Risk Değerlendirmesi: OT ortamını güvence altına almaya yönelik ilk adım

Risk tabanlı Yokogawa siber güvenlik yönetimi ile ilgili daha detaylı bilgi için makalemizi okuyabilirsiniz.

Bir senaryo düşünün ki; bir kimyasal işleme şirketi, üretim tesisi için siber güvenlik programı başlatmaya karar verir, bu nedenle bir IT uzmanı ile operasyon biriminden, tesis ağları hakkında orta derece bilgi sahibi olan bir kişiyi bir araya getirir. Bu iki kişinin başka sorumlulukları da vardır ve stratejik noktalara az sayıda güvenlik cihazını hızlıca yerleştirerek bu yan sorumluluklarını yerine getirdiklerini ve tesisin korunduğunu beyan ederler.

Bu sırada, tesisin ağlarını birkaç aydır sistematik olarak analiz eden bir hacker, tesis mimarisini ve hangi varlıkların bulunduğunu tesisteki herkesten daha iyi bir şekilde anlamaktadır. Hacker, birkaç yıl önce bir sistem entegratörünün kimyasal enjeksiyon problemini çözmek için kurmuş olduğu X marka PLC üzerinden erişim sağlamıştır. Teknisyen, takip hizmeti için internet üzerinden PLC’ye erişecek bir yol (path) bırakmıştır, fakat herkes bunu unutmuştur. Hacker bu PLC’deki önemli bir güvenlik açığının yani varsayılan parolanın – farkındadır, çünkü bunun özellikleri yayınlanmıştır, ancak tesis bu parolayı değiştirmek için asla bir adım atmamıştır, çünkü bu parolanın varlığını bile unutmuşlardır. Bu güvenlik açığı hacker’a PLC’den otomasyon sistemine giden korunmasız bir bağlantı yoluyla daha büyük bir ağa giden bir yol sağlar.

Bu senaryo fazla basitleştirilmiş bir örnek olsa da, operasyon teknolojisi (OT) ağlarına yönelik siber güvenlik stratejisine dair yaklaşımlar konusunda birçok şirketin karşılaştığı sorunları göstermektedir. İyi düşünülmüş bir strateji bu sorunları bulacak ve düzeltecektir, bu makalenin geri kalanında bu tür bir planın nasıl uygulanacağına bakacağız.

Değişen saldırı yüzeyi

IT ve OT’nin bir araya getirilmesi ve IT teknolojilerinin OT ağlarındaki genişlemesinin saldırı yüzeyini nasıl geliştirdiği, aynı zamanda yeni savunma araçlarını da ortaya çıkardığı hakkında birçok şey yazılmıştır.

Daha önceleri tesisler tamamen izoleydi, ancak şimdi şirket intranetleri ve/veya internet ile, muhtemelen birçok kişinin fark ettiğinden daha fazla yollarla, dış dünya ile bağlantı halindeler. Şirketler tesislerinde yalnızca dikey bağlantı sağlayarak değil, aynı zamanda şantiyelerinde, diğer sahalarında ve tedarik zinciri boyunca yatay bağlantı sağlayarak, operasyonlarını ve işlerini rekabet adına dijital olarak dönüştürmeye çalışmaktadırlar. Bu bağlantılar iş açısından avantajlar yaratır, fakat ağ ve verilerin güvenliğini sağlamada zorluklar da yaratır.

Büyük operasyonları optimize etmek için gereken daha fazla bileşen ve işlev ile, tesislerin Windows, Ethernet ve TCP/IP gibi ticari teknolojilerin kullanımıyla giderek daha karmaşık ve otomatikleştirilmiş bir hâle gelmektedir. Araştırma, ilk üç siber tehdidin ağa eklenen cihazlar ve “sistemler” (açılış örneğimizdeki PLC gibi), iç tehditler (insan ihmali veya kazaları) ve dış tehditler (tedarik zinciri veya ortaklıklar) olduğunu göstermektedir (Şekil 1).

Şekil 1: IT/ICS Siber güvenlik anketinde SANS enstitüsü tarafından derlenen, önde gelen siber tehditlerin 2019 yılındaki durumu

OT ‘nin değişime karşı doğal direnci

OT ağlarından sorumlu olanlar her zaman IT bölümünden yardım almazlar. Eğer bir şey işe yarıyorsa ve kesintisiz üretimin sağlanması için gerekliyse, eski ve iyi korunmamış olsa dahi genel cevap “Dokunma”dır. IT’nin tesise getirmek istediği araçlar ve daha üst sürümler eski ekipman ve yazılımlara uygun olmayabilir ve üretim kesintilerine hatta güvenlik tehlikelerine sebep olabilir. Öte yandan, kötü amaçlı yazılımlar da aynı şeylere sebep olabilir, dolayısıyla IT müdahale etme ihtiyacı hisseder. Ancak, OT güvenliğini artırmak için IT güvenlik teknolojisi ve politikalarını OT ortamına aktarmak işe yaramaz, çünkü IT güvenliği farklı gereksinimler ve önceliklerle çalışır.

IT, endüstriyel kontrol sistemin, tesisin beyni olduğunu anlamalıdır. Sistemin emre amadeliği, dayanıklılığı ve sürdürülebilirliği aynı zamanda güvenliği, operasyonel maliyeti ve iş performansını etkiler.Dolayısıyla endüstriyel kontrol sisteminin performansına müdahale eden her şey şirketi, üst yönetimi ve paydaşları etkiler.

Bu durum ışığında, güvenlik riski yönetimi, ciddi zorluklara rağmen kuruluşlar ve sorumlu ekipler için en önemli önceliktir:

  • OT varlıklarının düşük görünürlük riskinin değerlendirilmesi — Tesisler yıllar içinde gelişir ve açılış örneğindeki PLC gibi, birçoğu değişiklikleri belgelemede iyi değildirler, potansiyel güvenlik açıklarını aramak için altyapıyı da derinlemesine incelemezler.
  • Riskin azaltılması ve yatırımın önceliklendirilmesi — Şirketler OT varlıklarında az görünürlüğe sahipse, güvenlik için ne kadar yatırım gerektiğinin veya çabanın nereden başlaması gerektiğinin tahmin edilmesi zordur. Ayrıca, çaba ile bu riskin ne kadar azaldığını bilmek de imkânsız olacaktır.
  • Endüstri standartlarına ayak uydurmak — Tedbirlerin uygulanması ve gelişen/değişen standartlara uyum sağlamaya devam etmek zorlayıcı bir iştir. Bu konuyu birazdan daha ayrıntılı açıklayacağız.
  • Sınırlı OT güvenliği uzmanlığı ile risk yönetimi — Güvenlik önlemlerinin uygulanmasının ve yönetiminin, 20 yıldan uzun süren tesis yaşam döngüsü boyunca devam etmesi gerekirken, güvenlik ekipleri genellikle güvenlik personeli ve uzmanlık eksikliği ile karşı karşıya kalmaktadır.

Risk tabanlı yaklaşım

Riski azaltmaya yönelik iki genel yaklaşım vardır. Olgunluk tabanlı yaklaşım, her şeyde en üst düzey savunma oluşturur. En kapsamlı olanıdır, ancak çok pahalıdır. Risk tabanlı yaklaşım, en çok ihtiyaç duyulduğu zamanlarda risk azaltılmasına yönelik savunma katmanlarını optimize etmektedir. Bu bazı kapsamlardan fedakârlık eder, ancak daha ucuzdur ve uygulanması daha kolaydır, böylece gerçekleşmesi daha olasıdır.

Risk tabanlı güvenlik dört uygulamaya dayanmaktadır:

  • Güvenlik temelinin (security baseline) belirlenmesi: İlk adım, risklerin tespit edilmesi ve OT güvenlik paydaşlarının bu temeli anlamasını sağlamaktır. Tesisin mevcut durumuna hakim olmak güvenlik yolculuğunun başladığı noktadır.
  • Riskin bütünsel bir bakış açısıyla tanımlanması: Riskler birçok farkı yönden ve kategoriden gelir, dolayısıyla yalnızca yüksek düzey iş proseslerine odaklı bir risk değerlendirmesi, teknik uygulamalardaki kusurlar sebebiyle riskleri tespit edemeyebilir.
  • Güvenlik standartlarına uyulması: Her seferinde tekerleği yeniden icat etmeye kıyasla, güvenlik programını daha etkili ve basit bir hâle getirdiği için, mevcut güvenlik standardına uygunluk faydalıdır.
  • Sistematik bir proses oluşturulması: OT güvenliğine yönelik kalıcı bir operasyonel risk yönetimi oluşturmak için kuruluşlar sistematik bir prosese uymalıdır. Bu risk yönetimi süreci, kısa ve uzun vadeli konuları içeren stratejik bir faaliyettir. Bu nedenle, sürekli risk güvencesini sağlamak için stratejik risk yönetimi planlaması gereklidir.

 Güvenlik standartları

Az önce de belirtildiği gibi, riske dayalı güvenliğin önemli bir unsuru ilgili standartlara uymaktır. Örneğin peynir üretimi için kurulan bir tesis, kendi belirlediği temizlik tanımlarından ziyade yürürlükteki yönetmeliklere uymak zorundadır. Benzer şekilde, siber güvenlik, şirketlere yardımcı olmak için kendi uygulamalarına ve yönergelerine sahiptir. Sayıları gitgide artan şirketler aşağıdakilere uygun şekilde çalışmaktadır:

  • ISA/IEC 62443
  • NIST CSF
  • NIST 800-82
  • CIS Kritik Güvenlik Kontrolleri.
  • ISO 27000 (Genellikle IT’de kullanılır)

Tüm yönleri ve bölgeleri kapsayan tek bir düzenleme, standart veya uygulama yoktur. Avrupa’da, NIS (Ağ ve Bilgi Sistemleri) Yönergesi yürürlüğe girmiştir ve her ülke bazında geçerli kanun haline gelecektir.

Muhtemelen, yukarıdaki listedeki en önemli standart IEC 62443’tür, çünkü endüstriyel sistemler için özel olarak tasarlanmıştır ve risk değerlendirmesinden teknik tasarım özelliklerine kadar bir güvenlik programının her yönünü kapsar. Yaklaşımı, bir tesis veya bir tesisin bölgeleri için hedef güvenlik düzeyini tanımlamaktadır (Şekil 2). Şirketler, tesislerini değerlendirirken doğru hedef güvenlik düzeyini belirlemelidir.

Şekil 2: IEC 62443-3-3 ‘teki tanımlara dayalı güvenlik düzeyleri

Ayrıca, emniyet/acil duruş sistemlerinin (SIS-Safety Instrumented System) oluşturulmasına yönelik uygulamaları belirleyen teknik standart olan IEC 61511, güvenlik risk değerlendirmelerinin yapılmasının artık zorunlu bir gereksinim olduğunu açıkça belirtmektedir.

İlk adım: Risk Değerlendirmesi

Risk tabanlı siber güvenlik yönetiminin ilk adımı olarak Yokogawa, OT güvenlik temelini elde etmek için teknik güvenlik risk değerlendirmesinin (TSRA) yapılmasını önermektedir. TSRA, OT ortamının karşı karşıya kaldığı tehditlere ilişkin etki ve olasılığı değerlendirerek kuruluşun güvenlik riskini belirler.

Yokogawa’nın TSRA süreci, müşteri görüşmelerine ve teknik incelemelere dayanan bir güvenlik açığı değerlendirmesi ile başlar. Güvenlik açıkları tespit edildiğinde, OT ortamının karşı karşıya olduğu en yüksek riskleri ve hangi sorunların en acil şekilde çözülmesi gerektiğini belirlemek için senaryo tabanlı bir risk değerlendirmesi yapılır. Güvenlik açıkları ve riskler aynı değildir (Şekil 3). Bir güvenlik açığı bir kusur veya zayıflıkken, risk ise kötü bir şeyin olma olasılığıdır. Açılış örneğine dönersek, güvenlik açığı varsayılan paroladır. Bir başka tipik güvenlik açığı, belirlenmiş sınır korumasının olmaması olabilir. Risk, bir hacker bu güvenlik açığından yararlanırsa ne olabileceğidir.

Şekil 3: Her güvenlik açığı, kötü niyetli olarak kullanılabilme olasılığı ışığında incelenmelidir.

Teknik güvenlik açığı değerlendirme aşamasında, güvenlik açıklarını toplamak, bulguları doğrulamak ve kontrol etmek, ortamda mevcut olan güvenlik açıklarının eksiksiz ve güvenilir bir listesini oluşturmak için birden fazla yöntem kullanılır. Bu liste, güvenlik açığı değerlendirme aşamasında yer alan aynı ekip tarafından yürütülen risk değerlendirme aşamasının giriş kısmını oluşturur. Bu, risk değerlendirmesinin başlangıcında güvenlik açıkları ile ilgili büyük miktarda bilgi ve iç görünün mevcut olacağı anlamına gelir.

Teknik risk değerlendirmesi, aşağıdakileri içeren bir raporla sonuçlanır:

  • Risklerin ve güvenlik açıklarının listesi
  • Herhangi bir üst düzey risk ve gerekli acil önlemler hakkında bulgular;
  • Tesisin mevcut durumu ile güvenlik gereksinimleri arasında bir boşluk analizi
  • Tedbirler ve diğer somut öneriler için planlar da dahil olmak üzere güvenlik programının nasıl iyileştirileceğini veya geliştirileceğini gösteren bir yol haritası.

 Değerlendirme metodolojisi

Danışmanlar ve mühendisler, görüşmeler ve teknik denetimler de dahil olmak üzere çeşitli yöntemler kullanarak güvenlik açığı değerlendirmesini birlikte gerçekleştirirler.

Görüşmeler, hem IEC 62443 hem de Yokogawa’nın güvenlik deneyimine dayanan kapsamlı bir anket aracılığıyla gerçekleşir. Sorular, ayrıntılı teknik uygulamadan, güvenliğin yerel kuruluş tarafından nasıl yönetildiğine kadar çeşitlilik gösterir. Bu sorulara verilen cevaplar, kullanıcı ve PC yönetimi, ağ aygıtı envanteri, yamalar, güncellemeler ve Anti virüs yönetimi de dahil olmak üzere teknik denetimlerle entegre edilir.

Her güvenlik açığı, riski belirlemek için incelenmelidir; bu, bir hacker’ın güvenlik açığını kullanarak ne kadar zarar verebileceği ile, zarar verici bu eylemin gerçekleşme olasılığının kombinasyonudur. Etki ve olasılık kombinasyonu risk düzeyi haline gelir (Şekil 4).

Şekil 4: Tüm saldırı vektörleri aynı değildir, bu nedenle savunma risk düzeyini yansıtmalıdır.

 Güvenlik açığı ve risk değerlendirmelerinin sonucu, aşağıdakileri içeren TSRA raporunda belgelenir:

  • Yönetim özeti
  • Metodolojiye genel bakış
  • OT ortamı için risklere genel bakış
  • OT ortamı için güvenlik açığına genel bakış
  • Tesisin mevcut durumu ve güvenlik gereksinimleri arasındaki boşluk analizi
  • Güvenlik programının nasıl iyileştirileceğine veya geliştirileceğine dair yol haritası.

Değerlendirmenin sonucu, üst düzey riski ele almak için hangi acil önlemlerin alınması gerektiği ve karşı önlemlerin uygulanması için etkili bir güvenlik programının nasıl planlanacağı konusunda yönetim ile yapıcı tartışmayı destekleyecektir. Nihai hedef, tehditler ve araçlar geliştikçe sürekli olarak değerlendirilen ve geliştirilen bir programa ulaşmaktır.

Risk tabanlı bir yaklaşımın benimsenmesi, kuruluşların karmaşık kararlar almasına, hangi eylemin yapılacağına ve nereye yatırım yapılacağına dair yol gösterecektir. Etkin risk yönetimi, şirkete ve tesise özgü riskleri bilmek ve iyice anlamak ile başlar. Ancak, karmaşık operasyonel ortam, gelişen siber tehditler ve sürekli güncellenen yasalar ve politikalar, kuruluşların bu sorumluluğu kurum içinde ele almalarını son derece zorlaştırmaktadır.

Bu, en deneyimli profesyoneller için bile zor olabileceğinden, birçok şirket güvenlik değerlendirmeleri söz konusu olduğunda güvenlik ortaklarından destek ister. Yokogawa’nın danışmanları ve mühendisleri hem tesis operasyonu hem de OT güvenliği konusunda derinlemesine bilgiye ve geniş deneyime sahip olarak, güvenlik yolculuğu boyunca rehber olarak hizmet sunabilirler.


Enerji ve Emisyon Yönetimine Yönelik Gerçek Zamanlı, Modele Dayalı Dijital İkiz

 

 

Yorum bırakın

E-posta hesabınız yayımlanmayacak.

Scroll to Top