ISA99 komitesi tarafından geliştirilen ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından kabul edilen ISA / IEC 62443 serisi, endüstriyel otomasyon ve kontrol sistemlerindeki (IACS) mevcut ve gelecekteki güvenlik açıklarını gidermek ve azaltmak için esnek bir çerçeve sunmaktadır. Komite, tüm endüstri sektörleri ve kritik altyapı için geçerli olan fikir birliği standartlarını geliştirmek için tüm dünyadan IACS güvenlik uzmanlarının katkılarını ve bilgisini kullanarak bu standardı geliştirmiştir. Ağlardaki ve sistemlerde IT güvenliği için, siber güvenlik standardını oluşturan IEC 62443 serisi standartları da dikkate alınmalıdır. IEC 62443 standart ailesi, aşağıda sizlerle paylaştığım gibi Genel, Yönetim Sistemi (politikalar ve prosedürler), Endüstriyel BT Güvenliği ve Gömülü Bileşen Güvenliği olmak üzere dört bölüme ayrılmıştır.1
Ürün tedarikçisi, uygulama (antivirüs, beyaz liste vb.), Gömülü cihaz (PLC, DCS vb.), Ağ cihazı (güvenlik duvarları, yönlendiriciler, switchler vb.), Ana cihazlardan oluşan IEC 62443 3-3, IEC 62443 4-1, IEC 62443 4-2’de tanımlanan sistem veya alt sistem olarak birlikte çalışan (operatör istasyonları, mühendislik istasyonları vb.) kontrol sisteminin geliştirilmesinden ve test edilmesinden sorumludur.
- Sistem entegratörü, IEC 62443 2-4, IEC 62443 3-2, IEC 62443 3-3 ile uyumlu bir işlem kullanarak ürünün bir otomasyon çözümüne entegre edilmesinden ve işletmeye alınmasından sorumludur.
- Varlık sahibi, otomasyon çözümünün kurulumu ile geliştirilen otomasyon sisteminin IEC 62443 2-1, IEC 62443 2-3 ve IEC 62443 2-4’te tanımlanan politika ve prosedürler sayesinde işletme ve bakım yeteneklerinden sorumludur.
1. Derinlemesine Savunma (Defense-in Depth)
Derinlemesine savunma, tüm sistemin güvenliğini artıran katmanlı bir güvenlik mekanizmasıdır. Bu mekanizmanın yararı, bir saldırı sırasında bir tabaka etkilenirse, diğer tabakaların da birçok saldırıya karşı koruma, tespit etme ve tepki verme konusunda yardımcı olmaya devam etmesidir. Katmanları aşağıdaki gibi tanımlayabiliriz:2
- Veri Katmanı en içteki katmandır ve ACL verilerin şifrelenmesi için kullanılabilir.
- Uygulama Katmanı, virüsten koruma yazılımı yüklemek ve uygulama güvenliğini sıkılaştırmak için kullanılan bir sonraki katmandır.
- Host Katmanı, uygulama katmanından sonraki katmandır ve algılanan güvenlik açığının düzeltme (patch) uygulamasında, kullanıcıların kimlik doğrulamasında kullanılır.
- Dahili Ağ Katmanı aşağıdaki katmandır ve bir iletişim sisteminde yer alan paketin IP iletişimi, kimlik doğrulama ve şifrelemesi için IPsec (İnternet Protokolü Güvenliği), her kullanıcının izinsiz girişini tespit eden IDS (İzinsiz Giriş Tespit Sistemi) için kullanılır.
- Çevre Katmanı bir sonraki katmandır ve güvenlik duvarlarını ve VPN karantinasını uygulamak için kullanılır.
- Fiziksel Katman, çevre koruma katmanından sonraki, faydalı korumaların, switchlerin, kilitlerin, bağlantı noktalarının, fiziksel erişimin kullanıldığı katmandır.
- Politikalar, Prosedür Katmanı, endüstriyel otomasyon ve kontrol sistemi ağları için güvenlik politikaları ve prosedürlerinin tanımlandığı en dış ve son katmandır.
2. Bölgeler ve İletim Hatları
Güvenlik bölgeleri, ortak güvenlik gereksinimlerini paylaşan ve kritik kontrol sistemi bileşenlerini izole eden varlıkların fiziksel veya mantıksal olarak gruplandırılmasıdır. Özel bir güvenlik bölgesi türü, örneğin bir firewall gibi harici şebekeyi, örneğin güvenlik bileşenleri yardımı ile dahili (IACS) ağı ile bölümlere ayıran Demilitarized Zone (DMZ) ‘dur. Bu kavram, “Derinlemesine Savunma” yaklaşımı dikkate alınarak katmanlı bir güvenlik yaklaşımı sağlar.
İletim hatları, mantıksal olarak organize edilebilecek iletişimleri bir bölgedeki ve dışındaki bir bilgi akışları grubuna göre gruplandıran özel bir güvenlik bölgesidir. Tek bir servis (yani Ethernet ağı) veya çoklu veri taşıyıcısı olabilir. İletim hattı, Hizmet Reddi, kötü amaçlı yazılım saldırıları ve ağ trafiğinin bütünlüğünü ve gizliliğini koruyarak yapılan birkaç saldırıya karşı direnerek bölgeye erişimi kontrol eder.3
Yukarıdaki şekilde, bölgeleri ve iletim hatları olan bir IACS ağının ağ mimarisini göstermektedir. Ağ dört bölgeye ayrılmıştır ve her bölgenin bir güvenlik duvarı veya ağ geçidi koruması vardır. Bir IACS ağındaki bölge kavramı, kurumsal ağdan bilgi transferinin adım adım (Bölge 4’ten Bölge 3’e, Bölge3’ten Bölge2’ye, Bölge2’den Bölge1’e) işlem olacak şekilde olmalıdır. Bilgiler, antivirüs paterni güncellemeleri, yama güncellemeleri vb. olabilir. Bölge 1’den diğer bölgelere bilgi akışı kısıtlanmalı (salt okunur işlev) ve yalnızca uygun kimlik doğrulama yöntemi ile aktarılmalıdır. Örneğin, üretim ağının işlem verileri yalnızca Bölge 3’teki DMZ’deki işlem veri sunucusuna aktarılır. İşlem Veri sunucusuna erişim, yetkili çalışanlarla sınırlandırılmalıdır.
3. Planla/Yap/Kontrol Et/Önlem Al (PDCA) kullanarak IACS için Siber Güvenlik Yaşam Döngüsü
Güvenlik önleminin Planla, Yap, Kontrol Et ve Önlem Al yöntemi ISO 27000 serisinde etkin bir şekilde uygulanmıştır. IEC 62443’te PDCA yaşam döngüsü, standart, yani ürün geliştirici, sistem entegratörü ve varlık sahibi tarafından tanımlanan temel rollere dayanır. PDCA döngüsü aşağıdaki adımı içerir:4
Yukarıda şekilde, IEC 62443’e istinaden ICS’de uygulanabilen PDCA döngüsünü göstermektedir. Standart yani ürün tedarikçisi, sistem entegratörü ve varlık sahibinde tanımlanan üç rolün her biri PDCA döngüsünü takip etmelidir. Ürün tedarikçisine yönelik PDCA döngüsü, ürüne/cihazlara özgü olduğu için ürün yaşam döngüsüdür ve entegratör ve varlık sahibi için, tüm tesis üzerinde yoğunlaşan yaşam döngüsüdür.
4. IEC 62443 3-3 ve IEC 624434-2 temelinde Güvenlik Seviyeleri
Güvenlik Seviyesi kavramı, ICS bölgelerine odaklanır. Güvenlik seviyeleri, farklı doğal güvenlik önlemlerine ve karşı önlemlerin kullanımına ilişkin kararlar almak için bir referans çerçevesi sağlar. Konsept, bir bölge içerisinde kullanılacak ICS cihazlarını ve karşı önlemleri seçmek için kullanılabilir ve bölge veya kanallar için riskleri sınıflandırma yeteneğini sağlar. Güvenlik seviyeleri, donanım ve yazılım temelli teknik önlemleri içeren bir bölge için Derinlemesine Savunma stratejisini tanımlamak için de kullanılabilir. Bileşenler için tanımlanan güvenlik seviyeleri, standart, yani gömülü aygıtta, ana bilgisayar aygıtlarında, ağ aygıtlarında ve uygulama yazılımında tanımlanan dört tür aygıt kategorisine dayanır. Standarttaki güvenlik seviyeleri aşağıdaki gibidir:
- Güvenlik seviyesi 1 – Gizli dinleme veya maruz kalma yoluyla yetkisiz bilgilerin ifşa edilmesini önlemek.
- Güvenlik seviyesi 2 – Düşük kaynaklara, genel becerilere ve düşük motivasyona sahip basit araçları kullanarak, onu aktif olarak arayan bir kuruluşa izinsiz bilgi verilmesini önlemek.
- Güvenlik seviyesi 3 – Ilımlı kaynaklar, IACS’a özgü beceriler ve ılımlı motivasyon içeren sofistike araçlar kullanarak aktif olarak arayan bir kuruluşa bilgilerin yetkisiz şekilde ifşa edilmesini önlemek.
- Güvenlik seviyesi 4 – Genişletilmiş kaynaklar, IACS’a özgü beceriler ve yüksek motivasyon içeren karmaşık araçları kullanarak aktif olarak onu arayan bir kuruluşa bilgilerin yetkisiz şekilde ifşa edilmesini önlemek.
5. IEC 62443 2-4 ve IEC 62443 4-1 temelinde Olgunluk Seviyeleri
Olgunluk Seviyeleri CMMI-SVC modeline dayanmaktadır. Bu seviyeler, IEC 62443 2-4 ve IEC 62443 4-1 standartlarını tanımlamış olan şartlara uyması gereken ölçütü tanımlar. Her seviye bir önceki seviyeye göre kademeli olarak ilerler. Hizmet sağlayıcıların ve varlık sahiplerinin, her gereksinimin yerine getirilmesiyle ilişkili vade seviyesini belirlemeleri gerekmektedir.
- Olgunluk Seviyesi 1 – Başlangıç – Kötü kontrol edilen belgelenmiş bir işlem olmadan bir hizmeti gerçekleştirme yeteneği
- Olgunluk Seviyesi 2 – Yönetilen – Uzmanlığı ve eğitimli personeli ile resmi bir şekilde belgelenmiş bir süreç içerisinde hizmet sunabilme
- Olgunluk Seviyesi 3 – Tanımlı – Süreci uygulamanın kanıtlarını içeren Olgunluk seviyesi 2 seviyesini gerçekleştirme yeteneği; Dokümantasyon süreci ve personel eğitiminde katılımcıların listesi
- Olgunluk Seviyesi 4 – Geliştirilmiş – Sürekli iyileştirme gösterimi dahil olmak üzere Olgunluk seviyesi 4 seviyesini gerçekleştirme yeteneği; iç denetim raporu