Biznet Bilişim, Türkiye’de endüstriyel kontrol sistemleri alanında bir siber güvenlik ekosisteminin oluşturulması için ilgili paydaşları içinde bulunduran bir model önerisi geliştirdi. ‘Endüstriyel Kontrol Sistemleri Siber Dayanıklılık Vizyon Planı‘ adı verilen model, ilgili küresel ekosistemle aktif etkileşim halinde yerel bir platform kurarak, Türkiye’deki kritik altyapıların siber dayanıklılığını arttırmayı amaçlıyor.
Yurtdışında sürdürülen incelemelerin sonunda Biznet’in Türkiye için önerdiği modelin amaçları arasında, bu alanda uzman insan kaynağının yetiştirilmesi, bilgi birikiminin oluşturulması, EKS siber güvenliği alanında küresel örnekleri ile rekabet edebilecek yerli ürün ve hizmetlerin geliştirilmesi yer alıyor.
Biznet, böyle bir ekosistem için hizmet sağlayıcı firmalar ve işletmeler (“asset owners”), kamu ve akademilerle (üniversite, araştırma enstitüleri v.b) birlikte üçlü bir güvenlik sarmalı modelini öneriyor. Söz konusu modelde gönüllü kuruluşlara da yer veriliyor.
Yayınlanan dökümanda da belirtildiği gibi, bu üçlü sarmalda her bir paydaşın kendi içinde üzerine düşen görevler öngörülüyor. Endüstriyel Kontrol Sistemleri Siber Güvenlik Ekosistemi Akademi Eylem Planı’nda akademi ayağında amacın, araştırmacı kaynağının sağlanması, insan kaynağı yetiştirme, EKS siber güvenlik laboratuvarının kurulumu ve teknik araştırmalar için destek sağlanması olması gerektiği dile getiriliyor.
İşletmelerin sunacağı katkının ise yaşanmış ihlal ya da tehditlere ilişkin bilgi paylaşımı, iş ve staj imkânı sağlanması ve laboratuvar için süreç bilgisi ve ekipman temini olabileceği öngörülüyor. Hizmet ve teknoloji sağlayıcılarının da EKS siber güvenlik istihbarat desteği, eğitimler, araştırmacı desteği sağlama ve üniversite araştırmacılarının ilgili konularında yapacağı uluslararası sunum ve konferans için sponsorluk desteği vermesi gibi katkılar sağlayabileceği dile getiriliyor.
Kamu, regülasyon kurumları ve gönüllü kuruluşların ise oluşturulacak yol haritası kapsamında destekleyici bir rol üstlenebileceği dile getiriliyor. Bu kurum ve kuruluşların rehberlik, regülasyon, standartlaşma, yaygınlaştırma gibi konularda yol çizmesi beklenenler arasında.
Biznet’in hazırladığı dökümanda eğitim seferberliğinin söz konusu modelin bir parçası olması gerektiğinin altı çiziliyor. Buna göre, endüstriyel uzmanlık (endüstriyel yazılımlar, ürünler ve destekleyici eğitimler); siber güvenlik ve iş sürekliliği gibi konu başlıklarında bilgi birikiminin sürekli artması gerektiği öngörülüyor.
Bütün bu bilgiler saha bilgisi ile harmanlanıp pratik uygulamalara dönüştürülmeli. Ardından da farkındalık programları, dijital eğitim platformu, sınıf içi eğitimler ve üniversitelerde tez, doktora gibi yaygınlaştırma çalışmalarıyla desteklenmeli.
Bir olgunluk modelinin oluşturulmasının altı çizilen dökümanda siber dayanıklılığın sürdürülmesi için de vizyon geliştirilmesi öngörülüyor. Bu vizyon üç temel kategori altında incelenebilir:
- TR-E-ISAC çatı yapısının kurulması, böylece bilgi paylaşımı altyapısının oluşturulması
- Yerli çözüm geliştirme
- Siber dayanıklılığın arttırılması ve sürdürülmesi. Bunun rehberlik ve danışma, regülasyon, akreditasyon, standartlaşma ve ulusal faaliyetler ile gerçekleştirilebileceği öngörülüyor.
Konuyla ilgili Siber Bülten’e konuşan Biznet’in bilgi güvenliği uzmanı ve takım lideri Can Demirel, böyle bir ekosistemin hayata geçirilmesi için bütün tarafların gönüllü olması ve tüm tarafların katkı sunmasının gerekliliğinin altını çizdi.
Biznet, geliştirdiği bu model önerisiyle kendi üzerine düşen görevlerle ilgili somut aksiyonlar alıyor.
Güven ilişkisi temel olgu
Can Demirel, söz konusu üçlü sarmalda bütün kurumların paydaş olarak yer alacağını ve bu paydaşlar arasındaki ilişkinin güven ilişkisi ve ortak kazanç olmak üzere iki temel olgu üzerine inşa etmenin gerekliliği vurguladı. “Bilgi paylaşımının ön planda olduğu böyle bir platformda güven ilişkisi ve ortak kazanç en önemli iki olgu. Kazanç ile sadece maddi kazanımlardan bahsetmiyoruz. Böyle bir ekosistem içinde bilgi edinimi, siber tehditlere karşı iş birliği gibi parasal değeri olmayan kazanımlar da söz konusu.”
Üniversitelerle iş birliği yapılacak
Demirel, şu anda hem endüstriyel kontrol sistemleri hem de siber güvenlik alanında çalışma yapan akademik kuruluşlarla görüştüklerini, başlangıç olarak Sakarya Üniversitesi ile iş birliği içinde olduklarını, ama farklı üniversiteleri de sürece dahil ederek akademisyenlerin desteğiyle ilerleyeceklerini belirtti.
“Örneğin bu yaz bir EKS siber güvenlik kampı ilgili paydaşların desteği ile gerçekleştirilecek. Bu tarz programlarla hem insan kaynağı eksiğini gidermek hem de farkındalığı arttırarak hem bu alanda yetkin insan kaynağının yetiştirilmesi ek olarak nitelikli araştırma faaliyetlerinin gerçekleştirilmesini hedefliyoruz.”
Yayınlanan dokümanda önerilen modelin akademi ayağında ekosistem kurulum faaliyetleri kapsamında akademi ile birlikte işletilecek laboratuvarın kurulmasına öncelik verilmesi belirtiliyor.
Buna göre bu laboratuvarlarda endüstri ihtiyaçları gözetilerek araştırma konuları belirlenmeli ve araştırmalar yürütülmeli.
Biznet’in kendi analizine göre araştırma için üzerinde durulması gereken konu başlıkları arasında şunlar var: Endüstriyel cihazların gömülü işletim sistemlerine yönelik güvenlik analizi, endüstriyel protokoller üzerinde tersine mühendislik, endüstriyel bileşenler üzerinde zafiyet araştırması, izole ağlara sızma yöntemleri ve atak-savunma değerlendirmeleri.
Biznet’in geliştirdiği üçlü sarmal modelinde yer alacak paydaşların iki ana kategoriye ayrılması öneriliyor. Kurucu paydaşlar; ekosistemin kurulmasına öncülük eden ve kurulum aşamasından itibaren ekosistemin içerisinde yer alan paydaşlar olarak belirlenirken üye paydaşlar, kurulum sonrası ekosistem bünyesinde yer alan paydaşlardan oluşacak.
“Geçmiş denemeler ve küresel örneklerden edinilen bilgiler ışığında somut adımlar atılarak ilerlemenin faydalı olacağını değerlendiriyoruz. Somut çıktıların başarı olma şansını arttıracağına inanıyoruz.”
Yurtdışındaki modelleri inceleyerek böyle bir model geliştirdiklerini söyleyen Demirel, doğru adımların atılması halinde Türkiye’nin bu konuda önemli bir yol kat edeceğini düşünüyor: “Elbette bir paydaş olarak üzerimize düşen aksiyonlarla ilgili somut adımlar atarken diğer paydaşların da doğru zamanda doğru adımlar atması gerekiyor. Doğru strateji ve aksiyonlarla bırakın dünyaya yetişmeyi, küresel bir başarı öyküsü çıkarabiliriz.”
‘Kültürün içselleştirilmesi şart’
Can Demirel, söz konusu ekosistemin bütün paydaşlara yararlı olabilmesi için kültürel yaklaşımların önemine de değindi: “Buradaki en önemli noktalardan biri yurtdışında gözlemlediğimiz bilgi paylaşımına ve farklılıklara açık olmayı öngören kültürel yaklaşımları içselleştirebilmek.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz