BiznetBiznet

Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 yılı Tahminleri

Yazar: Can Demirel

Endüstriyel Kontrol Sistemleri (EKS), siber güvenlik konusunda oldukça hareketli bir yılı geride bıraktı. 2017 yılı, yeni gelen yönetmelik ve düzenlemelerle devlet’ten özel sektöre kadar artan siber güvenlik farkındalığının yanı sıra yeni saldırı ve zararlı yazılımları da beraberinde getirdi. EKS tarafındaki Siber Güvenliğin, BT tarafına kıyasla henüz daha çok genç olduğunu düşünürsek, önümüzdeki yılın da en az bu kadar hareketli geçeceğini söyleyebiliriz. Bu nedenle, yıl boyunca  Türkiye, Avrupa ve Kuzey Amerika’dan elde ettiğimiz pazar yönelimleri bilgisi, uzman yorumları ve analist görüşlerini kendi uzmanlarımızın tahminleri ile birleştirerek önümüzdeki yıl bizleri nelerin beklediğini özetleyen bir tahmin raporu oluşturduk. Keyifli okumalar dileriz.

  1. Fidye yazılımları ve IT-OT yakınsamasından doğacak saldırılar artacak:

 2017 yılı içerisinde Dünya’da ve ülkemizde kritik altyapıların fidye yazılımları (ransomware) saldırılarından (WannaCry, Petya, NotPetya) etkilendiğini ve dünya üzerinde çok sayıda kritik işletmenin operasyonlarının durdurduğuna şahit olduk. Ek olarak IT-OT yakınsamasının kontrolsüz şekilde artması kritik altyapılar için yeni bir saldırı yüzeyi oluşturuyor. Saldırganların bu gerçeği fark etmiş olmasından dolayı, 2018 yılı içerisinde kritik altyapıların fidye yazılımlar ve bilenen zafiyetleri istismar eden sistem saldırılarından (Windows tabanlı  v.b) daha çok etkileneceği bir yıl olacağını söylemek yanlış olmayacaktır.

  1. EKS’ye özel zararlı yazılımlar artış gösterecek:

 STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE ve son olarak Aralık ayı’nda gündeme gelen TRITON/TRISIS/HATMAN gibi endüstriyel kontrol sistemleri bileşenlerini doğrudan  hedef alan zararlı yazılımlar ve buna bağlı güvenlik olayları 2018 yılında daha da artış gösterecek.

  1. Ulusal seviye aktörlerin rolü artacak:

 Endüstriyel Kontrol Sistemlerine yönelik özelleşmiş zararlı yazılımların genellikle devlet destekli (state-sponsored) aktörler tarafından desteklendiği veya koordine edildiği görülüyor. 2018 yılı içerisinde ulusal seviye aktörlerin daha ofansif faaliyetler göstereceği bir yıl olacağını bekliyoruz.

  1. İşletmeler için uçtan uca güvenlik gereksinimi doğacak:

Endüstriyel kontrol sistemlerinin güvenliği birçok işletme için yeni bir kavram ve işletmeler genellikle bu konuda stratejik yol haritasını oluşturmakta zorlanıyor. Bu sebeple 2018, şirketlerin olası tüm siber risklerini minimize etmek için bilgi güvenliğinde büyük resmi tamamlayacak şekilde kendi bünyelerindeki IT güvenlik birimlerini, OT güvenliğini de ele alacak ve o konuda da önlemler geliştirecek bir yapıya kavuşturacaklarını ön görüyoruz. Bu öngörünün bir yansıması olarak da hizmet ve ürünlerle birlikte uçtan uca güvenlik önlemlerinin alınmaya başlayacağı, IT ve OT güvenliğinin birlikte değerlendirileceği bir yıl olacak. Özellikle OT tarafında ağı tanıyan, izleyen ve sıradışı durumlarda alarm üreten çözümlerin ön plana çıkacağını düşünüyoruz.

  1. Güvenli tasarım ihtiyaçları öne çıkacak:

İşletmeler ve üreticilerin, güvenli tasarım prensiplerini benimseyip 2018 yılında daha güvenli mimariler kurmak için harekete geçeceği bir yıl olacak. Diğer bir deyişle, altyapı mimarilerinin proje aşamasında ve erken evrelerde güvenlik düşüncesi katılarak tasarlanmaya başlandığı bir yıl olacak.

  1. Tedarikçi güvenliği gereksinimleri artacak:

İşletmelerin kendi altyapılarına ek olarak, işletme operasyonlarına destek veren tedarikçileri (danışmanlar, olay müdahale ekipleri, bakım-onarım ekipleri gibi)  için de siber güvenlik önlemlerini arttıracağı ve hatta zorlayacağı (enforcement) bir yıl olacağını ön görüyoruz. Bunun ne büyük nedenlerinden biri de son yıllarda yaşanan ihlallerin büyük bir kısmının tedarikçilerin kullandığı sistemler üzerinden gerçekleşmiş olması.

  1. Regülasyonların sayısı ve kapsamı artacak:

Ulusal ve uluslararası standart ve regülasyonların halen kritik altyapıların korunması için yeterli düzeyde olmadığı görülüyor. Özellikle Avrupa Birliği ve ülkemizde regülasyon kapsamı ve etki ettiği alanların artmasını bekliyoruz. Regülasyon gerekliliklerini karşılamak için, işletme sahiplerinin daha fazla risk değerlendirmesi, güvenlik denetimi ve saha çalışması yapması gerekeceğini tahmin ediyoruz.

  1. Kötü niyetli saldırganlar iyi niyetli araştırma sonuçlarından yararlanacak:

Güvenlik araştırmacılarının yayınladıkları zafiyetler ve endüstriyel kontrol sistemlerine yönelik araştırma çıktıları, bu konuda kendini geliştirmeye çalışan saldırganlar tarafından daha fazla istismar edilecek ve kötü niyetli amaçlar için kullanılacak.

  1. Kara borsa’da (black-market) EKS zafiyetleri daha popüler olacak:

Siber kara borsa’da EKS zafiyetlerine olan talebin arttığını görüyoruz. Bu alanda yeni ve spesifik bir pazar oluşmaya başlayacak, EKS zafiyetleri ve EKS zararlı yazılımlarının alım-satımı daha da popüler hale gelecek.

  1. Yetkin uzman ihtiyacı artmaya devam edecek:

Endüstriyel Kontrol Sistemleri’ne hâkim siber güvenlik uzman ihtiyacı, artan tehditler, regülasyonlar ve IT-OT yakınsaması sebebiyle artmaya devam edecek. Hali hazırda işletmeler bu açığı kapatmak için BT siber güvenlik uzmanlarını bu alana yönlendirmeye çalışsa dahi mevcut siber güvenlik uzmanlarının da sayısının yetersiz oluşu, bu alandaki ihtiyacı daha da dramatik hale getirmeye başlayacak.

  1. İşletmelerde organizasyonel değişiklikler yaşanacak:

2018 yılı itibarıyla işletmelerdeki siber güvenlik sorumluluk paylaşım problemlerini gidermek için ortak kadroların kurulduğu organizasyonel değişikliklerin yaşanmasını bekliyoruz. İşletme içerisinde IT ve OT birimlerinin aynı dili konuşabilmesi için her iki kültürü bilen ve köprü görevi üstlenecek yeni birimlerinin oluşmaya başlayacağını tahmin ediyoruz.

  1. EKS Siber Güvenlik girişim ekosistemi büyümeye devam edecek:

2017 yılı, OT güvenlik girişimlerinin ciddi yatırımlar aldığı bir yıl oldu. 2018 yılının da daha fazla girişimin farklı sorunlara çözümler geliştireceği ve yatırım alacağı bir yıl olacağını düşünüyoruz. Özellikle OT güvenlik girişimlerinin, genel güvenlik yatırımları arasında yüzdesini arttıracağını öngörüyoruz.

  1. İkili iş birlikleri ve satın almalar artarak devam edecek:

2017 yılı, EKS altyapı üreticilerinin, siber güvenlik çözümlerini satın alma yolu ile bünyelerine kattığı bir yıl oldu. 2018 yılında büyük oyuncuların kendi birimlerini güçlendireceği ve yatırımlarını arttırmaya devam edeceği öngörülüyor. Bununla birlikte danışmanlık firmaları, OT ve IT güvenlik tedarikçileri arası ikili iş birliklerinin artmaya devam edeceği bir yıl olacak. 

  1. Fiziksel güvenlikte yeni yaklaşımlar doğacak:

Kritik altyapılarda adreslemesi gereken yeni fiziksel güvenlik konularının, tartışılmaya başlandığı bir yıl olacağını düşünüyoruz. Hatta, hassas işletmeler için drone koruması gibi yeni nesil fiziksel koruma önlemleri çok daha fazla gündeme gelecek.

  1. EKS siber güvenlik sigortası yeni bir pazar oluşturmaya başlayacak:

Özellikle Kuzey Amerika’da, kritik altyapılara siber güvenlik sigortasının yapılması konusu gündemi meşgul etmeye devam edecek gibi görünüyor. Buradan doğan trend ile bu konunun Avrupa’da da artarak konuşulmaya devam edeceğini öngörüyoruz.

  1. Bilgi paylaşım platformları ve güvenlik kümelenmelerine olan ihtiyaç artmaya devam edecek:

EKS özelinde Kuzey Amerika ve Avrupa Birliği içerisinde belirli bir olgunluğa erişmiş kümelenme ve bilgi paylaşım platformlarının, ülkemizde 2018 yılından itibaren daha ön plana çıkmasını bekliyoruz ve umut ediyoruz.

  1. Siber Milliyetçiliğin öne çıkacağı alanlardan biri de EKS olacak:

Kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyeti, 2017 yılında dünya çapında hızla yükselen trendlerden biri oldu. Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketleri etkilendi. Bu yaklaşım sadece yeterli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji, kendi teknolojisine üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesi gerekecek. Kritik altyapıların ekonomi ve ulusal güvenlik bakış açısıyla çok önemli olmasından dolayı Siber Milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS Siber Güvenliği olacağını öngörüyoruz. İyi tarafından bakacak olursak milli yazılım inisiyatifinin teşvik edildiği bu dönemde, söz konusu gelişmeler ülkemiz için de bir fırsat olabilir.

can.demirel
Yazar: can.demirel