Endüstriyel kontrol sistemlerinde (EKS) organizasyonel tehditlerden sonra bugünkü yazımda ağ ve haberleşme ile ilgili tehditleri ele alacağız. Bu yazımda TCP/IP ve WiFi gibi ağ teknolojilerini kullanmanın genel riskini tartışmayacağız; bu alandaki çoğu endüstriyel kontrol sistemleri tehdidi olan zayıf protokoller ve protokol uygulamalarından, kablosuz iletişimde iyimser ayarlamalardan kaynaklanan tehditlere değineceğiz. Ağ ve Haberleşme alanındaki tehditleri 4 ana başlık altında toplayabiliriz.

1) EKS'nin Diğer Sistemlerle Haberleşmesi
EKS’nin operasyonel ortamı hakkındaki mimari varsayımlardan biri, EKS alanının, diğer ağlardan tamamen izole edilmiş, kapalı bir kapalı ortam olmasıydı. Kademeli olarak, geniş alan operasyonları için uzun mesafe bağlantıları ve uzaktan bakım faaliyetlerine ihtiyaç duyulmaktadır. Artık operasyonel verileri EKS alanının içinden iş uygulamalarına taşıma ihtiyacı önemli bir hale gelmiştir. Amerika’dan bir örnek verirsek, yasalara ve yönetmeliklere dayalı olarak, toplu jeneratör üreticilerinin N-1 kriterlerini yönetmek ve karartma (black-out) riskini azaltmak için iletim sistemi operatörlerine (TSO), mevcut yedek kapasitelerini ve mevcut black-start kapasiteleri hakkında anlık bilgi sağlamaları gerekmektedir. Bu bilgi spot piyasasında da enerji ticareti için kullanılabilir. Bu gibi iletişim akışları ve gereksinimleri sebebiyle güvenlik duvarlarının dışarıya açılması veya EKS alanından işletme alanına bilgi akışı için Demilitarized Zone (DMZ)’un dışarı açılması gerekmektedir. Yanlış yapılandırıldığında veya zayıf bir şekilde korunduğunda böyle bir açıklığın, yetkisiz kişilerin ve kötü amaçlı yazılımların EKS etki alanına erişimini sağlar ve bu durum EKS için tehdit alanı oluşturmaktadır. Bu gibi ara bağlantıları yönetmek, tüm güvenlik duvarlarının EKS’ye özel protokolleri desteklemediğinden kolay değildir. Aynı zamanda, daha büyük EKS ağlarında gerçekleştirilen denetimler, genellikle hem alan adları hem de genel ağlar arasında birden fazla yetkisiz bağlantının varlığını ortaya çıkarmıştır.
EKS’lerde kısa mesafeli kablosuz iletişimin kullanılması bir başka tehdit unsurudur. Bu tehditler ISO/OSI Temel Referans Modelinin alt seviyelerinde bulunan protokol zayıflıkları ve zayıf uygulamalardan kaynaklanmaktadır. Ana tehdit, herhangi bir planlama ve onay mekanizması olmaksızın kendini korumakta güçlük çeken saha cihazlarını bağlamak için bir kablosuz bağlantı kurmasıdır. Çalıştığı zaman, kriptografik anahtarların belirli bir frekansla değiştirilmesi gerektiği, kriptografik bir algoritmanın birkaç yıl sonra değiştirilmesinin veya güçlendirilmesinin gerekli olabileceği unutulmaktadır. Kablosuz bağlantılı cihazları kur ve unut mantalitesi, sahada sürekli artan sensör kurulumlarında bir tehdit oluştururken, saldırganlar kablosuz trafikten anahtarlar elde etmek için giderek daha gelişmiş ve güçlü araçlar geliştiriyor. (Software Defined Radio – SDR)
2) Uzak Ağ Erişimleri
Operatörler, bakım mühendisleri ve EKS firmaları, Uzaktan destek vermek, 7 gün 24 saat çalışma ve optimum işlem koşullarını sağlamak için EKS’ye uzaktan erişime ihtiyaç duyarlar. Yaşlanan EKS’lerde hala hızlı bir şekilde internet tabanlı erişim yöntemleri ile değiştirilse de POTS çevirmeli modemler halen daha kullanılmaktadır. Çoğu kuruluş, uzak konumlardan kurumsal bilgi teknolojileri ağına bağlanmak için sanal özel ağ (VPN) teknolojisini kullanır. İç organizasyon ağında yetkili kullanıcılar EKS alanına bağlanabilir. Bazı kuruluşlar EKS’ye doğrudan bağlantıya bile izin verebiliyor. Bazı kuruluşlar, EKS’ye doğrudan uzaktan VPN tabanlı bir bağlantı sunabiliyor. İç mekanların dışından uygun bir erişim kontrolü, en az iki faktörlü bir kimlik doğrulaması ve sıkı yetki kontrolü gerektirir. Buradaki en büyük tehdit, bu tür giriş ve erişimlerin, EKS alanına erişimi olmayan yetkisiz kişiler de dahil olmak üzere çok fazla kişinin neden olduğu sıkı bir denetime tabi olmamasıdır. EKS alanının içine girildiğinde, EKS’ler şu anda herhangi bir kötü amaçlı etkinliği engellemek için çok sınırlı kontroller sunmaktadır.
Uzaktan erişim için VPN teknolojisi güvenli gibi görünse de, VPN bağlantısı yasal olarak açıldığında (bazen otomatik olarak), operatörün veya mühendisin sistemindeki kontrolü ele geçiren bir bilgisayar korsanı EKS etki alanına erişebilecektir. O anda, hacker, daha fazla penetrasyon için bir açılış ve kalıcı erişim sağlayan özel paketleri EKS sistemlerine yükleyerek çalıştırabilir. Bu şekilde, bir saldırgan Harrisburg, Pennsylvania su filtreleme tesisinin EKS’lerine girerek, EKS sistemini manipüle etmiştir.
3) Bilgi İletişim Sistemlerine (ICT) Olan Bağımlılık
Organizasyonlar, EKS alanındaki sistemlerin, kontrollü süreçlere kritik bilgi elde etmek için ICT alanında bulunan sistemleri kullanmasına izin verir. Nedeni, maliyetleri azaltmak ya da sistemi EKS alanının sonunda yapılandırmak ve kurmak gibi hiç bitmeyen geçici bir test yapmak olabilir. Bu, ICT sistem mühendislerinin, EKS kontrollü süreçlere potansiyel etkiyi gerçekleştirmeden, bir sınır ötesi hizmet sunan böyle bir sistemi veya yönlendiriciyi güncellemeye ve/veya yeniden başlatmaya karar verene kadar iyi çalışır. Etki, bilgisayarın Baxley, Georgia yakınlarındaki Hatch Nükleer Santralinin iş ağındaki basit bir yazılım güncellemesi ve sistemin yeniden başlatılması örneğinde bizlere gösterdiği gibi sonuçları ağır olabilir. Bu durum 2008 yılında tüm nükleer santralin 48 saat kesintisiz olarak kapatılmasına yol açmıştır.
Benzer bir tehdit türü, sınırlı bant genişliği kapasitesinin uzun mesafeli telekomünikasyon bağlantılarının ICT ve EKS’ler tarafından paylaşılan (çoğullanmış) kullanımıdır. ICT tarafının kötü amaçlı yazılımlara maruz kalması durumunda, bağlantı, iletişim bağlantısının ICT tarafındaki iletişim paketleri ile trafiğe boğulmuş olabilir. Bu durum EKS trafiğinde gecikmelere sebep olabilir. Bu durumda ana tehdit, geciken durum bilgisi sebebiyle, operatörün durumu dakikalar öncesindeki duruma göre değerlendirdiği için senkronizasyon sağlanamaması ve verinin geç ulaşması sebebiyle yanlış operasyonel kararlar vermesine sebep olmasıdır.
Paket gecikmeleri ayrıca kontrol kaybına neden olabilir. Böyle bir durumla Amerika’daki 2003 yılında big blackout’da karşılaşılmıştır. Şebeke operasyonları, kontrolün yavaşlığı ve Enerji Yönetim Sisteminin (EMS) HMI ekranlarında yanlış durumsal farkındalıktan dolayı engellenmişti. Bu tehdit, hızlı durum sorgulama döngülerinin ve düşük gecikmenin gerekli olduğu, örneğin elektrik, rafineri ve güvenlik açısından kritik süreçlerin olduğu sektörler için büyük önem arz etmektedir.
4) Doğrudan İnternete Bağlantı
Beklenmedik şekilde, kötü amaçlı yazılım ve bilgisayar korsanlığı tehditleri göz önüne alındığında, yüz binlerce EKS’ye bağlı sensör doğrudan internete bağlı durumdadır. O zamandan bu yana, EKS’lerin siber güvenliğini önemsemeyen aynı riskli yolu takip eden çok sayıda EKS şirketi var. Almanya Freie Universität Berlin’in Endüstriyel Risk Değerlendirme Haritası (IRAM) projesi, Shodan arama motorunu, internete bağlı EKS’leri global olarak bulmak için kullanılmıştır. 2012’den Ekim 2014’e kadar süren Proje SHINE (SHodan INtelligence Extraction) aynı şeyi yaptı ve 2.2 milyon internet bağlantılı EKS cihazını buldu. Buradaki en önemli EKS tehdidi, EKS’lerin internet bağlantısının normal olduğu düşünüldüğüne başlamaktadır.