihazlarını uygun erişim kontrollerini uygulamadan OT ortamlarına bağlamak da riski artırır.
“OT güvenliğinin gelişiminde çok önemli bir noktadayız ve kritik sistemlere erişimi iç ve dış tehditlere karşı güvence altına alma ihtiyacı her zamankinden daha acil. Cyolo’da Kurumsal Gelişimden Sorumlu Başkan Yardımcısı ve OT Genel Müdürü Joe O’Donnell, “Bir ihlal yalnızca verileri değil aynı zamanda kritik altyapının işleyişini de tehlikeye atarak çalışanların ve çevrenin güvenliğini tehlikeye atabileceğinden riskler son derece yüksektir” dedi.
O’Donnell sözlerini şöyle tamamladı: “Bu araştırma, özellikle üçüncü taraf ve ayrıcalıklı erişim, eski sistemlerin güvenliği ve BT ile OT ekipleri arasındaki işbirliği gibi alanlarda yeni yaklaşımlara acil bir ihtiyaç olduğunu ortaya koyuyor.”