ROCKWELL AUTOMATION, ENDÜSTRİYEL GÜVENLİK İÇİN EN İYİ UYGULAMALARINI ÖZETLİYOR

👤LEE A. LANE, GÜVENLİK ÜRÜN MÜDÜRÜ

🔍 Endüstriyel kontrol sistemleriniz için ne tür siber güvenlik önlemleri kullanıyorsunuz?
Birçok farklı seçenek sunuyoruz. Öncelikle hizmetler grubumuz var. Bu birimden dışarı çıkıp, müşteriye gidip onlarla birlikte çalışıyor, endüstriyel tesislerini inceliyor ve ne tip varlıkları olduğunu inceliyoruz. Varlıkları kategorize etmelerine yardımcı oluyoruz. Bu varlıkları korumak için ne tür stratejiler kullanmaları gerektiğini belirliyoruz. Yani bu gerçekten hizmet verdiğimiz bir bölüm.
Ürünlerimiz arasındaki diğer sunduğumuz seçenek ise iki farklı alanda. Birincisi iyi güvenli tasarım uygulamaları. Yani ürünleri içinde gömülü güvenlik özellikleriyle tasarlıyoruz en baştan. Nasıl uygulamalar bunlar? Kullanılmamış portların kullanımı. Kolayca kötüye kullanılabilecek açık kırılganlıkların olmadığı. Buna ek olarak güvenlik ürünlerimiz de var. Yani endüstriyel kontrol sistemlerini özel olarak güvenli hale getirmek için satın alabileceğiniz ürünler. Örneğin derin paket denetimi yapabilen 5480 Switch’imiz var; VPN açmanıza imkan sağlayacak güvenli internet modülümüz var. Yani tüm bu endüstriyel tarafta güvenlik alanına bakacak olursak, müşteri olarak yerine koyduğunuz, mimari yapınızın nasıl olduğu, kullandığınız ürünler, hem ürünlerin düzgün tasarlanmasını sağlamak hem de doğru güvenlik ürünleri kullandığınızdan emin olmak. Yani bunun tek bir cevabı yok. Müşteri cephesinde hem politika standartları anlamında hem de mimari standartlar anlamında bir çaba olması gerekiyor. Hem de satıcı cephesinde müşteriye doğru danışmanlığı verebilmeniz gerekiyor.

Güvenlik pazarı hakkında muhakkak bilgiye sahipsiniz. Genel anlamda sektördeki müşterileri nasıl değerlendiriyorsunuz? Bu tür saldırılarla mücadele etmeye hazırlar mı? Sizce hazırlıklı ve bilinçliler mi?
Bu soruyu bölgeden bölgeye ve sektörden sektöre bağımsız olarak yanıtlandırmak isterim.  Bu konu hakkında farkındalığı en yüksek olanlar – ki şu an sektörün kalbi olan bir şehirdeyiz -  petrol ve doğalgaz sektörü. Bu hem ABD hem de küresel petrol ev doğalgaz sektörü için geçerli. Tüm petrol şirketleri siber güvenlik riskinin farkındalar. Bu onlar için hem yaptıkları için çevreye olan etkileri –yani bir petrol kuyusunda ya da platformunda güvenlik noktalarınız olmadığında olabilecekleri düşünün. Fakat aynı zamanda bunun sebebi geçmişte fosil yakıtlarının kullanımına karşı olan farklı gruplar tarafından siber saldırıya uğradıkları için. Yani sektör bu konuda hayli hassas. Genel anlamda baktığınızda bu sektörün güvenlik sektöründe neler olup bittiğini çok yakından izlediğini görüyoruz. Fakat bazı sektörler var ki, isimlerini doğrudan şimdi söylemek istemiyorum ama bir siber güvenlik saldırısı durumuna kesinlikle hazırlıklı değiller. Hazırlıklı değiller derken demek istediğim, bunların arasında farkındalığı da olmayan var, farkındalığı olup da henüz nasıl bir çözüm kullanması gerektiğine karar verememiş olan var. Bu bir yatırım nihayetinde. Yani siber güvenlik saldırılarına hazırlıklı olmak istediğinizde bu konudaki tutumunuzu değiştirip bir yatırım yapıyor ve organizasyonda bir yapılanma yapıyorsunuz. Fakat henüz bu riski görememiş olan şirketler var. Bazı şirketlerde, ayrı bir güvenlik birimi olan şirketlerde kendimi sigorta satıyor gibi hissediyorum. Daha önce hiç yangın çıkmamış bir köydeki evlere yangın ev sigortası satar gibi hissediyorum. “Öyle bir şey burada olmaz” diyen müşterilerim oldu. Ama bence bu anlayış yavaş yavaş değişiyor. Birkaç gerçek saldırı örneğine tanık olduk. Ve bence şirketlerde farkındalığı yükselten de bu durum oldu. Şimdi insanlar bu konuya daha fazla dikkat ediyor. Tabii doğrudan böyle bir saldırıya maruz kalan veya etkilenenler hemen eyleme geçiyor. Bazen de çok acele ediyorlar ama iş işten geçmiş oluyor. Ev yandıktan sonra sigortalatamazsınız. Ama bir sonrakine ne yapacağınızı bilirsiniz. Örneğin, Ukrayna elektrik şebekesinde olan siber güvenlik durumunu düşünelim. Bu mesela devlete ait kurumların siber güvenlik riski. Ama siber yetkinliklerle neler yapılabileceğini gösteren bir örnek.🔍 

Sanırım bu konuda küresel çapta tüm internette dolaşan bir viral var, birçok devlet bu tür ‘kritik altyapı’ dediğimiz altyapılara saldırılar oluyor mu diye bakılıyor. Avrupa ve ABD genelinde ‘kritik altyapı’ denilen elektrik şebekeleri, su şebekeleri, atık su şebekelerinin güvenliğine önem veriliyor. Bunlar hedef alınabilme ihtimali yüksek altyapılar. Aynı zamanda özel bir şirkete yapılan saldırılar da gördük. Büyük lojistik şirketleri, gemi konteynerleri siber saldırıya uğradı.

Sistemleri durdu ve kayıp o kadar büyük oldu ki halka açık bir şirket olduğundan bunu kamuoyuna açıklamak zorunda kaldılar. Bir siber saldırıyla 100 kadar farklı tesisi durma noktasına gelen küresel bir gıda firması oldu. Şu anda geleceklerini güvenceye almaya ve bu konuda yatırım yapmaya çok istekliler. Ukrayna’nın dışında da bazı olaylar gördük. ABD’de oldu mesela bir elektrik santralinde bir saldırı olmuştu. İnsanların bu tür faaliyetlere tanık olduğu birçok durum yaşandı. Öne çıkarmak istediğim konu şu. Siber güvenlik meselesi bankacılıkla, hastanelerle başladı. Fakat gerçekten çok ilerlendi bu alanda. Çünkü eskiden siber saldırganlar bir banka hesabına girip parayı almaya çalışıyordu. Ama şimdi sanayiye yaptıkları saldırılarla bir endüstriyi rehin alabiliyorlar. Temelde şöyle oluyor, istedikleri parayı verirseniz, makineleriniz çalışmaya devam eder, vermezseniz ne olduğunu çözmek zorundasınız. Yani insanların bu konuya artık daha fazla önem verdiğini çünkü konunun daha acil olduğunu görüyoruz. Peki nerede olmalıyız? Fakat sizin gibi konuyla ilgilenen basın mensuplarıyla ya da, bu bilgileri insanlar birbirlerine aktarmalı. İnsanlar bu konuya gerçekten önem vermeli.
Yani kamuoyuna açıklamalılar mı başlarına böyle bir şey geldiğinde? Genelde duyurmak istemiyorlar mı?
Evet açıklama yapmıyorlar. Bazı durumlarda açıklama yapmak zorundalar. Eğer halka açık bir şirketseniz ve diyelim ki 100 milyar dolar kazancınız var, bir güvenlik saldırısına uğradıysanız açıklamak zorundasınız. Eğer küçük bir saldırıysa – ki bu saldırılar her gün oluyor bu arada – eğer bir zarar verilmediyse bunu raporlamak istemiyorlar. Hacklendik demek istemiyorlar. Fakat şirket içinde bunu biliyorlar. Bu noktada yapabileceğiniz en iyi şey, önce sakince düşünmek – birçok şirket IT altyapısını inceler, orada bir güvenlik gerektiğini biliyorlar. Ama OT tarafına bakmazlar. Ki güvenlik burada tüm operasyon teknolojilerine nüfuz etmelidir. Ve bu gerçekten hem IT hem OT’nin birlikte çalışmasını gerektirir.

Tabii ki güvenlik için bir para ödemek zorundasınız. Peki sigorta şirketleri bu güvenlik ürünlerini kullanan kişilerin primlerini düşürüyor mu?
Bu konuda bazı görüşmelere başladık. Geçmişte siber risklere yönelik bir modelleme yapmamıştı sigorta şirketleri. Fakat bugün buna başlıyorlar diye düşünüyorum ve gelecekte sormaya başlayacaklar. Çünkü bu işlerin aksamasının sigortalanması. Yeni bir alan, yeni bir risk. Bu konuda daha çok tartışılacak. Ben henüz böyle bir prim indirimi görmedim. Şu ana kadar sigorta şirketlerinin siber güvenlik önlemlerine göre ücret skalasını değiştirdiğini görmedim. Ama bunu düşünen sigorta şirketleriyle görüştüm, açık olarak isimlerini veremem ama konu üzerinde çalışan sigorta şirketleri var.

Riskli alanları ve muhtemel tehditleri nasıl belirliyorsunuz?
Bizim tarafımızda güvenlik ürünlerini biz sağladığımız için, yapabileceğimiz müşterilerin varlıklarını ve kontrol sistemlerini güven altında tutabilmeleri için onlara gereken güvenlik ürünlerini sağlayarak yapıyoruz bunu. Onlara güvenlik danışmanlığı hizmeti veriyoruz, altyapı danışmanlığı veriyor ne tür sistemler kullanmaları gerektiğini söylüyoruz. Bazen bu sistemleri bizzat biz yönetiyoruz da. Büyük birkaç şirket bizi fabrikalarındaki güvenlik sistemini yönetmemiz için de bizi kiralamış durumda. Ben buna “sorumlu ifşa” da diyorum. Biz kırılganlıkları kendimiz buluyoruz. Ya da araştırmalar bazı kırılganlıklara işaret ediyor. Müşterilerimize bu kırılganlıkların orada olduğunu söylüyoruz. Kırılganlığın ne olduğunu anladıklarından emin oluyoruz. Bu konuda ne yapmaları gerektiğini söylüyoruz. Çünkü bu olup bitenden habersiz bir şekilde işlerine devam etmelerini istemiyoruz. Yani Microsoft’tan biraz farklı. Microsoft’ta bilgisayarı kapatıp patchi ekleyebiliyorsunuz güvenlik için. Ama sanayi müşterisi tüm fabrikasını kapatmak istemiyor tabii ki. Sanayi müşterileri olan biteni kontrol edebilmeyi istiyor. Bizim de işimiz onlara seçenekleri sunmak. Sonrasında bu konuda bir adım atıp atmamak müşterinin bileceği iş. Öte yandan bu konu gerçekten hangi sektörde faaliyet gösterdiğinize bağlı olarak değişiyor. Şirketinizin büyüklüğü, faaliyet gösterdiğiniz sektör, karşılaşacağınız siber saldırı yüzeyini de doğrudan etkiliyor. Diyelim ki küçük bir kurabiye şirketisiniz. Tabii ki temel bazı güvenlik önlemleri almanız gerekiyor.

🔍 Arabanız kötü de olsa sokakta park ettiğinizde kitleyip çıkıyorsunuz araçtan. Diyelim ki 10 milyon dolar büyüklüğünde bir kurabiye şirketisiniz. Siber suçluların ilk hedefi olmazsınız. Ama yine de yapılması gerekenler var. Ama kritik bir altyapıysanız, bir elektrik santraliyseniz, size kimlerin saldırı yapabileceğine bakmak zorundasınız realistik bir şekilde – ki buna tehdit istihbaratı diyoruz. Rockwell dışında da bunu yapan şirketler var. Sizin için “dark web”i tarayıp şirketinize ilişkin herhangi bir saldırı olabileceği ihtimalini araştıran şirketler bunlar. Artık birçok hükümet de bir tehdit varsa bunu insanlarla paylaşıyor veya etkilenecek sektörlerle paylaşıyorlar. Ama sonuç olarak artık ne kadar büyük bir şirketsiniz, nasıl bir saldırıya uğrayabilirsiniz, kim size saldırmak isteyebilir, önlemek için neler yapabilirsiniz, artık herkesin bu konuda tetikte olması gerekiyor. PLC’lerinize ne isimler veriyorsunuz, New York şehri için “Generator 1”, yok artık. Ben müşterilerime “bir bardak su” deyin diyorum, kimse ne olduğunu anlamasın diye. Yani otomasyon konusunda insanlar bu konuyu nasıl yönettikleri konusunda daha akıllı hale gelmeli. Güvenlik iyi bir uygulama çünkü iş güvenliğini de doğrudan etkiliyor. Eğer güvenli bir sisteminiz varsa, örneğin bir ekipmanım var, güvenlik PLC’lerim var. Ekipmanın içinde çalışıyorsunuz ve ben size o ekipmanın hacklendiğini söylüyorum. Siz orada rahat olabilir misiniz? Güvenli hisseder misiniz?  Yani bu iş elden ele. Tek bir noktada değil. O yüzden artık ekipman ve sistemlerini tasarlarken siber güvenlik risklerini de düşünerek tasarlamalısınız. İş güvenliği tarafında standartlaşma için güvenlik standartlarını birbiriyle karşılaştırmalısınız.

Bu seçeneği güvenlik sistemlerini küçük veya büyük tüm şirketler için sunuyor musunuz?
Küçük şirketlerde de büyük şirketlerde de kullanılabilecek sistemler sunuyoruz. Genelde bir müşteriyle konuştuğumda ilk sordukları şey “bu bana ne kadara mal olacak” ve “her şeyi güvenceye almak zorunda mıyım?” oluyor. Ben buna ilk olarak şu cevabı veriyorum: Önce neleriniz var onu bir anlamalısınız. Örneğin suyu çamaşır odasına pompalayan pompa – ne kadar para harcamak istediğinizi bilmiyorum. Bazıları sadece dolan suyu dışarı atmak ister – umalım da dünyanın bir ucuna atmak istemesin. Eğer bir elektrik santraliyseniz, kontrol sistemi jeneratörlere bağlıdır ve bunu güvenli hale getirmek için biraz para harcamanız gerekir. Yani ilk adım her zaman müşterinin nelere sahip olduğunu anlamaktır. Ve sahip olduklarına bağlı olanlar neler? Kritik varlıklar, önemli varlıklar çok daha önemsiz bir şeyden bağlantıyla ulaşılabilir olabiliyor. O zaman sahip olduğunuzu güvenli hale getirmek için ne kadar yatırım yapacağınız ortaya çıkar.

EMEA bölgesinde birçok ülkede şirketler Connected Enterprise için ilk adımlarını atıyorlar. Bu adımda olan şirketlerin güvenlik süreçlerini nasıl yönetiyorsunuz?
Connected Enterprise dediğimizde sahip olma maliyetlerinin düşmesinden, pazara daha hızlı ulaşmaktan bahsediyoruz. Aynı zamanda en önemli noktalardan biri de kurum risklerinin azaltılması ve varlıkların kullanımının iyileştirilmesinden de bahsediyoruz. Yani Connected Enterprise’ı anlatırken zaten bu kapsamda güvenlik önlemleri alınması gerektiğini ve bu konunun ciddiye alınması gerektiğini söylüyoruz. Converged Plant Wide Internet (CPWI) diye bir şey var örneğin ağ mimarisi sistemlerini iletişim bakış açısıyla tasarlayan Cisco ile çalışan müşterilerimiz var. WLAN mı istiyorsunuz? İstediğiniz en iyi şekilde nasıl uygulanır? Tek bir yöntemle her şeyi yapmıyorsunuz. Buna ek olarak tüm bu altyapının yanında nasıl bir güvenlik politikası uygulayacaksınız?

Bu da benim az önce Connected Enterprise’la dediğim yere getiriyor bizi. Connected Enterprise olduğumuz için risklere karşı daha fazla maruz kalabiliyoruz. Herşey birbiriyle bağlantılı. Fakat bu tek saldırı faktörü değil. Birileri fabrikanıza girmiş olabilir. Bir şirketle görüşmüştüm ve bana IT departmanlarından nasıl güvenlik önlemleri aldıklarından falan bahsettiler. 45 dakika anlattı şöyle firewall’lar var, şöyle DMC’ler var, politikalarımız var vs. Dışarda kaç üstleniciniz var diye sordum. Çok büyük ve otomasyona geçmiş bir tesisti. Adam 90-200 dedi. Dedim tüm hard drive’ları virüs için kontrol ettiniz mi? Durdu ve dedi ki bunlar benim tüm bu bahsettiklerimin dışında bir şey. Evet dışında. O yüzden hep derim, Connected Enterprise size iş değeri anlamında önemli kazançlar sağlıyor. Fakat Connected olsanız da olmasanız da işinizi güvenli bir şekilde yapmak zorundasınız. Connected Enterprise’sınız diye daha fazla tehlikedesiniz anlamına gelmiyor. Aslında bunu yapmamak sizi avantajlardan mahrum bırakıyor ama güvenlik risklerine karşı hala aynı tehlikede olmaya devam ediyorsunuz. Yani bu ikisini birbirinden ayırmak zorundayız. Ama dediğim gibi Connected Enterprise güvenlik ve risk yönetimini de kapsıyor.

Endüstriyel ağ altyapısı inşa ederken Rockwell Automation neleri değerlendiriyor?
Altyapılara bakarken ilk baktığımız şey neyi korumaya çalıştığınızı anlıyoruz. Varlık ne kadar kritik? Başka bir taraf da CPWI’ı okuduğunuzda segmentleme sistemlerinden bahsettiğimizi göreceksiniz. Yani her şeyle konuşabilen tek bir nokta olsun istemezsiniz. O yüzden bir segmentasyon yapabiliyor olmanız lazım. İnternete açılan ofis ile fabrika katı arasındaki iletişimde arada kesinlikle bir güvenlik duvarı olması gerekiyor. İnternette dolaşan insanların fabrika operasyonlarına doğrudan erişememesi gerekir. Yani mimari konusunda gerçekten iyi uygulamalar var, fakat onun da ötesinde erişim kontrolü, katmanlı güvenlik sistemi olmak zorunda. Yani dijital olmayan güvenlik de var. Kapıyla başlıyor. O kapıdan kimler girebiliyor. Kim girip değişiklikler yapabiliyor? Ne tür politikalarınız var? İyi bir şifre. Bantla yapıştırılmasın. Düzenli olarak değiştirilsin. Bunların hepsi dikkat edilmesi gereken alanlar.