Siber güvenlik şirketi Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, 2018 yılında endüstriyel kontrol sistemlerinde (EKS) siber güvenlik alanını bekleyen gelişmeleri değerlendirdi. 2017’nin EKS için oldukça hareketli geçtiğine değinen Demirel, yeni gelen yönetmelik ve düzenlemelerle devletten özel sektöre kadar birçok alanda artan siber güvenlik farkındalığının yanı sıra bu yılın yeni saldırı ve zararlı yazılımları da beraberinde getireceğini belirtti.
Demirel’e göre, siber güvenliğin bilgi teknolojilerine kıyasla EKS tarafında daha genç bir alan olmasından dolayı 2018’in de en az geçen seneki kadar hareketli geçmesi bekleniyor. Biznet uzmanları, 2017 yılı boyunca Türkiye, Avrupa ve Kuzey Amerika’dan elde ettikleri pazar yönelimleri bilgisi, uzman yorumları ve analist görüşlerini birleştirerek yeni yılda bu alanda beklenen gelişmeleri derlediği bir kapsamlı blog yazısı kaleme aldı.
Demirel, yazısında öncelikle fidye yazılımları ve IT-OT (Bilgi Teknolojileri – Operasyonel Teknolojiler) yakınsamasından doğacak saldırıların artacağına değindi. Nitekim, geçtiğimiz yıl hem ülkemizde hem de dünyanın birçok yerinde kritik altyapıların WannaCry, Petya, NonPetya gibi fidye yazılımı saldırılarından etkilendiğini ve birçok işletmenin operasyonlarının durduğuna şahit olmuştuk. Buna ek olarak IT-OT yakınsamasının kontrolsüz şekilde artmasının kritik altyapılar için yeni bir saldırı yüzeyi oluşturduğu vurgulandı. Demirel’e göre, saldırganların bu gerçeği fark etmiş olmasından dolayı, 2018’de kritik altyapılar, fidye yazılımlar ve zafiyetleri istismar eden sistem saldırılarından (Windows tabanlı vb.) daha çok etkilenebilir.
Bilgi güvenliği uzmanının makalede vurguladığı ikinci önemli nokta ise doğrudan endüstriyel kontrol sistemlerine yönelik özel zararlı yazılımlarda görülecek artış. Demirel, STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE ve son olarak Aralık ayında gündeme gelen TRITON/TRISIS/HATMAN gibi endüstriyel kontrol sistemleri bileşenlerini doğrudan hedef alan zararlı yazılımların ve buna bağlı güvenlik olaylarının yeni yılda daha da artış göstereceğini tahmin ediyor.
Öte yandan, 2018 yılında özellikle endüstriyel kontrol sistemlerine yönelik özelleşmiş zararlı yazılımları destekleyen ya da koordine eden devlet destekli (state-sponsored) aktörlerin sayısının artması da bekleniyor. Daha önce bu tarz zararlı yazılımların genellikle bu aktörler tarafından yönetildiği biliniyor. Demirel, bu sene, ulusal seviye aktörlerin daha ofansif faaliyetler göstermesini beklediklerini vurguladı.
UÇTAN UCA GÜVENLİK DAHA ÖNEMLİ HALE GELECEK
2018 yılı, birçok işletme için uçtan uca güvenlik gereksinimi de beraberinde getirecek. Demirel, endüstriyel kontrol sistemlerinin güvenliğinin birçok işletme için yeni bir kavram olduğunu ve işletmelerin genellikle bu konuda stratejik yol haritasını oluşturmakta zorlandığını vurguladı.
Bu yüzden de Biznet’in tahminlerine göre, şirketler, olası tüm siber risklerini minimize etmek için bilgi güvenliğinde büyük resmi tamamlayacak şekilde kendi bünyelerindeki IT güvenlik birimlerini, OT güvenliğini de ele alacak ve o konuda da önlemler geliştirecek bir yapıya kavuşturacak. Bu öngörünün bir yansıması olarak da makalede, hizmet ve ürünlerle birlikte uçtan uca güvenlik önlemlerinin alınmaya başlayacağı ve IT ile OT güvenliğinin birlikte değerlendirileceği belirtildi. Demirel, özellikle OT tarafında ağı tanıyan, izleyen ve sıradışı durumlarda alarm üreten çözümlerin ön plana çıkacağını belirtti.
Can Demirel’in yazısında üstünde durduğu diğer bir konu ise işletme ve üreticilerin, güvenli tasarım prensiplerini benimseyip daha güvenli mimariler kurmak için harekete geçecek olmaları. Diğer bir deyişle, 2018, altyapı mimarilerinin proje aşamasında ve erken evrelerde güvenlik düşüncesi katılarak tasarlanmaya başlandığı bir yıl olacak.
Demirel’ göre, son yıllarda yaşanan ihlallerin büyük bir kısmı, tedarikçilerin kullandığı sistemler üzerinden gerçekleştiği için, işletmeler, bu yıl kendi altyapılarına ek olarak, işletme operasyonlarına destek veren tedarikçileri (danışmanlar, olay müdahale ekipleri, bakım-onarım ekipleri gibi) için de siber güvenlik önlemlerini arttıracak ve hatta zorlayacak.
Son yıllarda kritik altyapıları hedef alan saldırılara karşın, ulusal ve uluslararası standart ve regülasyonların bu alanın korunması için yeterli düzeyde olmadığı görülüyor. Demirel, özellikle Avrupa Birliği ve ülkemizde regülasyon kapsamı ve etki ettiği alanların artacağını belirtti. Bunun sonucunda regülasyon gerekliliklerini karşılamak için, işletme sahiplerinin daha fazla risk değerlendirmesi, güvenlik denetimi ve saha çalışması yapması bekleniyor.
Öte yandan, güvenlik araştırmacılarının yayınladıkları zafiyetler ve endüstriyel kontrol sistemlerine yönelik araştırma çıktılarının, bu konuda kendini geliştirmeye çalışan saldırganlar tarafından daha fazla istismar edileceği ve kötü niyetli amaçlar için kullanılacağı tahminler arasında.
Bunların yanı sıra, Demirel, kara borsada EKS zafiyetlerine olan talebin artması sonucu, bu alanda yeni ve spesifik bir pazar oluşmasını ve EKS zafiyetleri ile EKS zararlı yazılımlarının alım-satımının daha popüler hale gelmesini beklediklerini belirtti.
IT VE OT BİRİMLERİ İÇİN KÖPRÜ GEREKİYOR
Siber güvenlik alanındaki insan kaynağı eksikliği endüstriyel kontrol sistemlerinde yeni yılda da kendini gösterecek. Bu yıl, endüstriyel kontrol sistemlerine hâkim siber güvenlik uzman ihtiyacının, artan tehditler, regülasyonlar ve IT-OT yakınsaması sebebiyle artmaya devam etmesi bekleniyor. Demirel’e göre, işletmeler bu açığı kapatmak için BT siber güvenlik uzmanlarını hali hazırda bu alana yönlendirmeye çalışsa dahi mevcut siber güvenlik uzmanlarının da sayısının yetersiz oluşu, bu alandaki ihtiyacı daha da dramatik hale getirmeye başlayacak.
2018 yılı itibarıyla işletmelerdeki siber güvenlik sorumluluk paylaşım problemlerini gidermek için ortak kadroların kurulduğu organizasyonel değişikliklerin yaşanacağı da beklentiler arasında. Demirel, işletme içerisinde IT ve OT birimlerinin aynı dili konuşabilmesi için her iki kültürü bilen ve köprü görevi üstlenecek yeni birimlerin ortaya çıkabileceğini vurguladı.
Geçtiğimiz yıl, OT güvenlik girişimlerinin ciddi yatırımlar aldığı bir yıl oldu. Demirel, bu yıl EKS Siber Güvenlik girişim ekosisteminin büyüyeceğini ve daha fazla girişimin farklı sorunlara çözümler geliştireceğini belirtti. Özellikle OT güvenlik girişimlerinin, genel güvenlik yatırımları arasında yüzdesini arttıracağı tahmin ediliyor.
2017 yılında birçok EKS altyapı üreticisi, siber güvenlik çözümlerini satın alma yolu ile bünyelerine kattı. 2018 yılında büyük oyuncuların kendi birimlerini güçlendireceği ve yatırımlarını arttırmaya devam edeceği öngörülüyor. Demirel, bununla birlikte danışmanlık firmaları, OT ve IT güvenlik tedarikçileri arası ikili iş birliklerinin artmaya devam edeceğini beklediklerini belirtti.
Demirel, makalesinde bu yıl kritik altyapıları ilgilendiren yeni fiziksel güvenlik konularının tartışılmaya başlanacağını da belirtti. Hassas işletmeler için drone koruması gibi yeni nesil fiziksel koruma önlemleri gündeme gelecek konular arasında.
SİBER SİGORTA VE YERLİ YAZILIM GÜNDEMDE KALMAYA DEVAM EDECEK
Can Demirel’in makalesinde değindiği diğer bir gelişme siber güvenlik sigortası. Özellikle Kuzey Amerika’da, kritik altyapılara siber güvenlik sigortasının yapılması konusu gündemi bir süredir meşgul ediyordu. Demirel, makalesinde bu konunun Avrupa’da da artarak konuşulmaya devam edeceğini belirtti.
Demirel’in üzerinde durduğu konulardan biri de EKS özelinde Kuzey Amerika ve Avrupa Birliği içerisinde belirli bir olgunluğa erişmiş kümelenme ve bilgi paylaşım platformları oldu. Demirel, 2018 yılından itibaren bu tarz platformların ülkemizde daha ön plana çıkmasını beklediklerini belirtti.
Yazıda son olarak kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyetine değinildi. Bu durum, 2017 yılında dünya çapında hızla yükselen trendlerden biri olmuştu. Demirel, Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketlerinin etkilendiğini hatırlatarak, bu yaklaşımın sadece yeterli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olduğunu belirtti. Dolayısıyla, Demirel’in tahminlerine göre, kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesi gerekecek.
Kritik altyapıların ekonomi ve ulusal güvenlik açısından önemini vurgulayan Demirel, bu yıl siber milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS siber güvenliği olacağını belirtti ve milli yazılım inisiyatifinin teşvik edildiği bu dönemde, söz konusu gelişmelerin ülkemiz için de bir fırsat olabileceğini vurguladı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz