Giriş

Kontrol sistemleri sadece Kuzey Amerika’da değil, bütün dünyada sanayi altyapısının bir parçasıdır. Kontrol sistemlerinin, kurumsal iş sistemleri ile Bilişim Teknolojisi (BT) konusunda bazı benzerlikleri paylaşmakta olduğunu anlamış bulunuyoruz; ancak kontrol sistemleri, idari, teknik ve fonksiyonel olarak kurumsal BT sistemlerine göre daha karmaşık ve benzersizdirler.

 

Güvenlik açıkları, özellikle siber-güvenlik açıkları, hem kontrol sistemleri ve hem de iş BT sistemlerinin güvenli ve fonksiyonel olan performansını etkileyebilir. Ancak, genel BT dünyası, tehditler ve güvenlik ortamının yönetimi konusunda oldukça bilgili ve deneyimlidir- belki kontrol sistemlerinin mevcut durumundan yıllar ile ifade edilebilecek seviyede daha ileridedir. Bizim elimizde, iş dünyası BT deneyimlerinden yararlanarak, kontrol sistemlerinin aynı düzeyde güvenlik bilincini elde etmesi için gereken zaman aralığını kısaltmamız için bir fırsat var.

 

Siber güvenlik olgunluğu konusundaki bu farkın en önemli nedenlerinden biri, iş IT ve kumanda sistemlerinin odaklandığı konular arasındaki farktır. Kontrol sistemleri, ekipman verimliliği ve güvenilirliği üzerine odaklanmıştır. Siber güvenlik işi ise, iş BT kurumlarına bırakılmıştır. Ancak bu durum değişmektedir. Ve biz, BT ve kontrol sistemlerinin uyumu için, hem iş BT hem de endüstriyel kontrol sistemlerinin uzmanlığının gerekli olduğunu anlıyoruz.i]

 

Biz bu yakınsamaya Endüstriyel BT diyoruz.

 

Kritik Altyapınızın Güvenliğinin Sağlanması

 

Mantıksal Yaklaşım Gerektiren ve Sürekli Devam Eden Bir Süreç

 

Kontrol sistemleri çevresi gözümüzün önünde değişmektedir ve bazı nüansları ince, diğerleri ise daha belirgin olmuştur. Özel donanım ve yazılımın norm olduğu zamanlarda, sistemin güvenliği uzun yıllar boyunca hafife aldığımız bir kavramdır ama manzara artık değişmiştir! Sahip olduğumuz güvenlik, daha açık bir ortamda sunulan teknolojideki gelişmeler ile takas edilmiştir.

 

Donanım ve yazılımda devam eden gelişmeler, otomasyon teknolojisini avantajlı bir şekilde kullanmak için daha fazla yollar açmaktadır. Bugünün zahmetli otomasyon zorlukları ile karşılaşmak, neyin mümkün olduğu hakkında bilgi sahibi olmak demektir. Değişim iyi olabilir ve onunla birlikte gelişebilme ve ondan en iyi değeri elde etme yeteneğimiz bizim yaratıcılığımız ve özverimiz için bir ölçüttür ve belki de bizim uygulamamız da, bu evrime mantıklı bir yaklaşımın ölçüsüdür. 

 

Süreç denetimi için, riskleri artıran, geceleri bizi uyanık tutan ve huzurumuzu etkileyen zorlukların farkında olmamız gerekmektedir. Zaman içerisinde bu zorlukların etkisi artmaktadır.

 

Artan Erişebilirlik Gereksinimleri ve İş ile Süreç Bilgisi Arasındaki Sıkı Bağlantı

Sürdürülebilir bir rekabet avantajı elde etmek için, üretim ve süreç işletmelerinin değişime hızla uyum sağlamaları gereklidir. Daha kısa zamanda karar verebilmek ve eyleme geçebilmek, kalite ve verimliliğin artırılması için kritik öneme sahiptir - güvenilir bilgilerin zamanında toplanması, manipülasyonu ve dağıtımı önemli bir konudur.

 

Günümüz iş ortamında, elektronik verinin, operasyon birimine, mühendislik birimine ve yönetime kendileri için en anlamlı olacak bağlamda bilgi olarak takdim edilmesi gerekmektedir. Tarihsel olarak, süreç ve iş verileri farklı kaynaklardan toplanarak güvenli bir şekilde depolanır. İş dünyasının gereksinimi, bu verilerin, her aşamada verimliliği ve karlılığı artırmak üzere destek veren ve kolay anlaşılabilir bir biçimde sunulan bilgiye dönüştürülmesidir. Sonuç olarak, çoğu kuruluş, sisteme erişimi artırma gereksinimi ile karşı karşıyadır ve iş dünyası ve süreç bilgileri arasındaki bu bağın daha sıkı olması gereksinimi, ona karşı kasıtsız veya planlı müdahaleleri olanaklı hale getirmektedir.

 

Karmaşık Araçlar Dizisi, Standartlar ve En İyi Uygulamalar 

Açık sistemlerin çoğalması, fabrika ağ sistemlerinin karmaşıklığı ve eski sistemleri destekleme ihtiyacı ile daha fazla aracın risk ve gereksinimlerinin giderilmesi için, görevli standartları ve onu takip eden en iyi uygulamalarla birlikte kullanılabilir. Hangi araçların hangi ortama daha uygun olduğunu anlamak zor bir görev olabilir.

 

Hedefli ve Kötü Amaçlı Siber Güvenlik Tehditleri

Bilgi erişimi ve paylaşımı için artan talep ile birlikte, hedeflenen kötü niyetli siber güvenlik tehditleri sayısının da arttığını görüyoruz. Basında çıkacak olan bir sonraki büyük hikâyenin konusu olmak avantajlı değildir. P.T. Barnum şöyle demiştir: “Benim hakkımda ne yazdığın önemli değil, sadece adımı doğru yaz”; siber güvenlik tehditleri, internet ve teknolojiye yaygın erişim hakkında bir şeyler bilseydi belki de bu sözlerini başka türlü söylerdi! 

 

Sanayi ve Devlet Düzenlemelerindeki Artış ya da Standartlar 

Sanayi bazında, standartlara ve tesislere adapte olmak ve bazı durumlarda düzenleyici kurallara uymak konusunda yönergeler vardır. Düzenleyici ve en iyi uygulama kontrollerinin yorumlanması veya uygulanması ile ilgili bir belirsizlik akıbeti vardır.

 

Çalışma Zamanı Üzerindeki Artan Vurgu, Kullanılabilirlik ve Güvenilirlik İçeriklerinin Stili

Tüm bu zorluklar ile birlikte, artırılmış çalışma zamanı, kullanılabilirlik ve güvenilirlik talebi artmaktadır. Birçok kuruluş, kendisini, Endüstriyel Bilgi Teknolojilerinin gerektirdiği yüksek standartları karşılayan bir güvenlik programını yönetebilecek personel yokluğu ile karşı karşıya bulmaktadır. Fabrikadaki BT konusunda teknik bilgi, “know-how”, eksikliği problematik bir durumdur- gizlilik karşısında erişebilirliğe öncelik verilmektedir. O zaman cevap verilmesi gereken soru şudur: Bu artırılmış risk düzeyine karşı nasıl tepki vereceğiz?

Kritik Altyapınızın Güvenliğini Sağlamak için Düzenli, Mantıksal Bir Yaklaşım

Gerekli adımların doğru zamanda atılmasını sağlamak için Endüstriyel BT Yaşam döngüsüne mantıklı, düzenli ve tekrar edilebilir bir yaklaşım sergilemek gereklidir. Endüstriyel BT Yaşam döngüsü, sürekli devam eden bir döngüdür ve sürekli dikkat gerektirir.. Yaklaşım dört aşamadan oluşur: Değerlendir, iyileştir, yönet ve sigortala. 

 

Bu aşamaların her biri önemli olmakla birlikte, en açıklayıcı olması muhtemel olanı değerlendirme aşamasıdır. Bu aşamada, tesisinizin varlıklarını değerlendirir ve endüstri standartları ve en iyi uygulamaları ile karşılaştırarak güvenlik açıklarını ortaya çıkartırsınız. Sorunları düzeltirken ve açıkları kaldırırken, mantıklı ve odaklanmış olabilmek için nelerin bozuk veya zayıf olduğunu anlamak gerekmektedir. Değerlendirme sonuçları ile birlikte iyileştirme aşaması başlar - siztem açıkları ve endüstri standartlarındaki yanlış ayarlamalar ile en iyi uygulamalara hitap edilir. Ağ ve güvenlik programını optimum seviyede tutmak için, yönetme aşaması, Endüstriyel BT ve özellikle ağ güvenliği alanında yaptığınız yatırımları korumak ve geliştirmek için gerekli olan hizmetler ve eğitime hitap etmektedir. Daha sonraki sigortalama aşaması ise, programınızın tasarladığınız şekilde işlediğinden emin olmak için onu izlemeniz konusuna odaklanır. 

 

Her aşama ve temel işlevinin üzerinden hızlıca geçmek gerekirse:

• Müşterinin varlıklarını endüstri standartları, yasal gereklilikler ve en iyi uygulamalar kavramına kıyasla değerlendirin.

• İyileştirme, Değerlendirme aşamasında tanımlanan meseleleri özel tasarlanmış bir endüstriyel BT programı ile çözmek için gereken eylemlere hitap eder.

• Yönetme, müşterinin, ağ güvenliği, destek verme ve eğitim de dâhil olmak üzere yaptığı Endüstriyel BT yatırımlarının yönetimini ifade eder.

• Sigortalamak, müşteriye ait endüstriyel BT çözümlerinin tasarlandıkları şekilde çalışıp çalışmadığından emin olunması konusundaki metotlara hitap eder.

 

Değerlendirme Aşaması 

Değerlendirme aşaması, endüstriyel BT yaşam döngüsü içinde çok önemlidir. Bu aşamada genel eksiklikler ve zayıflıklar, ulaşılmak istenen sonuç durumu ile karşılaştırılmaktadır. Dört aşamadan, belki de en aydınlatıcı olanı bu aşamadır. Değerlendirmeleri, sisteminin daha iyi yönetimine yardımcı olacak eylem önerileri takip etmelidir. Öneriler, tespit edilen açıklara mantıklı biçimde hitap edilmesi için önem sırasına göre düzenlenmelidirler. Ayrıca, bütçe kurallarının sağlanması, İyileştirme aşaması için gereken çabanın büyüklüğü ve kapsamı konusunda yardımcı olacaktır. Değerlendirme türleri, tesisatın kurulum anındaki ve uzun vadeli ihtiyaçlarına bağlı olarak değişmektedir. Bazı kurulumlar için, yasal değerlendirmeler ön plandadır. Ağ güvenlik açıkları ile ilgili acil endişeler varsa, ağ değerlendirmesi ideal bir başlangıç noktası olacaktır.

 

Değerlendirme kategorileri şunlardır:

• Güvenlik açığı değerlendirmeleri

• Yasal Değerlendirmeler,

• NERC CIP, CFATS, vb

• Ağ Değerlendirmeleri

• Risk ve hazırlıklı olma 

• Genel boşluk analizi ve proje planlama

 

İyileştirme Aşaması

 

Değerlendirme aşaması en aydınlatıcı olsa bile, İyileştirme aşaması, risk yönetimine, süreç, teknoloji ve insan perspektiflerinden yaklaştığından dolayı en yoğun ve farklı aşama olabilir.

 

Süreç, özellikle güvenliğe etki etmesinden dolayı, iyileştirmeye genel bakışta önemlidir. Süreç, aşağıdakiler gibi süreçsel geliştirmeler içerir:

• Yama Yönetimi

• Güvenli Uzaktan Erişim

• Anti-virüs

• Yedekleme ve Restorasyon

• Değişim Yönetimi

• Çevre Güvenliği

İnsani perspektiften bakıldığında, süreç kontrol ortamının güvenliğini etkileyen her bir kişi, güvenlik için geçerli risklerin ve düşüncelerin farkında olacak hale getirilmelidir. Bu amaç doğrultusunda, bir güvenlik farkındalık programı çok önemlidir. Güvenlik açıklarına maruz kalma potansiyeli hakkında bilgisi olmayan birey ve grupların olması alışılmadık bir durum değildir. Ek eğitimler gerekebilir. Her kuruluş içinde bu kilit alan için geçerli talimatlar ve yönetimlerin geliştirilmesi ve belgelendirilmesi en iyisi olacaktır. Aynı zamanda, kuruluşlar genişleme veya küçülme yoluyla veya diğer pozisyonlara kaydırma sebebi ile değiştikleri için, güvenlik bilinci de sürekli devam eden bir süreçtir.

 

Genel olarak, insan perspektifi aşağıdakileri içerir:

• Güvenlik Bilinçlendirme Programı

• Güvenlik eğitimi

• Politika ve yönetişim gelişimi

• Tasarım ve uygulama kaynakları

 

Teknoloji perspektifi; teknoloji de sürekli değiştiği için, birçok değişikliğe karşı koyabilecek bir perspektiftir. Bu alanda, ağ mimarisi, topolojisi ve süreç kontrol ağ tasarımının fiziksel ağ diyagramları, teknoloji gereksinimleri gibi şeyleri belirlemek ve belgelemek önemlidir. Teknoloji, sunucu ve yazılım, dağıtım ve yapılandırma konusundaki seçimi de kapsar. Sistem fiziki donanım ve sanallaştırma ihtiyaçları ve uygulama konuları bu alanda yer almaktadır. Sonra, raflarda bulunmayan ürünlerin (COTS) geniş bir ticari yelpazeden seçimi ve belirli bir alan için hangisinin en uygun olduğunun tespiti konusu vardır. COTS ürünlerinde aşağıdaki işlevleri yerine getirebilecek araçlar vardır: 

• Anti-Virus, McAfee gibi, 

• Yama Yönetimi,WSUS gibi 

• Beyaz Liste, Bit9 gibi,

• Saldırı Tespit (IDS)/ Saldırı Önleme Sistemi (IPS) Tipping Point gibi 

• Sistem Açığı, Fire Eye gibi 

• Ağ izleme, SolarWinds gibi 

• Günlük Çözümleme, Splunk gibi 

 

Özetlemek gerekirse, iyileştirme aşaması, aşağıdakileri de içerebilen özel olarak tasarlanmış bir Endüstriyel BT programı ile sonuçlanır:

• Derinlemesine ağ tasarımında çok katmanlı güvenli savunma 

• Sistem sertleştirme

• Test ve yedekleme çözümleri

• Uyum ve yönetim geliştirme

• Güvenlik bilinçlendirme programı

 

Yönetim Aşaması

Yönetim aşaması, müşterinin, ağ güvenliği, destek ve eğitim dâhil olmak üzere Endüstriyel BT yatırımlarının yönetimini içerir. Aşağıdaki özellikleri de içerebilir:

• Sistemlerin ve teknolojinin sürekli yönetimi, aşağıdakiler de dâhil olmak üzere:

- İş Akışı uygulaması

- Anti-virüs ve yama yönetimi hizmetleri

- Çevre yönetimi

• Destek hizmetleri, aşağıdakiler de dahil olmak üzere:

- Güvenlik araçlarının ayarlarının düzenli olarak yapılması

- Sistem sağlığı ve performansını izleme

- Ad-hoc destek sözleşmeleri

 

Sigortalama Aşaması

Sigortalama aşaması, Endüstriyel BT çözümlerinin tasarlandıkları şekilde işlemelerini sağlamak için gereken yöntemleri içerir. Programın izlenmesi aşağıdakileri içerebilir:

• Değişim yönetimi

• Yama yükleme doğrulanması ve anti-virüs güncellemeleri 

• Bir uyum tablosu kullanma

• Aylık raporlama

• Sistem sağlığı ve performans raporlama

• Ve bazıları için, her yıl yenilenen NERC CIP Siber Güvenlik Açığı Değerlendirmesi (CSVA)

 

[i] ABD Senatosu Ticaret, Bilim ve Ulaştırma Komitesi önünde, Joseph M. Weiss, Kontrol Sistemleri Siber Güvenlik Uzmanı’nın ifadesidir. 19 Mart 2009.

 

Honeywell Endüstriyel BT Çözümleri