• Anasayfa  • Künye  • Kurumsal  • Reklam  • Üyelik  • Arşiv  • Site Haritası  RSS 
YAZARLAR  |  GÜNCEL  |  GÖRÜNTÜLÜ  |  ÖZEL  |  TİCARET SOHBETLERİ  |  FİNANS  |  İHALELER  |  TİCARET BORSALARI  |  RESMİ GAZETE

Endüstriyel kontrol sistemleri korunmuyor

04 Ekim 2018 Perşembe 09:00
12
14
16
18

Endüstriyel kontrol sistemleri korunmuyor

   ► Operasyonel teknolojiler ile bilgi teknolojileri, birbirinden farklı özelliklerine rağmen taşıdığı riskler ve alınabilecek önlemler açısından ortaklık gösteriyor.

           HABER MERKEZİ     
     Operasyonel teknolojiler ile bilgi teknolojileri, birbirinden farklı özelliklerine rağmen taşıdığı riskler ve alınabilecek önlemler açısından ortaklık gösteriyor. Ağ güvenliği çözümlerinde lider olan WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, endüstriyel ağlara yönelik en yaygın 5 güvenlik tehdidini ve alınabilecek önlemleri paylaşıyor.

     Endüstriyel kontrol sistemleri, kötü niyetli kişiler tarafından aralıksız olarak tehdit altında bulunuyor. Bu tehditler ulus devletler, politik ya da finansal nedenlerle saldırı yapmak isteyen hackerler, iç tehditler ve şirkete zarar vermek isteyen, hoşnutsuz eski çalışanlar gibi pek çok kaynağa dayanıyor. Endüstriyel kontrol sistemlerinde güvenlik açığı yaratan 5 temel soruna dikkat çeken WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, bu sorunların nasıl ortadan kaldırılabileceği ile ilgili şirketlere tavsiyelerde bulunuyor.

     Endüstriyel kontrol sistemleri, giderek artan ve gelişen siber tehditlere karşı güncellenemediklerinden dolayı şirketler için güvenlik riski oluşturuyor. Kısaca EKS olarak adlandırılan endüstriyel kontrol sistemlerinde gerçekleşen sızıntılar, felaket boyutunda sonuçlar yaratarak oldukça yüksek maliyetlerde zararlar doğurabiliyor. EKS’ye yapılan bu tür saldırılarla hem fiziksel hem çevresel zararlar oluşurken üretim süreçlerindeki kesintiler, şirketleri olumsuz etkiliyor. Ayrıca, yasalardan doğabilecek yüklü faturalar veya zarara uğradıklarını iddia eden üçüncü parti şirketlerden dolayı iş ortaklarının ve sektörün şirketlere olan güveni azalabiliyor.

Endüstriyel kontrol sistemlerinde en çok karşılaşılan 5 tehdit
     Bu durumlar göz önünde bulundurulduğunda, EKS ağlarındaki güvenlik zafiyetlerinin giderilmesinin ve tehditlere karşı önlem alınmasının ne kadar elzem olduğunun kolayca görülebileceğini belirten WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, EKS ağlarının en sık karşılaştığı beş tehdidi ve bu tehditlerden korunmak için şirketlerin alabileceği önlemleri paylaşıyor.

1. Ağ yapılandırmasının zayıflığı
     Ağ yapılandırması ne kadar zayıf olursa, bir siber saldırının başarılı olma ihtimali de bir o kadar artıyor. Bir kontrol cihazının sahip olduğu zayıf yapılandırma, iki türlü veri sızıntısı yaratabiliyor. Zira böyle bir durumda hem siber saldırganlar ağa adım atabilecekleri bir boşluk görmüş oluyor hem de şirketin hassas bir varlığında sorun çıkartılmış oluyor.
     Önlem: Endüstriyel kontrol cihazlarının hiçbir zaman internetle doğrudan bağlantı içerisinde olmaması gerekiyor. Ayrıca genel ağ bütünlüğünden rahatlık adına fedakarlık yapılmadığı sürece dikkatli ağ segmentasyonları uygulamak faydalı olabiliyor.

2. Denetim yokluğu
     Denetimler, ağda neler olup bittiğini anlamak için hayati derecede önem taşıyor. Denetimin gerçekleştirilmesi için ise kayıt mekanizmalarının mutlaka var olması gerekiyor. Ancak bazı EKS ortamlarında böyle bir mekanizma ya hiç bulunmuyor ya da ciddi eksiklikler barındırıyor. Bu nedenle çoğu vakada güvenlik ekipleri kayıtları nasıl toplayacakları ya da onları nerede arayacakları bilgisinden bile yoksun kalıyor.
     Önlem: Basit bir yapıda da olsa düzenli kayıt tutmak, vaka anında saldırıya cevap vermek ve bir adli araştırma yapabilmek adına önem taşıyor. Ayrıca yasalara uyumluluğun denetlenmesi için de bu kayıtların varlığına ihtiyaç duyuluyor. İlk denetim hangi verilerin takip edilip toplandığı ve hangilerinin takip edilmediğine yönelik gerçekleştirilerek bu şekilde sistemin limitleri öğrenilebiliyor. Kayıtları bir araya getirirken hedefin daima %100 görünürlük, takip ve kontrol olduğunun akılda tutulması gerekiyor.
     Çoğu EKS ağlarında denetleme sağlayan bazı içerikler bulunmasına rağmen çalışanlar bu kapasiteyi görmezden geliyor veya yeterince kullanamıyor. Oysa, bu içeriklerden faydalanılması, fark edilen anormal durumların acilen güvenlik müdahale ekiplerine bildirilmesi ve sorunun gerçek zamanlı, otomatik denetim mekanizmalarıyla beraber incelenmesi ciddi fayda sağlıyor.

3. Kontrol eksikliği
     Çoğu EKS için, varlıkları yönetmek açısından basit kontroller dahi yapılmıyor. Bunun sonucu olarak, operasyonel sistemlerde güvenlik hijyeni ancak problem sonrası akla gelen bir düşünce oluyor. Sistemlerdeki yamalar bu şekilde eksik kalırken özelliklerin, yapılandırmaların, yazılım sürümlerinin, yama seviyelerinin merkezi ve güncel bir envanterinin bulunmaması durumu iyice içinden çıkılmaz bir hale getiriyor. Ayrıca kontrol eksikliği, şirketin EKS için belirlediği güvenlik kurallarına uyulup uyulmadığından da bilinmemesine yol açıyor. “Sistem çalıştığı sürece, hiç karışmamak daha iyidir.” fikrine dayalı bir güvenlik, açıkları gitgide artırıyor.
     Önlem: Güncel olmayan bir varlık envanteri ile, özellikle fiziksel süreçleri yönetmekle sorumlu kontrol sistemlerindeki yamaların uygulanması veya yetkisiz hareketlerin fark edilmesi mümkün olmuyor. Bu nedenle sürekli envanter tutulması ve operasyonel teknolojiler için merkezi ve otomatik bir yönetim oluşturulması şart oluyor.

Risk 4: çalışan bilinçsizliği
     EKS’lerde de en az BT’de olduğu kadar ağ güvenliği riskleri bulunuyor. Oltalama saldırıları, sosyal mühendislik teknikleri, riskli sunucu kullanımı davranışları gibi durumların hepsi, BT’deki gibi EKS’de de saldırganların kullanabileceği yöntemler oluyor. Üstelik siber saldırganlar, sistemlerden birine yapılan bilinçsiz bir hatadan faydalanarak iki ağa birden yayılabiliyor.
     Önlem: Güvenlik eğitimi, ağ segmentasyonu, çok faktörlü doğrulama gibi uygulamalar çalışanların bilinçsiz davranışlarını ya da bu davranışların olumsuz sonuçlarını azaltıyor.

Risk 5: İç tehditlerin varlığı
     Operasyonel teknolojilerde karşılaşabilecek iç tehdit riskleri, hoşnutsuz bir çalışan ya da verileri çalmak veya sistemi sabote etmek için para ödenen bir görevli olabiliyor.
     Önlem: Yapılacak risk ölçümleri, gereğinden fazla yetki verilmiş hesapların tespit edilmesine ve iç tehdit riskinin azalmasına yarıyor. Bu açıdan cihaz bütünlüğünde yapılan kontroller, kötü niyetli girişimleri geç olmadan tespit edebiliyor. Ayrıca, birbiriyle bağlantıda olmalarından dolayı hem BT hem de EKS güvenliğinden emin olmak bir ağ üzerinden diğerine yayılmaya çalışan saldırılardan korunmayı sağlıyor.

WatchGuard Türkiye Hakkında:
     2002 yılında Türkiye pazarına giren, 2015’te ise Türkiye ofisini açan WatchGuard, 1996’dan beri müşterilerine en gelişmiş ve en güncel teknolojileri sunarak güvenlik sektörünün öncüsü olmuştur. Birçok yeniliğin ilklerinden olup dünyanın ilk kutu UTM cihazını piyasaya süren WatchGuard, Firebox ürün ailesiyle güçlü ve performanslı, birleşik güvenlik çözümleri sunmaktadır. WatchGuard ürünlerinin en güçlü özelliklerinden biri, doğru sıfır gün korumasıdır. Diğer güvenlik markaları imza tabanlı koruma sağlarken WatchGuard, akıllı katman ILS mimarisi olan “True Zero Day Protection” teknolojisi ile yeni çıkmış ve henüz imzalanmamış tehditlere karşı koruma sağlamaktadır. WatchGuard, yaklaşık bir milyon entegre, çok fonksiyonlu tehdit yönetimi cihazını dünya çapında kullanıma sokmuştur.

 


+ Benzer Haberler
» Reel sektöre bütçeden 32,8 milyar TL destek
» Güven azalsa da gayrimenkul sektörü hala en çok tercih edilen yatırım araçlarından biri
» Bakanlıktan ‘Julia AK’ açıklaması
» Almanların tercihi Türk ayakkabısı
» Yorgancılar’dan enerji indirimi talebi
» Star Rafinerisi yatırımı yatırımcıların gözünü Aliağa’ya çevirdi
» Atlasglobal uçuş ekibinin kıyafetleri üniversiteli tasarımcılardan
» Egeli turizmciler WTM’de İzmir’i tanıtacak
» ATO’dan genç girişimcilere destek
» Ahi’ye bir tebrik de Ticaret Bakanı Ruhsar Pekcan’dan


ÇOK OKUNANLAR
bu hafta | bu ay
Foto/Video Galeri
  Ticaret 24.10.2018
  Ticaret 23.10.2018
  Ticaret 22.10.2018
  Ticaret 20.10.2018
  Ticaret 19.10.2018
  Ticaret 18.10.2018
Para Piyasaları
Hava Durumu
Takvim
Üye Giriş
E-Posta :
Şifre :
Beni Hatırla
     
      Üye Olmak İstiyorum
      Şifremi Unuttum
Bu sitenin tüm hakları saklıdır Ticaret Gazetesi    rt.moc.isetezagteracit @ ofni