Endüstriyel kontrol sistemlerinde (EKS) Ağ ve Haberleşme tehditlerden sonra bugünkü yazımda insan faktörünün ortaya çıkardığı tehditleri ele alacağız. İnsan faktörünün ortaya çıkardığı tehditleri 3 ana başlık altında toplayabiliriz.
1) Kullanıcı Farkındalığı
Ortalama bir EKS sistemi veya bakım mühendisi, izlenen ve kontrol edilen süreçlerin 7/24 kesintisiz çalışma durumuna odaklanır. Siber güvenlik farkındalığı, zaman çizelgelerini doldururken idari sisteme yönelik bazı güvenlik kontrollerinden ve evde yapılan elektronik ödemelerin yapılmasını sağlayan güvenlik kontrollerinden daha ileri gitmemektedir. Pek çok kuruluş bilerek veya bilmeden EKS’lerini ve ağ bileşenlerini, EKS ağındaki yetkisiz etkinliklere kurban edilebilecek varlık olarak kabul etmediğini düşünmektedir. Yönetim, sistem ve bakım mühendisleri hatta EKS sistemini kullanan tüm operatörlerin siber güvenlik ile ilgili farkındalığını arttırmak ve eğitim verilmesi önemlidir. Siber tehditler içerisindeki en zayıf halka insan faktörüdür.
2) Politikalar ve Prosedürler
Hepimizin bildiği gibi Stuxnet Truva atı, İran’ın Naţanz kentindeki nükleer zenginleştirme fabrikasının EKS sistemine USB içerisindeki kötü amaçlı yazılım yoluyla bulaştırılmıştır. Analiz raporlarına göre; üçüncü taraf bakım mühendisi aracılığıyla USB ile virüs SCADA sistemine bulaştırıldığı ortaya çıkmıştır. Bu olaydan sonra, EKS sistemine sahip kuruluşlar “USB stickler EKS sunucularına takılmayacak” diyen bir doktrin geliştirdi. Mühendislik iş istasyonu için bazı istisnalar halen bulunmaktadır. USB bellek prosedürleri çok sıkı bir şekilde izlenmezken, halen daha bazı yerlerde operatörlerinin MP3 çalarlarını ve akıllı telefonlarını EKS sunucularına veya operatör bilgisayarlarına bağlı bir USB kablosu üzerinden şarj ettiklerine şahit olabilirsiniz. USB ile veya USB’den bağlanabilen aygıtlarla kötü amaçlı yazılım taşınabilmesi, hem IT hem de EKS için büyük ölçüde göz ardı edilen büyük bir tehdittir. EKS sistemlerine özel politikalar ve prosedürler taviz verilmeden uygulanması gerekmektedir.
3) Hoşnutsuz ve Mutsuz Çalışanlar
IT alanında olduğu gibi OT alanında da hoşnutsuz (eski) çalışanların tehdidi kaçınılmazdır. EKS alanındaki kişiler genellikle sözleşmeleri yapılmadan ya da kaldırılmadan önce daha uzun süre istihdam edildiğinden, tehdit daha yüksek görünmektedir. Çalışanların veya eski çalışanların EKS ekipmanlarını sabote ettiği veya manipüle ettiği bir çok örnek yaşanmıştır ve mevcuttur. Kritik görevlerde görev alacak personellerin dikkatli ve titiz bir şekilde seçilmesi gerekmektedir, hatta gerekirse personel geçmişi ile ilgili istihbari bir araştırma yapmak bile gerekebilir. Tabi bu çalışanlar hizmet ettikleri süre içerisinde de hoşnutsuz çalışanlara dönüşebilir ve kuruma zarar verme potansiyeline sahip olabilirler. Bu personelleri iyi gözlemlemek ve yakın denetim altında tutmakta yöneticilerin becerisiyle doğru orantılı olarak değişim göstermektedir. Bu konu derin bir konu fakat önemli olduğu için kısaca biraz bu konunun üzerinde durmak istiyorum. Hoşnutsuz çalışanlara yardım edebilmek veya çalışan memnuniyetsizliğini azaltabilmek için, bu tür çalışanların nasıl tanımlanacağını bilmek önemlidir. Çalışanların memnuniyetsizliklerini dile getirdikleri ortak yollardan bazıları şunlardır:
Kötü performans : Hoşnutsuz bir çalışanı tespit etmenin en kolay yolu performansını gözden geçirmektir. Çıktının sürekli olarak izlenmesi, bir kuruluşta pek çok hoş olmayan olaydan kaçınabilir.
Devamsızlık : Her şirketin belirli sayıda devamsızlık süreleri vardır. Ancak bazı çalışanlar diğerlerinden daha fazla devamsızlık yapma eğilimindedir. Ayrıca, düzenli molalar haricinde de dışarı çıkarlar ve genellikle masalarında bulunmazlar. Bu, çalışanın işine karşı ilgisizliğini göstermektedir.
İş yerinde kötü tutum : Performansın kalitesi, konuşmaları ve tutumları, çalışanın zihnini ölçmek için parametreler olarak kullanılabilir. Ekiple ya da işiyle hoşnutsuz ve mutsuzsa, olumsuzlukları pasif olarak yayar.
Ekiple birlikte yaşayamamak : Bir çalışan çeşitli nedenlerden dolayı (yönetim, takdir eksikliği, cinsel taciz vb.) Yönetimden rahatsız olabilir. Ekiple birlikte çalışmanın bu ilgisizliği onun huzursuzluğunun açık bir yansımasıdır.
Bu çalışanları nasıl motive edebileceğimize geldiğimizde aşağıda belirttiğim adımlar uygulanabilir;
Kötü performans : Hoşnutsuz bir çalışanı tespit etmenin en kolay yolu performansını gözden geçirmektir. Çıktının sürekli olarak izlenmesi, bir kuruluşta pek çok hoş olmayan olaydan kaçınabilir.
Devamsızlık : Her şirketin belirli sayıda devamsızlık süreleri vardır. Ancak bazı çalışanlar diğerlerinden daha fazla devamsızlık yapma eğilimindedir. Ayrıca, düzenli molalar haricinde de dışarı çıkarlar ve genellikle masalarında bulunmazlar. Bu, çalışanın işine karşı ilgisizliğini göstermektedir.
İş yerinde kötü tutum : Performansın kalitesi, konuşmaları ve tutumları, çalışanın zihnini ölçmek için parametreler olarak kullanılabilir. Ekiple ya da işiyle hoşnutsuz ve mutsuzsa, olumsuzlukları pasif olarak yayar.
Ekiple birlikte yaşayamamak : Bir çalışan çeşitli nedenlerden dolayı (yönetim, takdir eksikliği, cinsel taciz vb.) Yönetimden rahatsız olabilir. Ekiple birlikte çalışmanın bu ilgisizliği onun huzursuzluğunun açık bir yansımasıdır.
Bu çalışanları nasıl motive edebileceğimize geldiğimizde aşağıda belirttiğim adımlar uygulanabilir;
- En iyi performans gösteren çalışanlarda, daha iyi bir rol/pozisyon ya da ücret alma şansının olmaması, hoşnutsuzluğa neden olabilir. En yüksek performansa sahip çalışanlara aynı zamanda teşvik etmek veya terfi vermek mümkün olmadığı durumlarda, İK ve operasyon yöneticileri, bu yüksek performanslı çalışanların zorlu görevlerde bulunmalarını sağlayarak, beceri setlerinin eklenmesi ve organizasyonun onlara öğrenme fırsatı vermesi, memnuniyetsizliklerini önemli ölçüde azaltmaya yardımcı olacaktır.
- Güvensiz bir ortamda hiçbir ilişki gelişemez. Yönetim, adil olmaya odaklanmalı ve işyerinde kayırmacılık hakkındaki yanlış algıyı ortadan kaldırmak için çaba göstermelidir. Açık iletişim ve düşünce kültürü teşvik edilmelidir. İlgili tüm bilgiler herkes tarafından erişilebilir hale getirilmelidir. KRA’lar (Key Result Area), KPA’lar (Key Performance Area) ve politikalar her çalışan için belirtilmelidir ve açıklığa kavuşturulmalıdır. Çalışanlardan gelen geri bildirimler olumlu karşılanmalıdır.
- Görevlerin yerine getirilememesinin ya da performansın düşük olmasının nedenlerinden ötürü hoşnutsuzluğun sebebi ise, kötü performans gösteren çalışanlara verilebilecek eğitim seçenekleri hakkında yönetim ile görüşmekte fayda vardır. Bu, çalışanın gelişmesine fırsat verecek ve bu da memnuniyetsizliğini azaltmaya yardımcı olacaktır. Eğitim sonuçları belgelendirilmeli ve çalışanlara da sunulmalıdır. Bu tür bir inisiyatifden sonra, çalışanın sonuçlarını gösterebilmesi için bir fırsat ve yeterli bir zaman vermesi gerekir.
- Memnuniyetsizlik duygusal sıkıntı, işteki sorumluluklar, taciz veya arkadaşça bir çalışma kültürüyle başa çıkamaması durumunda, kıdemli veya profesyonel bir danışman tarafından iyi bir danışma oturumu çalışanın tutumunu geliştirmek için büyük bir fark yaratabilir.
