Endüstriyel kontrol sistemlerinde (EKS) son bölüm olarak bugünkü yazımda Çevresel Ekosistemin ortaya çıkardığı tehditleri ele alacağız. Çevresel Ekosistemin ortaya çıkardığı tehditleri 4 ana başlık altında toplayabiliriz.
1) Fiziksel Güvenlik
EKS kontrollü sistemlerin dikkatli bir şekilde planlanması, bileşenlerin fiziksel güvenliğini göz önünde bulundurarak ve yalnızca yetkili personelin fiziksel erişimi ile kısıtlamış olabilir. Bununla birlikte, birtakım tesislerde EKS bileşenlerinin, ağ ekipmanlarının ve telekomünikasyon hatlarının (atık su tesislerinin, enerji santrallerinin, içme suyu pompa istasyonlarının EKS’lerine zarar verilebilir veya bu sistemler saldırganlar tarafından manipüle edilmek istenebilir) fiziksel güvenliğine önem vermek gerekmektedir.
Bir kaç yıl önce Hollanda’da bir yerde bisiklet yoluna bitişik bir su pompa istasyonunun bu tür bir dikkat eksikliği sebebiyle kilitsiz bırakılan yerin kapısını örnek verebiliriz. Kilitsiz kapının arkasında neler bulunduğuna bakacak olursak; HMI uygulama yazılımına sahip birkaç PC, her biri deniz seviyesinden dört ila beş metre aşağıda bulunan uzaktan izlenen ve kontrol edilebilen küçük çaplı pompa istasyonu RTU’ları bulunuyordu. Ekipmanların çalınması çok uzun sürecek kesintiye neden olabilirdi. Bu durum bizlere açık bir şekilde varlık, yedekleme ve yapılandırma yönetimi eksikliği olduğu gösteriyordu.
Bir kaç yıl önce Hollanda’da bir yerde bisiklet yoluna bitişik bir su pompa istasyonunun bu tür bir dikkat eksikliği sebebiyle kilitsiz bırakılan yerin kapısını örnek verebiliriz. Kilitsiz kapının arkasında neler bulunduğuna bakacak olursak; HMI uygulama yazılımına sahip birkaç PC, her biri deniz seviyesinden dört ila beş metre aşağıda bulunan uzaktan izlenen ve kontrol edilebilen küçük çaplı pompa istasyonu RTU’ları bulunuyordu. Ekipmanların çalınması çok uzun sürecek kesintiye neden olabilirdi. Bu durum bizlere açık bir şekilde varlık, yedekleme ve yapılandırma yönetimi eksikliği olduğu gösteriyordu.
2) Bağımlılıklar
Tüm bilgi ve iletişim teknolojilerinde olduğu gibi, acil durum jeneratörleri ve UPS bataryaları, EKS’lerin ve kontrol edilen süreçlerin devamı için güç sağlamaktadır veya EKS networkündeki makinelerin düzgün bir şekilde kapatılmasını sağlamaktadır. Bakımlı olmayan jeneratörler ve UPS bataryaları, Enerji kesintisi ve istenmeyen bir enerji kaybı sırasında EKS’lerin ihtiyaç duyduğu zamanlarda başarısız kalırlar. Genellikle yedek enerji kaynaklarının kesintisi birincil çalışma hedeflerine olan etkisi yüksektir. EKS ekipmanları genellikle fiziki olarak geniş nem ve sıcaklık aralığı koşullarında çalışabilir şekilde tasarlanmıştır. Bazı EKS’ler konteyner, tüneller, yeraltı pompa istasyonları gibi uzak yerlerde bulunan odalarda çalıştıklarından, uygun yıldırımdan korunma ihtiyaçları bulunmaktadır ve bazen bu koruma gereksinimi bazen unutulabilir. Yıldırım, EKS ve ağ bileşenlerine zarar verir, bu da örneğin RTU’lar ve PLC’lerdeki ayrık bileşenlerden daha hassas mikroişlemcilere geçişle birlikte artan büyük bir risktir. Faraday kafesi vb. yıldırımdan korunma yöntemleriyle koruma altına alınmalı ve periyodik bakım faaliyetlerinde yıldırımdan korunma ve topraklamalar kontrol edilmesi gerekmektedir. Unutulan yerlerde tespit edilen topraklama ve yıldırımdan korunma bağlantıları yapılmalıdır.
EKS’lerde, tesislerin bir kısmının dışında rahatsız edilebilecek veya manipüle edilebilecek teknik bileşenlerin kullanımı nedeniyle gizli bağımlılıkları bulunmaktadır. İlk örnek, ucuz GPS tabanlı saatler kullanılarak türetilen kesin sürelerin EKS sistemlerinde zaman damgalı olarak kullanılmasıdır. GPS jamming cihazları 20 ABD dolarından daha ucuza satın alınabilmektedir. Menzile bağlı olarak, GPS jamming cihazları oldukça küçük olabilir, bu nedenle küçük bir yerde saklanabilirler.
GPS sahteciliği olan cihazlar ticari olarak satın alınabilir. Sahteciliğe sahip bir kişi, kontrol edilen işlemleri etkileyen GPS alıcısının çıkış tarafındaki konumu ve zamanı değiştirebilir. Çeşitli endüstrilerin EKS’leri, (ICS-CERT 2011) tarafından açıklandığı gibi GPS manipülasyonuna karşı hassastır.
Benzer şekilde, telsiz haberleşmesi tercih edilerek bir kablo yumağından kaçınmak için PLC’lerle bağlanmada ICS alanına nispeten ucuz kablosuz iletişim sağlayabilir. Bu tür kablosuz iletişimin jamming ve manipülasyonu ucuz ve kolaydır. EKS’ler hakkında en çok bilinen saldırılarından biri olan, Vitek Boden’in Hunter Watertech atık su sistemini etkilemesi, bir dizi ekolojik olayın ortaya çıkmasına neden olmuştur. (Kaynak : https://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/)
Son olarak, EKS’ler SQL veritabanı hizmetleri gibi EKS alanındaki normal Bilgi iletişim teknolojileri hizmetlerine giderek daha fazla bağımlı olabilirler. Yaşanmış bir örnek olarak olarak SQL veritabanı deneme lisansının süresi dolması sebebiyle doğal gaz santralinde tüm PLC’lerin durduğu verebiliriz.
EKS’lerde, tesislerin bir kısmının dışında rahatsız edilebilecek veya manipüle edilebilecek teknik bileşenlerin kullanımı nedeniyle gizli bağımlılıkları bulunmaktadır. İlk örnek, ucuz GPS tabanlı saatler kullanılarak türetilen kesin sürelerin EKS sistemlerinde zaman damgalı olarak kullanılmasıdır. GPS jamming cihazları 20 ABD dolarından daha ucuza satın alınabilmektedir. Menzile bağlı olarak, GPS jamming cihazları oldukça küçük olabilir, bu nedenle küçük bir yerde saklanabilirler.
GPS sahteciliği olan cihazlar ticari olarak satın alınabilir. Sahteciliğe sahip bir kişi, kontrol edilen işlemleri etkileyen GPS alıcısının çıkış tarafındaki konumu ve zamanı değiştirebilir. Çeşitli endüstrilerin EKS’leri, (ICS-CERT 2011) tarafından açıklandığı gibi GPS manipülasyonuna karşı hassastır.
Benzer şekilde, telsiz haberleşmesi tercih edilerek bir kablo yumağından kaçınmak için PLC’lerle bağlanmada ICS alanına nispeten ucuz kablosuz iletişim sağlayabilir. Bu tür kablosuz iletişimin jamming ve manipülasyonu ucuz ve kolaydır. EKS’ler hakkında en çok bilinen saldırılarından biri olan, Vitek Boden’in Hunter Watertech atık su sistemini etkilemesi, bir dizi ekolojik olayın ortaya çıkmasına neden olmuştur. (Kaynak : https://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/)
Son olarak, EKS’ler SQL veritabanı hizmetleri gibi EKS alanındaki normal Bilgi iletişim teknolojileri hizmetlerine giderek daha fazla bağımlı olabilirler. Yaşanmış bir örnek olarak olarak SQL veritabanı deneme lisansının süresi dolması sebebiyle doğal gaz santralinde tüm PLC’lerin durduğu verebiliriz.
3) Sahadaki üçüncü parti çalışanları
EKS bakım mühendisleri ve sistem entegratörleri gibi üçüncü tarafların mühendislik istasyonlarına, EKS donanımına ve bileşenlerine, ağ ekipmanlarına ve izlenen ve kontrol edilen ekipmanlara dışarıdan bazen erişmeleri gerekebilir. Dışarıdan erişim sağlayan üçünçü partilerin çoğu zaman faaliyetleri operasyon sırasında izlenmez. Bu bir tehdit sebebidir, çünkü ayar noktaları değiştirilebilir ve EKS ortamında kontrolsüz modifikasyonlar meydana gelebilir. Bir başka tehdit, bir USB cihazı veya dizüstü bilgisayar getirebilmeleri ve bunu, EKS’ye bir kötü amaçlı yazılım enjekte edilmesine sebebiyet verebilir.
4) Uzaktan Erişim
EKS’ye uzaktan erişimin kullanılması için üçüncü taraflara yetki verilmesi, güven oluşturulmasını gerektirir. Daha büyük üreticiler, uygulama sağlayıcıları ve EKS bakım firmaları, birçok EKS kurulumunu dünyanın dört bir yanındaki birçok ülkede ve eyalette 7/24 temelde uzaktan destekleyebilir. Anında erişmeyi sevdikleri için, EKS ağının, erişimin kimlik doğrulamasının, üreticinin çeşitli ülkelerden çalışan destek merkezlerindeki bilinmeyen kişilere küresel olarak sağladığı harici bağlantıya sahip olması gerektiği anlamına geliyor. Bir bilgisayar korsanı, varsayılan erişim şifrelerini bildiğinde uzaktan destek veren EKS bakım firmaları gibi EKS sistemlerinin içerisine sızabilir. Bununla birlikte, üreticiyi veya bakım şirketini şifreyi değiştirmeye, hatta müşteri tarafından kontrol edilen ve düzenli olarak değiştirilen kullanıcı adı-şifresi kombinasyonunu kabul etmeye ikna etmek gerçekten zordur. Üreticinin hem EKS’yi sağladığını hem de birkaç yıl boyunca asgari bir performans seviyesini garanti ettiği kamu sektöründe bazı sözleşmeler, müşterinin üreticinin (varsayılan) kullanıcı adı-şifre erişimini değiştirmesine izin verilmediğini belirtmektedir, aksi takdirde performans sözleşmesi geçersiz sayılır. Uzaktan destek alınması durumunda destek sağlayan bakım firmasının varsayılan şifreleri kullanmayarak belirli periyotlarla değiştirmesi gerekmektedir. Aksi takdirde büyük bir tehdit oluşturmaktadır.
Güvenlik önlemleri genel olarak mantıklı olmalı ve günlük operasyonel görevlerde mümkün olduğunca sınırlı bir etkiye sahip olmalıdır. Aksi takdirde, personeller, kurumun genel güvenlik duruşunu kesinlikle azaltacak bir çalışma arayışında olacaklardır. Bu tehditlerin bazılarının önlenmesi aşağıdaki önlemlerin bazıları uygulanarak gerçekleştirilebilir:1. EKS ağını haritalayın ve tüm bağlantı ve performans sorunlarını anlayın.
2. Yöneticiler, EKS departmanındaki tüm personellerin güvenini sağlamalı ve karşılıklı bir anlayış kültürü oluşturmalıdır. Çünkü onlara ihtiyacınız var!
3. Liderlik desteğini tepeden aşağıya doğru en üst düzeye çıkarın, aksi takdirde EKS güvenliğini geliştirmek için boşa zaman harcamış olursunuz. Bazen kurumsal değişiklik ve yeni bir organizasyonel yapılanma gerekli olabilir.
4. Tehdit risk değerlendirmesi yapın ve kullanıcı bilinci, eski sistemler, üçüncü taraf erişimi ve satın alma gibi tehditleri dengeli bir şekilde yönetmeye başlayın.
