Günümüzün OT güvenlik sorununun özü, veri merkezli, IT sınıfı korumaların, operasyonel güvenlik ve kontrol sistemi ihtiyaçları için yeterli olmadığı veya uygun olmadığıdır. Fakat önce OT güvenliğini anlamak için hem endüstriyel sistemler hem de eski moda IT siber güvenliğinin ne olduğunu anlamalıyız.
Nereden başlamalı? Endüstriyel kontrol sistemleri alanı uzun yıllardır varlığını sürdürmektedir, insanlar fiziksel süreçleri bilgisayarlar olmadan önce kadranlar ve göstergelerle kontrol ediyorlardı ve neredeyse ilk bilgisayarların icat edilmesinden bu yana kadranlara ve göstergelere yardımcı olmak için bilgisayar kullanıyorlardı. Endüstriyel kontrol sistemleri, çoğu modern toplumların fiziksel altyapısını oluşturan kritik, karmaşık ve sıklıkla tehlikeli fiziksel süreçleri kontrol eden bilgisayarlardır. Bu fiziksel süreçler güçlü araçlardır ve yanlış kullanımları genellikle yıkıcı ve hatta feci sonuçlara yol açar. Bu tür suiistimalleri önlemek ve doğru kontrolü korumak OT güvenliğinin hedefidir.

IT/OT ENTEGRASYONU

Operasyonel sistemlerde kabaca 1990’ların ortasından bu yana görülen önemli bir eğilim, OT “operasyonel teknoloji” ağlarının harici kurumsal IT ağlarıyla entegrasyonudur. Bu, daha yüksek seviyelerde endüstriyel kontrol sistemlerinin (Purdue Model seviye 3) IT sistemlerine çok benzemesi nedeniyle IT güvenlik uzmanlarının özel uzmanlıklarını içeren, geri dönüşü olmayan bir eğilimdir. Aynı veya benzer işletim sistemlerine, temel uygulamalara ve aynı tür ağ ve iletişim sistemlerine sahiptirler. IT/OT entegrasyonu daha fazla verimlilik ve temel iş hizmetleri için fırsatlar sunsa da, bir OT ağının çevresi korunmasız veya sadece geleneksel IT güvenliği ile korunuyorsa, işin en kritik kontrol süreçlerine saldırı fırsatları getiriyoruz.
OT ağlarında IT ağlarında kullanılan aynı teknoloji kullanıldığında, IT ağlarında başarılı olan aynı siber saldırıların çoğu artık OT ağlarında da başarılı oluyor. Sonuç olarak veri yedeklemeleri konusu halen daha popülerliğini korumaktadır.

SÜREKLİ, DOĞRU VE VERİMLİ OPERASYON

Açıkçası, geleneksel IT güvenliği, güçlü bir OT güvenlik mimarisi için önemlidir, ancak yalnızca IT güvenliği, OT ağları için yeterli değildir. Süreci, güvenliği ve doğru kontrolü korumak, yalnızca yazılım modelinin ötesine geçen OT sınıfı korumalar gerektirir. Bu IT korumaları, fiziksel sürecin değil, verilerin bütünlüğünün korunmasını sağlamak için geliştirilmiştir. İnsan yaşamları, çevresel felaketler ve hatta kaybedilen üretim, verilerden olduğu gibi “yedeklerden geri yüklenemez”. Herhangi bir OT ağının çevresindeki güvenliğe öncelik verilmelidir; izinsiz girişler önlenmelidir. Örneğin, izinsiz giriş saptama, OT güvenliği için gerçekten önemlidir, ancak ikincil bir savunma önlemidir.
Saldırı tespiti durumunda, olaya müdahale edildiği anda zaman alır ve insan kaynağı kullanımı gerektirir. OT’nin uzlaşması durumunda, bir tehdidin tespit edilmesi ve bunlara müdahale edilmesi her zaman için, bir saldırgan kontrol sistemi işlemlerinin bir kısmını veya tamamını yetkisiz bir şekilde kontrol edebilir. Herhangi bir endüstri mühendisine sorduğunuzda, bu tür bir tehdidin, kısaca kabul edilemez bir risk olduğunu söyleyecektir.
Kontrol sistemi uzmanları ve mühendisleri, kadranı kimin çevirdiğini ve ayarları kimin değiştirdiğini çok önemser ve fiziksel ekipmanın güvenli ve güvenilir bir şekilde çalıştırılmasını daha da özen gösterir. Endüstriyel tesislerde, OT sistemlerinin siber korunmasında birinci öncelik, her zaman yetkisiz kontrolü önlemektir.
Diğer önemli bir konu IT/OT entegrasyon problemidir, son 20 yılda IT bileşenlerinin kullanımını ve bağlanabilirliğini sürekli arttırmak verimliliği arttırmıştır, ancak fiziksel işlemlere yönelik saldırı risklerini de arttırmıştır. Bu ağların bir araya gelmesiyle gerçekleşen birçok fayda maalesef güvenli ve sürekli operasyonları riske sokmaya devam etmektedir. Tek bir siber kesinti maliyeti, tüm rutin bütçelemizi azalmasıyla bizi tehdit ediyor. Güvenli, sürekli, güvenilir fiziksel operasyonel süreçlerin hem IT hem de OT güvenliğine birlikte ihtiyacı bulunmaktadır.