Kaspersky Lab çözümleri tarafından korunan enerji kurumlarındaki endüstriyel kontrol sistemlerinin (ICS – Industrial Control Systems) yaklaşık yüzde 40’ı 2017’nin ilk yarısında en az bir kez zararlı yazılım saldırısına uğradı. Bunları yüzde 35,3 ile mühendislik ve ICS entegrasyon ağları takip ediyor. Kaspersky Lab’in ‘Endüstriyel Otomasyon Sistemleri için 2017’nin ikinci yarısındaki Tehdit Alanı’ adlı en son raporundaki en önemli bulgulardan biri olan bu oranlar, diğer sektörleri büyük ölçüde geride bırakıyor. Diğer sektörlerde ise ICS bilgisayarlarının ortalama yüzde 26 ile yüzde 30’u saldırıya uğradı. Tespit edilen saldırıların büyük çoğunluğunun kazara yapıldığı belirlendi.
Endüstriyel tesislerin siber güvenlik sorunları üretim süreçlerini etkileyip zarara neden olacak sonuçlara yol açabiliyor. Farklı endüstrilerin tehdit alanlarını analiz eden Kaspersky Lab ICS CERT, ICS bilgisayarlarının neredeyse tüm sektörlerde düzenli olarak siber saldırıya uğradığını tespit etti.
Ancak, bu konuda özellikle iki sektör öne çıkıyor: Enerji kurumları (yüzde 38,7), mühendislik ve ICS entegrasyon şirketleri (yüzde 35,5). Saldırıya uğrayan ICS bilgisayarı sayısının 2017’nin ikinci yarısında en fazla artış gösterdiği (2017’nin ilk yarısına kıyasla) sektör, yüzde 31,1 ile inşaat sektörü oldu. İncelenen diğer sektörlerde (üretim, ulaşım, kamu, gıda, sağlık, vb.) ise saldırıya uğrayan bilgisayarların oranı ortalama yüzde 26 ile yüzde 30 arasında değişti.
Uzmanlara göre enerji sektörü, otomasyon çözümlerini geniş ölçekli kullanmaya ilk başlayan ve bilgisayarların en çok kullanıldığı sektörler arasında yer alıyor. Son yıllarda gerçekleşen siber güvenlik vakaları ve hedefli saldırıların yanı sıra getirilen düzenlenmeler, güç ve enerji şirketlerinin siber güvenlik ürünleri kullanmaya ve operasyonel teknoloji (OT) sistemlerini koruyacak önlemler almaya başlaması gerektiğini ortaya koyuyor.
Modern güç şebekeleri, en yaygın endüstriyel nesne ağlarından biri. Ağa bağlı çok sayıda bilgisayar bulunması, Kaspersky Lab ICS CERT istatistiklerinin de gösterdiği gibi siber tehditlere olabildiğince açık olunmasına neden oluyor. Mühendislik ve ICS entegrasyonu şirketlerinde saldırıya uğrayan ICS bilgisayarlarının yüksek oranı da bir diğer ciddi sorun. Son yıllarda tedarik zincirlerine yönelik gerçekleştirilen yıkıcı saldırılar da bu sorunun ne kadar ciddi olduğunu gösteriyor.
İnşaat sektöründe saldırıya uğrayan ICS bilgisayarlarının oranının 2017’nin ikinci yarısında yüksek olması, bu kurumların da endüstriyel bilgisayarlarını koruma olgunluğuna sahip olmadığını gösteriyor. Bilgisayar destekli otomasyon sistemlerinin yeni olduğu bu kurumlarda, endüstriyel siber güvenlik kültürü henüz gelişme aşamasında.
ICS saldırılarının en az yaşandığı alan ise yüzde 14,7 ile ICS yazılımı geliştiren kurumlar oldu. Bu da, ICS Ar-Ge laboratuvarlarının, test platformlarının, demoların ve eğitim ortamlarının, endüstriyel kurumların ICS bilgisayarları kadar olmasa da saldırılardan nasibini aldığı anlamına geliyor. Kaspersky Lab ICS CERT uzmanları, ICS çözümleri satan şirketlerin güvenliğine de dikkat çekerek, satıcıların iş ortağı ekosistemine ve müşteri portföyüne yayılan bir saldırının, daha önce exPetr saldırısında görüldüğü gibi oldukça büyük etkileri olabileceğini belirtiyor.
Farklı sektörlerde saldırıya uğrayan ICS bilgisayar oranı*, 2017 1. yarı – 2. yarı karşılaştırması
Kaspersky Lab ICS CERT araştırmacılarının 2017’de keşfettiği yeni eğilimler arasında ICS’lere yapılan madencilik saldırıları bulunuyor. Bu saldırılardaki artış kripto para birimi pazarı ve madencilerinin genel olarak arttığı Eylül ayında başladı. Bu tip saldırılar endüstriyel şirketler için çok daha büyük tehdit teşkil edebiliyor. Bilgisayarlara büyük yük binmesiyle şirketin ICS bileşenlerinin çalışması olumsuz etkileniyor ve sistem kararlılığı azalıyor. Şubat 2017’den Ocak 2018’e kadar uzanan dönemde, endüstriyel otomasyon sistemlerinin %3,3’ü, çoğu kazara olmak üzere, kripto para madenciliği programlarının saldırısına uğradı.
Raporda öne çıkan diğer konular arasında şunlar yer alıyor:
- Kaspersky Lab ürünlerinin koruduğu ICS bilgisayarının yüzde 37,8’ine saldırı teşebüssü yapıldı. Bu teşebüssler engellendi. Bu oran 2016’nın ikinci yarısına göre 1,4 puan daha düşük.
- İnternet, saldırıların ana kaynağı olmaya devam ediyor. Saldırıya uğrayan ICS bilgisayarlarının yüzde 22,7’sinde kaynak internetti. Bu oran yılın ilk altı ayına kıyasla yüzde 2,3 daha fazla. Engellenen web kaynaklı saldırıların oranı Avrupa ve Kuzey Amerika’da diğer bölgelere göre daha düşük.
- ICS bilgisayarlarının en çok saldırıya uğradığı ilk beş ülkenin sıralaması 2017’nin 1. yarısından bu yana değişmedi. Bu ülkeler Vietnam (yüzde 69,6), Cezayir (yüzde 66,2), Fas (yüzde 60,4), Endonezya (yüzde 60,1) ve Çin (yüzde 59,5) şeklinde sıralanıyor.
- 2017’nin ikinci yarısında, otomasyon sistemlerine kurulu Kaspersky Lab çözümlerinin tespit ettiği zararlı yazılım modlarının sayısı 18.000’den 18.900’e yükseldi.
- 2017’de tüm ICS sistemlerinin yüzde 10,8’i botnet saldırısına uğradı. Makinelere bulaşan ve onları uzaktan komut çalıştırmak için bir botnet ağına dahil eden bu zararlı yazılımların ana kaynağı internet, çıkarılabilir medya ve e-posta mesajları oluyor.
- Kaspersky Lab ICS CERT, 2017’de endüstriyel sistemler ve Endüstriyel Nesnelerin İnterneti / Nesnelerin İnterneti (IIoT / IoT) sistemlerinde 63 adet açık tespit etti. Açıkların 26’sı üreticiler tarafından kapatıldı.
“Saldırıya uğrayan ICS bilgisayarlarıyla ilgili araştırmamızın sonuçları bizi şaşırttı. Örneğin, güç ve enerji şirketlerinde saldırıya uğrayan ICS bilgisayarlarının yüksek oranı, kurumların bazı ciddi sorunlar yaşadıktan sonra giriştiği otomasyon sistemlerini koruma çabalarının yeterli olmadığını ve halen siber suçluların kullanabileceği birçok açık bulunduğunu gösterdi.” diyen Kaspersky Lab ICS CERT Lideri Evgeny Goncharov, sözlerini şöyle sürdürdü:
“Genel olarak, ICS saldırılarında 2016’ya kıyasla az da olsa bir düşüş görüyoruz. Bu da muhtemelen, kurumların genel olarak ICS siber güvenliği ile ilgili durumlara daha fazla dikkat ettiğini gösteriyor. Kurumlar ağlar, eğitim ekipleri gibi endüstriyel segmentlerini denetlemeye başladı. Bu gayet iyi bir işaret çünkü şirketlerin ileride sorunlarla boğuşmaktansa proaktif önlemler alması önemli.”
Kaspersky Lab ICS CERT şu teknik önlemlerin alınmasını öneriyor:
- Kurumun endüstriyel ağındaki sistemlerin uygulama yazılımlarını, işletim sistemlerini ve güvenlik çözümlerini düzenli olarak güncelleyin.
- Uç router’larda ve kurumun OT ağlarında kullanılan portların ve protokollerin ağ trafiğini kısıtlayın.
- Kurumun endüstriyel ağında ve çevresindeki ICS bileşenlerin erişim kontrolünü denetleyin.
- OT ve endüstriyel altyapıyı rastgele siber saldırılardan korumak için ICS sunucularına, iş istasyonlarına ve insan makine arayüzlerine özel uç nokta koruma çözümleri kurun.
- Hedefli saldırılardan karşı daha iyi koruma için ağ trafiği izleme, analiz ve tespit çözümleri kullanın.