0

BEĞENDİM

ABONE OL

News

0

Kaspersky’nin “Kaspersky ICS Güvenlik Araştırması 2022: OT Güvenlik Sonuçlarını Güzelleştirmenin Yedi Anahtarı” başlıklı yeni raporu, endüstriyel işletmelerin yüzde 20’sinin üretim süreçlerini yahut otomasyon sistemlerini etkilediği durumlarda siber güvenlik eserlerini kapatma eğiliminde olduğunu ortaya koydu. Genel olarak kuruluşların yüzde 29’u orta sıra bu çeşit sıkıntılarla karşılaşırken, yüzde 59’u bu sıkıntılarla en az bir kere yüz yüze geldi. Bunların hepsinin sebebi uyumluluk ikilemine bağlanıyor.

Güvenlik tahlillerini operasyonel teknoloji ortamında uygularken, kuruluşların güvenlik ve üretim sürekliliği ortasında bir istikrar kurması hayati ehemmiyet taşıyor. Aksi takdirde üretim kesintilerinden kaynaklanan plansız duraklamalar, kimi iddialara nazaran şirketlere saatte 260 bin dolara kadar mal olabiliyor.

Bu dengeyi bulmak birtakım kurumlar için siber müdafaa tedbirlerini kapatmalarına neden olacak kadar güç olurken, başkaları bu alternatiflerden birini seçmeye odaklanıyor. Ankete katılanların çoğunluğu (80) bu ikilemden kaçınmak için üretim ve otomasyon sistemlerini değiştirmeyi tercih ederken, 40’ı siber güvenlik ayarlarını değiştirmeyi tercih ediyor. Öbür bir 44’lük kesim ise sorunun satıcı yahut güvenlik sağlayıcısında olduğuna inanıyor ve üretim süreçlerinin etkilenmemesi için güvenlik sağlayıcılarını değiştirmeyi tercih ediyor.

Şirketlerin uyumluluk sıkıntılarının gerisindeki muhtemel sebeplerden biri, operasyonel teknolojilerin (OT) yahut endüstriyel denetim sistemlerinin (ICS) yeniliğini yitirmiş olması ve yükseltilememesi halinde öne çıkıyor. Kuzey Amerika’daki yüksek teknolojiyle üretim yapan iştirakçilerden biri şunları söylüyor: “OT ve ICS ile ilgili en büyük meselemiz, sahip olduğumuz ekipmanın mevcut düzeyinin üzerine yükseltilememesi. Üreticiler mevcut sistemlerimize dair rastgele bir yükseltme sunmuyor. Korunmasız ve savunmasız kalmaya devam eden modası geçmiş platformlarda sıkışıp kaldık”. Sahiden de ankete katılanlara nazaran, ortalama bir endüstriyel tertibin OT ağlarındaki her altı adet son noktadan birini güncellemesi imkânsız durumda (16).

Kaspersky Endüstriyel Siber Güvenlik İş Geliştirme Müdürü Kirill Naboyshchikov şunları söylüyor: “Geçmişte mülk sahipleri, bir endüstriyel tertibin temel iş süreçlerinden sorumlu muhafaza ve otomasyon sistemlerinin, ekipmanın kullanım ömrü boyunca bozulmadan kalacağını ve mümkün ayar değişiklikleri dışında bunun onlarca yıl boyunca süreceğini varsayıyordu. Sistemleri bir bütün olarak devreye almak, rastgele bir değişiklik yapılacaksa test ve devreye alma sürecini yine eksiksiz olarak yapmak yaygın bir uygulamaydı. Fakat yeni kuşak dijital otomasyon sistemlerinin devreye girmesiyle, bunun artık geçerli olmadığı pek çok örnek var. Bu nedenle hem genel emelli hem özel bilgisayar tabanlı otomasyon sistemleri, güvenlik alt sistemleri, araçları ve süreçleriyle donatılmalıdır. Bu sistem, satıcı onaylı, bütünsel ve merkezi olarak yönetilen bir muhafaza sistemine sahip olmalı kalıcı güvenlik açığı izleme ve uyumluluk taraması sunmalı, ağa müsaadesiz giriş, anormallik tespiti, güncelleme, yama idaresi ve sürüm denetimi sağlamalıdır.”

Kaspersky OT/ICS muhafazasından ödün vermemek için aşağıdaki tahlilleri öneriyor:

• Ağ segmentasyonu ve erişim denetimi üzere OT/ICS güvenliği için temel siber güvenlik uygulamaları benimsenmelidir. Kritik güvenlik açıklarını ortaya çıkarmak için nizamlı olarak güvenlik kontrolü yahut sızma testi yapılmalıdır.
• İnsan yanlışından kaynaklanan akın risklerini en aza indirmek için çalışanlar ortasındaki genel güvenlik şuuru geliştirilmelidir. Özel kurslarla OT mühendislerinin güvenlik hünerlerini artırmak, muhafaza gayretlerini daha tesirli hale getirebilir.
• Endüstriyel denetim sistemleri (ICS) için, Kaspersky Threat Intelligence Portal üzere güvenlik açığı data tabanlarına sahip bir tehdit istihbarat hizmeti kullanılmalıdır. Bu hizmet, süreç ihtiyaçları, sistem sertifika gereksinimleri yahut uyumluluk problemleri nedeniyle yamalar şimdi mevcut değilse yahut yüklenemiyorsa, güvenlik açıkları ve hafifletici tedbirler hakkında bilgi toplayıp sunar.
• Farklı otomasyon satıcılarıyla entegrasyonları test etmiş, başarısı kanıtlanmış güvenlik tahlilleri tercih edilmelidir. Kaspersky Industrial CyberSecurity, 30’dan fazla endüstriyel sistem tedarikçisinin entegrasyonlarını test ederek OT/ICS ağları ve noktaları için güçlü muhafaza sağlıyor.

Kaynak: (BHA) – Beyaz Haber Ajansı