Biznet arşivleri » Sayfa 3 / 3

Siber güvenlik şirketi Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, 2018 yılında endüstriyel kontrol sistemlerinde (EKS) siber güvenlik alanını bekleyen gelişmeleri değerlendirdi. 2017’nin EKS için oldukça hareketli geçtiğine değinen Demirel, yeni gelen yönetmelik ve düzenlemelerle devletten özel sektöre kadar birçok alanda artan siber güvenlik farkındalığının yanı sıra bu yılın yeni saldırı ve zararlı yazılımları da beraberinde getireceğini belirtti.

Demirel’e göre, siber güvenliğin bilgi teknolojilerine kıyasla EKS tarafında daha genç bir alan olmasından dolayı 2018’in de en az geçen seneki kadar hareketli geçmesi bekleniyor. Biznet uzmanları, 2017 yılı boyunca Türkiye, Avrupa ve Kuzey Amerika’dan elde ettikleri pazar yönelimleri bilgisi, uzman yorumları ve analist görüşlerini birleştirerek yeni yılda bu alanda beklenen gelişmeleri derlediği bir kapsamlı blog yazısı kaleme aldı.

Demirel, yazısında öncelikle fidye yazılımları ve IT-OT (Bilgi Teknolojileri – Operasyonel Teknolojiler) yakınsamasından doğacak saldırıların artacağına değindi. Nitekim, geçtiğimiz yıl hem ülkemizde hem de dünyanın birçok yerinde kritik altyapıların WannaCry, Petya, NonPetya gibi fidye yazılımı saldırılarından etkilendiğini ve birçok işletmenin operasyonlarının durduğuna şahit olmuştuk. Buna ek olarak IT-OT yakınsamasının kontrolsüz şekilde artmasının kritik altyapılar için yeni bir saldırı yüzeyi oluşturduğu vurgulandı. Demirel’e göre, saldırganların bu gerçeği fark etmiş olmasından dolayı, 2018’de kritik altyapılar, fidye yazılımlar ve zafiyetleri istismar eden sistem saldırılarından (Windows tabanlı vb.) daha çok etkilenebilir.

Bilgi güvenliği uzmanının makalede vurguladığı ikinci önemli nokta ise doğrudan endüstriyel kontrol sistemlerine yönelik özel zararlı yazılımlarda görülecek artış. Demirel, STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE ve son olarak Aralık ayında gündeme gelen TRITON/TRISIS/HATMAN gibi endüstriyel kontrol sistemleri bileşenlerini doğrudan hedef alan zararlı yazılımların ve buna bağlı güvenlik olaylarının yeni yılda daha da artış göstereceğini tahmin ediyor.

Öte yandan, 2018 yılında özellikle endüstriyel kontrol sistemlerine yönelik özelleşmiş zararlı yazılımları destekleyen ya da koordine eden devlet destekli (state-sponsored) aktörlerin sayısının artması da bekleniyor. Daha önce bu tarz zararlı yazılımların genellikle bu aktörler tarafından yönetildiği biliniyor. Demirel, bu sene, ulusal seviye aktörlerin daha ofansif faaliyetler göstermesini beklediklerini vurguladı.

UÇTAN UCA GÜVENLİK DAHA ÖNEMLİ HALE GELECEK

2018 yılı, birçok işletme için uçtan uca güvenlik gereksinimi de beraberinde getirecek. Demirel, endüstriyel kontrol sistemlerinin güvenliğinin birçok işletme için yeni bir kavram olduğunu ve işletmelerin genellikle bu konuda stratejik yol haritasını oluşturmakta zorlandığını vurguladı.

Bu yüzden de Biznet’in tahminlerine göre, şirketler, olası tüm siber risklerini minimize etmek için bilgi güvenliğinde büyük resmi tamamlayacak şekilde kendi bünyelerindeki IT güvenlik birimlerini, OT güvenliğini de ele alacak ve o konuda da önlemler geliştirecek bir yapıya kavuşturacak. Bu öngörünün bir yansıması olarak da makalede, hizmet ve ürünlerle birlikte uçtan uca güvenlik önlemlerinin alınmaya başlayacağı ve IT ile OT güvenliğinin birlikte değerlendirileceği belirtildi. Demirel, özellikle OT tarafında ağı tanıyan, izleyen ve sıradışı durumlarda alarm üreten çözümlerin ön plana çıkacağını belirtti.

Can Demirel’in yazısında üstünde durduğu diğer bir konu ise işletme ve üreticilerin, güvenli tasarım prensiplerini benimseyip daha güvenli mimariler kurmak için harekete geçecek olmaları. Diğer bir deyişle, 2018, altyapı mimarilerinin proje aşamasında ve erken evrelerde güvenlik düşüncesi katılarak tasarlanmaya başlandığı bir yıl olacak.

Demirel’ göre, son yıllarda yaşanan ihlallerin büyük bir kısmı, tedarikçilerin kullandığı sistemler üzerinden gerçekleştiği için, işletmeler, bu yıl kendi altyapılarına ek olarak, işletme operasyonlarına destek veren tedarikçileri (danışmanlar, olay müdahale ekipleri, bakım-onarım ekipleri gibi) için de siber güvenlik önlemlerini arttıracak ve hatta zorlayacak.

Son yıllarda kritik altyapıları hedef alan saldırılara karşın, ulusal ve uluslararası standart ve regülasyonların bu alanın korunması için yeterli düzeyde olmadığı görülüyor. Demirel, özellikle Avrupa Birliği ve ülkemizde regülasyon kapsamı ve etki ettiği alanların artacağını belirtti. Bunun sonucunda regülasyon gerekliliklerini karşılamak için, işletme sahiplerinin daha fazla risk değerlendirmesi, güvenlik denetimi ve saha çalışması yapması bekleniyor.

Öte yandan, güvenlik araştırmacılarının yayınladıkları zafiyetler ve endüstriyel kontrol sistemlerine yönelik araştırma çıktılarının, bu konuda kendini geliştirmeye çalışan saldırganlar tarafından daha fazla istismar edileceği ve kötü niyetli amaçlar için kullanılacağı tahminler arasında.

Bunların yanı sıra, Demirel, kara borsada EKS zafiyetlerine olan talebin artması sonucu, bu alanda yeni ve spesifik bir pazar oluşmasını ve EKS zafiyetleri ile EKS zararlı yazılımlarının alım-satımının daha popüler hale gelmesini beklediklerini belirtti.

IT VE OT BİRİMLERİ İÇİN KÖPRÜ GEREKİYOR

Siber güvenlik alanındaki insan kaynağı eksikliği endüstriyel kontrol sistemlerinde yeni yılda da kendini gösterecek. Bu yıl, endüstriyel kontrol sistemlerine hâkim siber güvenlik uzman ihtiyacının, artan tehditler, regülasyonlar ve IT-OT yakınsaması sebebiyle artmaya devam etmesi bekleniyor. Demirel’e göre, işletmeler bu açığı kapatmak için BT siber güvenlik uzmanlarını hali hazırda bu alana yönlendirmeye çalışsa dahi mevcut siber güvenlik uzmanlarının da sayısının yetersiz oluşu, bu alandaki ihtiyacı daha da dramatik hale getirmeye başlayacak.

2018 yılı itibarıyla işletmelerdeki siber güvenlik sorumluluk paylaşım problemlerini gidermek için ortak kadroların kurulduğu organizasyonel değişikliklerin yaşanacağı da beklentiler arasında. Demirel, işletme içerisinde IT ve OT birimlerinin aynı dili konuşabilmesi için her iki kültürü bilen ve köprü görevi üstlenecek yeni birimlerin ortaya çıkabileceğini vurguladı.

Geçtiğimiz yıl, OT güvenlik girişimlerinin ciddi yatırımlar aldığı bir yıl oldu. Demirel, bu yıl EKS Siber Güvenlik girişim ekosisteminin büyüyeceğini ve daha fazla girişimin farklı sorunlara çözümler geliştireceğini belirtti. Özellikle OT güvenlik girişimlerinin, genel güvenlik yatırımları arasında yüzdesini arttıracağı tahmin ediliyor.

2017 yılında birçok EKS altyapı üreticisi, siber güvenlik çözümlerini satın alma yolu ile bünyelerine kattı. 2018 yılında büyük oyuncuların kendi birimlerini güçlendireceği ve yatırımlarını arttırmaya devam edeceği öngörülüyor. Demirel, bununla birlikte danışmanlık firmaları, OT ve IT güvenlik tedarikçileri arası ikili iş birliklerinin artmaya devam edeceğini beklediklerini belirtti.

Demirel, makalesinde bu yıl kritik altyapıları ilgilendiren yeni fiziksel güvenlik konularının tartışılmaya başlanacağını da belirtti. Hassas işletmeler için drone koruması gibi yeni nesil fiziksel koruma önlemleri gündeme gelecek konular arasında.

SİBER SİGORTA VE YERLİ YAZILIM GÜNDEMDE KALMAYA DEVAM EDECEK

Can Demirel’in makalesinde değindiği diğer bir gelişme siber güvenlik sigortası. Özellikle Kuzey Amerika’da, kritik altyapılara siber güvenlik sigortasının yapılması konusu gündemi bir süredir meşgul ediyordu. Demirel, makalesinde bu konunun Avrupa’da da artarak konuşulmaya devam edeceğini belirtti.

Demirel’in üzerinde durduğu konulardan biri de EKS özelinde Kuzey Amerika ve Avrupa Birliği içerisinde belirli bir olgunluğa erişmiş kümelenme ve bilgi paylaşım platformları oldu. Demirel, 2018 yılından itibaren bu tarz platformların ülkemizde daha ön plana çıkmasını beklediklerini belirtti.

Yazıda son olarak kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyetine değinildi. Bu durum, 2017 yılında dünya çapında hızla yükselen trendlerden biri olmuştu. Demirel, Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketlerinin etkilendiğini hatırlatarak, bu yaklaşımın sadece yeterli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olduğunu belirtti. Dolayısıyla, Demirel’in tahminlerine göre, kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesi gerekecek.

Kritik altyapıların ekonomi ve ulusal güvenlik açısından önemini vurgulayan Demirel, bu yıl siber milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS siber güvenliği olacağını belirtti ve milli yazılım inisiyatifinin teşvik edildiği bu dönemde, söz konusu gelişmelerin ülkemiz için de bir fırsat olabileceğini vurguladı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

2000 yılında kurumların bilgi güvenliği ihtiyaçlarına çözüm üretmek amacıyla Ankara’da kurulan Biznet, geçtiğimiz hafta Avrupa’nın en geniş güvenlik kümelenmesi olan ve Hollanda’da bulunan Hague Security Delta (HSD)’nın ilk Türk üyesi oldu. Perşembe günü İstanbul’da düzenlenen “Endüstriyel Kontrol Sistemlerinde Bilgi Güvenliği” konulu seminerde Siber Bülten’e konuşan Biznet İç Girişimcilik Direktörü Hakan Terzioğlu, güvenlik alanında ilerleme kaydetmek için bilgi paylaşımı ve iş birliğinin şart olduğunu söyledi.

Bilgi güvenliğinin çok hızlı değişen ve gelişen bir alan olduğunu söyleyen Terzioğlu, tehditlere karşı hazırlıklı olmak ve gelişmeleri takip edebilmek için kurumlar ve ülkeler arası iş birliğinin hayati olduğunu vurguladı. Terzioğlu, ayrıca HSD’nin akademi, özel sektör ve kamu kurumlarını bir araya getiren yapısına değindi:

“HSD gibi kümelenmelerde aynı paylaşımcı zihniyete sahip fakat farklı bakış açıları olan şirketler ve kurumlar bir araya geliyor. Sistemin temelinde Üçlü Sarmal Yapı (Triple Helix) bulunuyor. Yani devlet, akademik kurumlar ve özel sektör devamlı birbirini besliyor. Daha ‘güvenli’ bir dünya için çalışan kişi ve kurumların bu şekilde bir araya gelmesi gelişimi ve ilerlemeyi hızlandırıyor. Çünkü ne devlet ne akademi ne de özel sektör birbiri olmadan bu alanda hızlı ilerleyemez. Dolayısıyla bu model, kamu-özel sektör boşluğunu kapatmakla kalmıyor; ayrıca iş birliği ve bilgi paylaşımı ile vakit kayıpları azaltılarak, doğru alanlara yatırımlar önceliklendirilebiliyor.”

Türkiye’de böyle bir yapı henüz yok. Terzioğlu’na göre Türkiye’nin siber güvenlik alanında henüz Avrupa’daki olgunluk seviyesine ulaşamamasının arkasında yatan en büyük sebeplerden biri bu.

“Burada aynı sektörde olan iki kurum birbiriyle siber güvenlik tarafında iş birliği yapmaktan genelde kaçınıyor. Çünkü güvenlik hassas bir konu ve bazen çok korumacı davranıyoruz. Öğrenilmiş dersleri paylaşmadığımız zaman savunma yöntemlerimiz saldırıların karşısında ilkel kalıyor.”

Terzioğlu’na göre siber güvenlik alanında hizmet sunan Türk firmalarının da daha fazla iş birliği yapması gerekiyor.

“Zaten bu alanda Türkiye’de faaliyet gösteren kurum sayısı sınırlı. Bilgi paylaşımı konusunda genel bir çekimserlik olsa da Türk firmaları yeniliğe çok açık. “Know-how” denilen bilgi paylaşımı odaklı bir yapı hepimizi besler, daha iyi hizmet sunmamızı sağlar.”

İlgili TED konuşması >> Siber suçlarla mücadelede ‘Kuş Gribi’ formülü

Regülasyonlar konusunda Türkiye’nin hızlı ve verimli bir yol izlediğini söyleyen Terzioğlu, yine de daha olgun ürünlere, daha hızlı bir çalışma sistemine ve ileriye dönük Ar-Ge faaliyetlerine olan ihtiyacın önemini vurguladı.

Terzioğlu, Biznet’in bu üyeliği ve diğer uluslararası iş birlikleri ile Avrupa’da gözlemledikleri modelleri Türkiye’de uygulamayı istediklerini söyledi. Bunun içinse birinci elden Avrupa’yı gözlemlediklerini, doğrudan oradaki iş ortamlarında bulunduklarını ekledi. Öte yandan bölgesel ve ulusal anlamda değişen dinamiklerden dolayı, Avrupa’dan bir modelin doğrudan Türkiye’de nasıl uygulanacağı sorununa Terzioğlu, Biznet’in bu modelleri Türkiye’ye adapte ederken tercüman görevi gördüğünü söyledi.

Siber güvenlik alanında ilerlemek için sadece bilgi paylaşımı değil, devlet teşvikleri de önemli yer tutuyor. Son zamanlarda özellikle İsrail siber güvenlik alanında insan kaynağının ve yatırımın artması için farklı teşviklere başvuruyor. Terzioğlu’na göre bu tarz bir uygulamaya Türkiye’de de dikkat çekilmeli:

“Türkiye’nin halihazırda bölgede enerji koridoru olmak gibi hedefleri var, bunun için siber güvenlik altyapısı şart ve devlet de bunun bilincinde; gerekli adımları atıyor. Her ne kadar regülasyon konusunda iyi gidiyor olsak da devletin bu alanda daha fazla teşvik sağlaması daha yararlı olur. Çünkü siber güvenliğiniz ve dayanıklılığınız olmadan bölgede kuvvetli bir oyuncu olmaya soyunamazsınız.”

İlgili haber >> İsrail Siber Güvenliğinin Beyni: Eviatar Matania

HSD, Hollanda’nın Lahey, Eindhoven ve Twente şehirlerinde faaliyet gösteriyor ve aralarında ABN Ambro, Alliander, Europol Siber Suç Merkezi, NATO Haberleşme ve Bilgi Kurumu, ENCS, TU Delft gibi saygın üyelerin olduğu toplam 270’in üzerinde üyeye sahip. HSD, Avrupa’nın önde gelen güvenlik kuruluşlarına bilgi, yenilik, pazar, yatırım ve uzman insan kaynağı erişimi sağlamayı amaçlıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Bülten

Etiket arşivi: Biznet

Biznet uzmanı Demirel uyardı: “Dijitalleşme kritik altyapılara yönelik tehditleri daha da arttıracak”

Hakan Terzioğlu: Siber güvenliğin gelişimi için bilgi paylaşımı şart

Siber Güvenliğin Türkçe Hafızası

Haftalık bültenimize abone olun.