Bu yazımda sizlerle Operasyonel Teknolojilerde gerçekleşen siber güvenlik zafiyetlerine yönelik tehditlerin 6 bölümde neler olduğunu bir yazı dizisi halinde sizlerle paylaşmayı düşünüyorum. İlk olarak, SCADA/Endüstriyel Kontrol sistemlerinde organizasyonel açıdan değerlendirdiğimizde iş hedeflerine yönelik tehditlerin neler olacağını inceleyeceğiz ve sonrasında aşağıda belirttiğim şekilde ana başlıklara ayırdığım tehditleri bir sonraki yazılarımda detaylı bir şekilde sizlerle paylaşacağım.

  1. Organizasyonel Tehditler
  2. SCADA/Endüstriyel Kontrol Sistemleri Mimarisindeki ve Teknolojisindeki Tehditler
  3. Ağ ve Haberleşmedeki Tehditler
  4. İnsan Faktörüyle Oluşan Tehditler
  5. Operasyonel Bakım Tehditleri
  6. Harici ve Dış Tehditler

Bilgi ve iletişim teknolojisi (ICT) için ISO-27000 2014 standardı, tehdidi istenmeyen bir olayın potansiyel nedeni olarak tanımlar, bu tehditler bir sisteme veya kuruluşa nasıl zarar verebileceği bilgisini içerir. Bununla birlikte ISO-22399 2007 standardı, istenmeyen bir olayın potansiyel sebebi olarak bir tehdit tanımlamakta, bu da bireylere, sisteme veya organizasyona, çevreye veya topluma nasıl zarar verebileceği bilgisini içerir. Tehdit, ISO-22399 2007 standardı tarafından bir veya daha fazla tehdit tarafından kullanılabilecek bir varlığın veya denetimin zayıflığı olarak tanımlanan güvenlik açığıdır. SCADA/Endüstriyel Kontrol sistemleri tehditleri ve güvenlik açıklarının kombinasyonu SCADA/Endüstriyel Kontrol sistemleri riskine yol açar. Standartlara göre; bu kadar tehdit tanımlaması yaptıktan sonra şimdi gelelim SCADA/Endüstriyel Kontrol Sistemlerindeki Tehditleri sınıflandırarak detaylarının neler olduğununa bakalım.

  • Yönetici Seviyesindeki Tehditler : Şirketin tüm organizasyon seviyelerinde Endüstriyel kontrol sistemlerindeki siber güvenlik tehditlerinin anlaşılmasında eksiklikler olabilir. Kurumlarda iş hedeflerine yönelik risklerin yönetilmesi ve paydaşların çıkarlarının korunması yönetici seviyesinde başlar. Bazı zamanlarda teknolojik yatırımlarla artan tehditlerin SCADA/Endüstriyel Kontrol Sistemleri departmanının ihtiyaçlarını ve işin teknik detaylarını üst yönetim seviyesine iletmesi zorlaşmaktadır. Çoğu zaman siber güvenliğin sağlanması Bilgi Teknolojileri departmanına devredilmiştir ve bu bölümün SCADA/Endüstriyel Kontrol Sistemlerine yönelik siber tehditleri ele almasına yardımcı olabileceğini düşünülmektedir. Yönetici kademesinde sorun çözüldü; ekstra masrafa gerek yok fakat durum tam da bu şekilde düşünüldüğü gibi işlemez. Sonuç olarak, bazı kurumlarda hiçbir SCADA/Endüstriyel Kontrol Sistemleri güvenlik politikası mevcut değildir, hiçbir risk analizi yapılmaz, SCADA/Endüstriyel Kontrol Sistemlerinde güvenlik denetimi yapılmaz, güvenlik duvarı / DMZ kayıtlarının analizi yapılmaz ve bazen sorumluluğun kimde olduğu bile net değildir. Bir SCADA/Endüstriyel Kontrol Sistemleri güvenlik zafiyeti meydana geldiğinde sorumlu aranmaya başlar. Sorumlu departmanın belirlenmesi ve departmanların görev çizgileri net belirlenmelidir. Bununla birlikte, SCADA/Endüstriyel Kontrol Sistemleri alanında bir siber güvenlik zafiyeti meydana geldiğinde, yürütme seviyesinde, sürecin sorumlusu SCADA/Endüstriyel Kontrol Sistemleri alanındaki bir siber güvenlik zafiyetini kabul etmeye ve şefaf bir raporlamaya istekli değildir.
  • Chief Information Security Officer (CISO) Bakış Açısı : Bir alt organizasyon düzeyinde, CISO’lar veya eşdeğer sorumluluklarda görev yapan kişiler genellikle SCADA/Endüstriyel Kontrol Sistemleri tehditleri hakkında habersizdir; sadece Bilgi ve İletişim Teknolojileri tarafındaki zorluklara odaklanırlar, bu tehditleri Bilgi ve İletişim Teknolojilerindeki tehditler gibi yönetme eğilimindedirler. Sorumluluklarını SCADA/Endüstriyel Kontrol Sistemleri alanına genişleten diğer CISO’lar, sorunları Bilgi ve İletişim Teknolojileri alanındakilerle aynı göründüklerini ve anladıklarını düşünebilirler. SCADA/Endüstriyel Kontrol Sistemlerindeki tehditlerin Bilgi ve İletişim Teknolojilerindeki tehditlerden biraz daha geniş kapsamlı olduğu gerçeğini görmeli ve tehditlerin daha farklı şekilde yönetilmesi ve adreslenmesi gerekmektedir.
  • Kültürel Farklılıklarla Oluşan Tehditler : Bu kısımda içinizden bana Kültürel Farklılıkların bu konuyla şimdi ne alakası var diyor olabilirsiniz. Hem Bilgi Teknolojileri/Bilgi ve İletişim Teknolojileri departmanı, hem de SCADA/Endüstriyel Kontrol Sistemleri departmanının kültürleri genellikle büyük ölçüde farklıdır. SCADA/Endüstriyel Kontrol Sistemleri alanı, önce SCADA/Endüstriyel Kontrol Sistemleri süreçlerinin kullanılabilirliği, görünürlüğü, çalışabilirliği, işlem verimliliği ve güvenlik konularına odaklanmaktadır.  SCADA/Endüstriyel Kontrol Sistemleri alanının tersine, Bilgi ve İletişim Teknolojileri alanı ilk önce gizliliğin korunmasını, ardından da bütünlüğün ve kullanılabilirliğin ortaya çıkmasını sağlar. SCADA/Endüstriyel Kontrol Sistemleri alanındaki önem sırası: Kullanılabilirlik (Availability), Bütünlük (Integrity) ve Gizlilik (Confidentiality) olarak sıralanmaktadır. Konuyu daha iyi anlamak için örnek olarak; Bir siber güvenlik açığını ortadan kaldırmak için Bilgi ve İletişim Teknolojileri tarafından hizmetlerin yeniden yapılandırması ve yeniden başlatması (haftada 7 gün, günde 7 saat sürekliliğinin sağlaması) durumu esnekleştirilebilmesine rağmen, SCADA/Endüstriyel Kontrol Sistemlerinde bu gibi çalışmaların gerçekleştirilmesine hatta herhangi bir şekilde çalışan sisteme dokunulmasına bile izin verilmez. Birleşik SCADA/Endüstriyel Kontrol Sistemleri – Bilgi ve İletişim Teknolojilerindeki teknik tehditlerinin ötesinde, bu farklılıkların anlaşılmaması, Bilgi ve İletişim Teknolojileri ve SCADA/Endüstriyel Kontrol Sistemleri departmanları arasında yanlış anlaşılmalar ve sürtüşmeler yaratmaktadır. Her iki deparmana ait personellerin, birlikte etki alanları için operasyonel ve güvenlik sorunlarını belirlemeleri gerekmektedir. Birlikte çalışma ile birlikte iki bölümünde birbirinin kaygılarını ve endişelerini daha iyi anlayarak bir süre sonra, her iki bölüm arasındaki anlayış farkı ve kültürel farklılıklar kapanabilir.
  • Eğitim ve Öğretim Eksikliği ile Oluşan Tehditler : Genel anlamda (Bazı işi ciddiye alan kurum ve kuruluşlar hariç) Kurum personelleri, Bilgi ve İletişim Teknolojilerine karşı siber tehditleri tanımak konusunda bilgilendirilir ve eğitilir. Fakat, SCADA/Endüstriyel Kontrol Sistemleri operatörleri, mühendisleri ve SCADA/Endüstriyel Kontrol Sistemleri satıcıları, sistem entegratörleri ve bakım personeli gibi SCADA/Endüstriyel Kontrol Sistemleri alanında görev yapan personeller, SCADA/Endüstriyel Kontrol Sistemleri siber güvenliği konusunda iyi eğitimli değildir. SCADA/Endüstriyel Kontrol Sistemleri alanında çalışan personellerin gerekli eğitim ve sertifikasyon programlarına katılımları genellikle öncelikli olarak görülmemektedir ve Bilgi ve İletişim Teknolojilerinde alınan eğitim ve sertifikasyonlarla yeterli olacağı düşünülmektedir. Şunu unutmamak gerekir ki dünya çapında bir dizi SCADA/Endüstriyel Kontrol Sistemleri hack vakası, eğitim eksikliği ve daha az farkındalık olması sebebiyle oluşan tehditlerden kaynaklanmaktadır. Bilgi ve İletişim Teknolojileri departmanındaki personellere verilen eğitimler gibi SCADA/Endüstriyel Kontrol Sistemleri alanında görev yapan personellere de gerekli eğitimlerin verilmesi gerekmektedir. SCADA/Endüstriyel Kontrol Sistemini yöneten SCADA operatöründen tutunda sahada arıza ve bakım ile uğraşan saha çalışanına kadar genel siber güvenlik eğitimlerinin verilmesi önemlidir.
  • Duran Varlıkların Aşınması ve Eskime Döngüsüyle Oluşan Tehditler : Kurum ve Kuruluşlar, normal şartlarda Bilgi ve İletişim Teknolojileri ekipmanlarını her 3-4 yılda bir değiştirmektedir. Bu kısa süreli finansal amortisman döngüsü, Bilgi ve İletişim Teknolojilerinin hızlı teknik gelişmeleri ve en yeni uygulamaları çalıştırmak için bilgisayarlarda daha fazla veri işleme ve ağ kurma gücüne sahip olma ihtiyacını karşılamaktadır. Bilgi ve İletişim Teknolojileri alanının tersine, SCADA/Endüstriyel Kontrol Sistemleri için teknik ve finansal amortisman döngüsü çok daha uzun olabilir. Amerika’da 35 yıl kadar uzun bir süredir çalışmakta olan RTU’lar halen daha sahalarda kullanılmaktadır, dünya çapında diğer kritik altyapı sektörlerinde yaygın olmayan bir durumdur. Yirmi ila otuz yıl bazı endüstriyel sektörlerde yaygın değildir. “Bir SCADA/Endüstriyel Kontrol Sistemleri işe yarıyorsa, ona dokunmayın, yerinde bırakın.” Bu yaklaşıma inananlar için, bir yazılım güncellemesinden sonra Heathrow’un Terminal 4 bagaj sisteminin bozulması örneğini verebilirim. Bunun doğru strateji olup olmadığı halen daha Endüstriyel kontrol sistemleri uzmanları tarafından tartışılmaktadır. Teknolojik yaşlanma, SCADA/Endüstriyel Kontrol Sistemlerini, kısıtlı işleme ve bellek kapasiteleri ile SCADA/Endüstriyel Kontrol Sistemleri uygulamalarını (Ne demek istediğimi yıllar önce piyasada olan Commodore-64’ü şuanki mevcut dizüstü bilgisayarınızla karşılaştırdığınızda daha iyi anlayacaksınız) daha güvenli bir şekilde çalıştıramayacak kadar eski bir teknoloji olarak bir tehdit olarak kabul edilecektir. Halen daha bazı işletmeler de 486-tabanlı sistemlerin yanı sıra, Windows XP SP1 işletim sistemine sahip SCADA/Endüstriyel Kontrol Sistemlerini bulabilirsiniz. Uzun zaman önce evinizde değiştirdiğiniz donanım sistemleri ve işletim sistemleri, SCADA/Endüstriyel Kontrol Sistemleri alanında hala 7/24 çalışmaktadır. Burada vurgulamak istediğim asıl mesele, giderek daha kısa bir teknolojik ömür süresinin, izlenen ve kontrol edilen proses ekipmanının teknolojik ömrü ile uyuşmamasıdır. SCADA/Endüstriyel Kontrol Sistemlerine sahip üretim sisteminin veya endüstriyel tesisin büyük ölçüde elden geçirilmesi nedeniyle eski yönetim sistemlerinin yenilenmesi için üst yönetimi bu bütçeye harcamaya ikna etmek zor olacaktır.
  • Bilgi ve İletişim Teknolojileri Güvenlik Standartlarının Sıkı Uygulanması ile Oluşan Tehditler : Bilgi ve İletişim Teknolojileri tabanlı güvenlik standartlarının SCADA/Endüstriyel Kontrol Sistemleri alanına sıkı bir şekilde uygulanması, iş hedeflerine yönelik bir tehdit oluşturabilir. ISO-27001 (2013) standardı bilgi güvenliği yönetimi için yaygın olarak kullanılan bir standarttır. Bu standarda, erişim kontrolü, iletişim güvenliği, fiziksel güvenlik, insan kaynakları güvenliği vb. konulara ayrılmış bir dizi bilgi güvenliği kontrolünü içeren ISO-27002 (2013) standardı eşlik etmektedir. Bu standartlar orijinal olarak ofis ortamı için geliştirilmiştir, ancak ISO / IEC 27001: 2013 standardı hem Bilgi ve İletişim Teknolojileri hem de SCADA/Endüstriyel Kontrol Sistemleri alanlarında uygulanabilir. Örneğin, bir kullanıcı girişinin ardışık üç başarısız giriş denemesi sonrasında engellenmesi gerektiğini belirten güvenlik kontrolünü düşünelim. Gecenin ortasında bir SCADA/Endüstriyel Kontrol Sistemleri tesisinin ana konsolunda (HMI) meydana geldiğinde, operasyonel izleme ve kontrol etme yeteneği saatlerce kaybedilir ve operasyon aksayabilir. SCADA/Endüstriyel Kontrol Sistemleri alanında, Bilgi ve İletişim Teknolojileri güvenlik kontrollerinin sıkı uygulamasının bazı aksaklıkları beraberinde getireceği ve sistem kullanılabilirliğini etkileyeceği gayet açık ve nettir. Şirket politikalarına uygun olacak ve işletmeyi zora sokmayacak şekilde ilgili standartların SCADA/Endüstriyel Kontrol Sistemleri alanına uygulanması önemlidir.
  • Tedarik ile Oluşan Tehditler : Yeni SCADA/Endüstriyel Kontrol Sistemleri ve ilgili hizmetler (ör. Bakım, destek, dış kaynak kullanımı) temin edildiğinde, siber güvenliği geliştirmek için en doğru zamandır. Ancak, iş ile ilgili yatırım baskısı ve tekrar eden maliyet seviyeleri, siber güvenlik gereksinimlerinin gevşemesine veya tamamen kaldırılmasına neden olabilecek büyük bir tehdittir. Sözleşme yenileme sırasında, SCADA/Endüstriyel Kontrol Sistemleri güvenlik konularını sözleşmeye dahil etmek, maliyetleri başlangıçta arttırmasına rağmen sistemlerin kurulum aşamasında siber güvenliğinde beraberinde geliştirilmesine ve daha yolun başındayken köklü bir siber güvenlik koruma anlaşının oluşturulmasına olanak sağlar.