Bugünlerde siber güvenliği manşetlere taşıyan DDoS saldırılarının ilk dalgası Türkiye DNS’lerini, ikinci dalgası ise kamu kurumlarını ve büyük bankaları hedef aldı. Bir güvenlik profesyoneli olarak beni asıl endişelendiren ise bundan sonraki dalgalar. Amaç ülkenin kritik altyapılarını çalışmaz hale getirmek ise bir sonraki adımda hedef enerji, su ve ulaşım gibi sektörler olacak. Ve maalesef bazı istisnalar dışında bu sektörlerin siber güvenlik alanındaki farkındalığı ve yatırımları finans ve telekomünikasyon sektörlerine göre çok daha zayıf seviyede.
İLGİLİ HABER >> İRANLI HACKERLAR AMERİKAN BARAJINA SIZMIŞ
Bu zayıflığın en temel sebeplerinden birisi ise yukarıda bahsedilen sektörlerin son birkaç seneye kadar siber güvenlik denildiği zaman sadece kurum bilgi teknolojilerine (BT) odaklanması. Elektrik üretimi yapan bir santral ve bu santralin bağlı bulunduğu şirket merkezini düşünün. Sizce şirket merkezinin bilgisayarlarının çalışmaması ve şirketin müşteri ve çalışanlarının bilgilerinin ifşa olması mı, santralin elektrik üretiminin durması mı daha kritiktir? Ya da bir havayolu şirketinin yolcularının kimlik ve kredi kartı bilgilerinin Internet üzerinde yayınlanması mı, bu havayolunun uçaklarının uzaktan kontrol edilebilmesi mi kulağa daha korkutucu geliyor?
HABER >> SİBER ALANIN EN İDDİALI 10 START-UP’I
Endüstriyel süreçleri kontrol eden donanım ve yazılımları operasyonel teknolojiler (OT) olarak tanımlayabiliriz. Geçmişte özel tasarım donanımların ve gömülü yazılımların ağırlıklı olduğu bu alanda artık çoğu kritik sistem Unix, Linux ve hatta Windows temelli işletim sistemleri barındırıyor. Ve uzun yıllardır bu sistemlerin izole olmasından kaynaklanan sahte bir güven havası yaratılmış durumda. Bu sebepten ötürü OT sistemleri BT sistemlerine göre güvenlik açısından çok geride ve arayı kapatmaları için çok da zamanları kalmadı. OT sistemlerine yönelik saldırılarda milat olarak kabul edilen Stuxnet zararlı yazılımı sonrasında Pandora’nın kutusu açıldı ve kapatmak mümkün değil.
Peki, siber güvenlik alanında yatırım yapmak ya da en azından en temel açıklarını kapatmak isteyen OT sistemlerine sahip kurumlar hangi noktalara odaklanmalı? Aşağıdaki on maddeyi[i] değerlendirmek güzel bir başlangıç olabilir:
- OT sistemlerine kendi ağları dışından yapılan tüm erişimler denetlenmeli.
- Uzaktan bağlanılması gereken OT sistemlerine yapılacak bu bağlantılar için yeterli güvenlik ve kontrol mekanizmaları kurulmalı.
- Güvenlik güncellemeleri sürecine muhakkak OT sistemleri de dahil edilmeli.
- Hem sistem, hem de kullanıcı parolaları gözden geçirilip en iyi uygulamalar dahilinde yönetilmeli.
- BT ve OT sistemleri arasında, kuralları özenle belirlenmiş güvenlik duvarları konumlandırılmalı.
- OT sistemleri BT sistemlerine bağımlı olmamalı, iki ağ arasında muhakkak bir geçiş bölgesi (demilitarised zone – DMZ) bulunmalı.
- BT ağına OT ağından yapılan bağlantılar da denetlenmeli.
- OT ağları kendi içlerinde kritiklik seviyesine göre bölümlere ayrılmalı.
- OT ağlarından Internet’e bağlantı yapılmamalı, yapılıyorsa da izlenmeli.
- Kablosuz OT ağlarında kuvvetli şifreleme ve kimlik doğrulama sistemleri kullanılmalı.
Bu on maddeden herhangi birisinin atlanması kurumlara ve hizmet verdikleri müşterilerine, hatta ülkelere bile zarar verilmesine zemin hazırlayabilir. Hal böyleyken kurumların daha güvenli hale gelmesi için iyileştirmelere nereden başlayacakları da önemli bir soru.
İlk adım bir bilgi güvenliği lideri atanması (CISO) ve bu liderin kurumsal organizasyon içinde mümkün olan en üst seviyeye raporlaması olmalı. Geçtiğimiz aylarda yayınlanan Küresel Bilgi Güvenliği Araştırması’na[ii] katılan kurumların yarısından fazlasında bir CISO olması ve bu CISO’ların da yarısından fazlasının direkt olarak CEO ya da yönetim kuruluna bağlı olarak çalışması bu konuda oldukça iyi bir gösterge.
Daha sonrasında da CISO’nun önderliğinde, kurum stratejileri ile örtüşen bir siber güvenlik stratejisi oluşturulması ve bu strateji çerçevesinde yukarıda bahsedilenler başta olmak üzere iyileştirmeler yapılması gerekiyor. Yatırımları planlarken de Bruce Schneier’ın meşhur cümlesi asla unutulmamalı: “Güvenlik bir süreçtir, ürün değil.”
[i] http://www.pwc.com.au/publications/cyber-savvy-securing-operational-technology-assets.html
[ii] http://www.pwc.com.tr/gsiss
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
