İmalat, petrol ve gaz, elektrik üretimi ve dağıtımı, havacılık, denizcilik, demiryolu ve kamu hizmetleri dahil olmak üzere çeşitli endüstrilerde kullanılan operasyonel teknolojilerin bilgi teknolojileri ile entegre edilmesi sonucu ortaya çıkan güvenlik zafiyetleri siber saldırganların yeni hedeflerinden biri haline geldi.
Teknoloji alanında dünya genelinde yaşanan gelişmeler insanların hayatlarını kolaylaştırdığı gibi yeni siber güvenlik risklerini de beraberinde getiriyor. Siber saldırganlar da son yıllarda bu yeni riskleri hedef almaya başladı. Bu kapsamda; fiziksel süreçleri, cihazları ve altyapıyı izlemek, kontrol etmek için kullanılan donanım ve yazılımları oluşturan operasyonel teknolojileri siber saldırganların yakın markajına girdi. Operasyonel teknolojilerin bilgi teknolojileri ile entegre edilmesinin ardından yaşanan bazı güvenlik zafiyetleri ise finansal kayıplarla birlikte can güvenliği kayıplarına kadar uzanan bir dizi olumsuz sonucu da beraberinde getiriyor.
Konu hakkında açıklamalarda bulunan İnfrasis Siber Mühendislik Genel Müdürü Can Sobutay, operasyonel teknolojilerin kritik altyapının (CI) izlenmesinden, bir üretim katındaki robotların kontrol edilmesine kadar çeşitli görevleri yerine getiren varlık yoğun sektörlerde geniş bir yelpazede bulunduğunu anımsattı. Sobutay, operasyonel teknolojilerin imalat, petrol ve gaz, elektrik üretimi ve dağıtımı, havacılık, denizcilik, ve demiryolu dahil olmak üzere çeşitli endüstrilerde kullanıldığını belirtti.
Günümüzün giderek daha fazla birbirine bağlanan dünyasında etkin bir şekilde çalışmak isteyen pek çok işletmenin, bilgi teknolojileri ve operasyonel teknolojilerini entegre ettiğini aktaran Sobutay, “Bu eğilime paralel olarak, daha önce birbirinden izole olan cihaz ve sistemlerde bilinen güvenlik zafiyetleri artık işletmeler için daha büyük bir risk oluşturuyor. Riskler, olası finansal kayıplar ve çalınan veriler, toplumsal düzene yönelik aksaklıklar ve can güvenliğine yönelik tehditler. Siber saldırganlar, kullanıcıları tehlikeye atmak için kimlik avı e-postaları gibi kanıtlanmış taktikler kullanarak bir ağa girebilir, eski bir işletim sistemine sahip bir cihazda bir dayanak noktası oluşturabilir ve oradan bilgi çalmak veya fidye saldırıları için zemin hazırlamak için ağ içinde yatay olarak hareket edebilir” diye konuştu.
Endüstriyel fidye yazılımlarının hedefi: Basra Körfezi ülkeleri
Araştırmaların fidye yazılımı saldırılarının çoğunlukla ABD, Almanya, Fransa, Japonya ve Hindistan gibi büyük sanayi merkezlerini hedef aldığını ortaya koyduğunu anlatan Sobutay, “Dünya ekonomisinin enerji üretim merkezleri olan Basra Körfezi ülkeleri de endüstriyel fidye yazılımlarının hedefi oldu. Bu coğrafi hedeflemenin önümüzdeki yıllarda da devam edeceğine inanıyoruz. Ancak jeopolitik gerilimlerin artması durumunda operasyonel teknoloji sistemlerine yönelik saldırıların daha ciddi hale gelmesini bekliyoruz” dedi. Sobutay, olası güvenlik risklerini en aza indirmek için; üretim katından işletmeye kadar tüm güvenlik yaşam döngüsünü göz önünde bulunduran kapsamlı bir siber güvenlik stratejisinin gerektiğini vurguladı.
“Hasarı azaltmanın tek yolu onu önlemek”
“Günümüzün değişken siber güvenlik ortamında, kritik altyapı operasyonlarına yönelik hasarı azaltmanın tek yolu onu önlemek” ifadelerini kullanan Sobutay, “Tehdidi sistemlere girdikten sonra tespit etmeye çalıştığınız reaktif bir yaklaşımdan proaktif bir yaklaşıma geçmek gerekiyor. Çünkü endüstriyel ortamda tehdit zaten orada olduğunda, ‘oyun biter’ ve durdurulan üretim açısından maliyetler ve ayrıca insan güvenliğine yönelik yüksek risk çok önemli ve ciddi hale gelir. Bugün piyasadaki çoğu operasyonel teknoloji güvenlik çözümü reaktif paradigmaya odaklanmıştır. Bunun temel nedeni ise geleneksel bilgi teknolojileri güvenlik kavramlarından tasarlanmış olmaları. Bu çözümler, güvenlik olaylarını gerçekleştikten sonra algılar ve yanıt verir. Saldırılar genellikle yüksek hasar verildikten sonra tespit edilir ve saldırı, insanların gündelik hayatını kesintiye uğratabilir ve hatta can güvenliğini riske atabilir. Daha fazla dijitalleşmeyi zorlamadan önce, kuruluşunuzun sistem ve süreçlerinin mümkün olduğunca esnek ve güvenli olduğundan emin olun” dedi.
“Önce uygulama, sonra güvenliği” sorunu
“API’ler (Uygulama Programlama Arayüzü) mobil siparişten, envanter ve sipariş durumunu kontrol etmeye, depodan teslimata ve gönderileri izlemeye kadar her şey için kritik bileşenler” açıklamasını yapan Sobutay, “Sorun ise API güvenliğinin genellikle sonradan düşünülmesi. Şirketler, uygulamalarının ve API’lerinin envanterini çıkarmalı, hepsinin modern süreçler ve savunma teknolojileriyle korunduğundan emin olmak için güvenlik stratejilerini yeniden kalibre etmeli” diye konuştu.
CEO’lar, kişisel olarak sorumlu olacak
Gartner’ın ölümcül kayıplarla sonuçlanabilecek siber fiziksel sistem saldırılarının mali etkisinin 2023’e kadar 50 milyar doları aşacağını tahmin ettiğini vurgulayan Sobutay, “İnsan hayatının değeri hesaba katılmasa bile, kuruluşlar için tazminat, dava, sigorta, düzenleyici cezalar ve itibar kaybı açısından maliyetler önemli olacak. Gartner, 2024’te CEO’ların yüzde 75’inin siber-fiziksel güvenlik olaylarından kişisel olarak sorumlu olacağını öngörüyor. Bu tahmin, operasyonel teknoloji ortamlarında siber güvenliğin durumunu kökten değiştirme potansiyeline sahip. Bu yılın ilk çeyreğinde, 14 endüstriyel şirketin ve kritik altyapı sitelerinin operasyonları siber saldırılar nedeniyle kesintiye uğradı. 2020’nin 4. çeyreğine kıyasla yüzde 200 artış yaşanmış” dedi. “Endüstriyel şirketler için bir siber saldırıdan kurtulma süresi ortalama 17 gün” diyen Sobutay, “Kesintiye uğrayan her gün için 250 bin dolarlık mütevazı bir tahminde bulunsak bile, milyonlarca maliyete bakıyoruz” açıklamasını yaptı.
Kamu hizmetlerini hedef alan bazı endüstriyel siber saldırılar
Kamu hizmetlerini hedef alan en son endüstriyel siber saldırılar da artışa geçti. Bu kapsamda “Brezilya Yakıt Distribütörü Ultrapar”, “Florida Su Arıtma”, “İran Demiryolları”, “Hindistan Elektrik Sektörü”, “Devlete Ait Brezilya Enerji Kuruluşu’na (Copel)” en son endüstriyel siber saldırılar arasında yer aldı.