Category: Digital Transformation

Digital Transformation, Information Security, Information Technologies, Operational Technology

Operasyonel Teknolojilerin Yönetimi ve Güvenlik Riskleri

Burada çıkış noktası olarak bakmamız gereken ilk nokta OT envanteri:

Kaçımız elimizdeki OT envanterini %100 biliyor?

Cihazların fiziksel sorumluluğu kimde?

Sahiplik ve ekipman ile ilgili diğer sorumluluklar kimlerde?

Bunun cevabı farklı organizasyon yapılarında bakım olabilir, otomasyon olabilir, hatta operasyonel kullanıcılar, yani üretim gibi departmanlar olabilir.

Ama IT değil…

Dolayısıyla rollerin ve sorumlulukların doğru ayrılması gerekiyor.

Photo by Pixabay on Pexels.com

Benim görüşüme göre OT’de siber güvenlik konuşuyorsak sorumluluğu IT’de olmalı, hem yakınsayan IT_OT domainleri bakımından, hem de IT’deki siber güvenlik tecrübesinin kullanılabilmesi için IT’nin bu görevi üstlenmesi mantıklı.

Fakat rollerin ve sorumlulukların doğru atandığı bir değişiklik yönetimi yapılmıyorsa bu süreci yönetmek çok zor.

Burada yine IT süreçleri işin içine giriyor. ITIL’ın hizmet geçiş süreçlerinden değişiklik yönetimi bu konu için biçilmiş kaftan.

Bu sürecin doğru kurgulanması ile organizasyonel yapıda ayrı bir OT departmanına gerek kalmıyor. Bir OT değişiklik yöneticisi, görevler ayrılığı ilkesine göre belirlenmiş paydaşlar ve doğru yönetilen bir süreç ile başarılı olunabilir.

Sadece mevcut kadro buna göre kurgulanmalı ve gereken teknik yetkinlikler ile donatılmalı, gerekiyorsa genişletilmeli.

Photo by Nataliya Vaitkevich on Pexels.com

OT Güvenlik Riskleri

Legacy OT sistemler satın alındığında güvenlik ya da IT-OT yakınsaması göz önüne alınmadığı için bugünün güvenlik bakış açısıyla analiz ettiğimizde kontrolsüz ve yönetilemeyen bir yapı oluştuğunu söyleyebiliriz.

Bunun sonucunda da otomasyonun kullanıldığı her sektörde güvenlik riskleri oluşmuş durumda.

Yönetilemez yapının en önemli sebebi yukarıda da bahsettiğim gibi OT envanterinin olmaması. Buna bağlı olarak da OT altyapısı:

  1. Görünür değil
  2. Ölçülebilir değil
  3. Bunların sonucu olarak da yönetilemeyen ve iyileştirilemeyen bir yap var.
Photo by Pixabay on Pexels.com

Kendinize şu soruları sormanızı istiyorum:

  1. Kaç OT domaininiz var?
  2. Bu domainler altında kaç OT cihazınız var?
  3. Bu cihazların kaç tanesi güncel firmware ile çalışıyro?
  4. OT cihazlarının arasındaki veri trafiği nasıl?
  5. Hangi OT cihazları dışarısı ile haberleşebiliyor?
  6. Hangi OT cihazlarına fiziksel bağlantı mümkün?
  7. Hangi OT cihazlarında kötü niyetli yazılımlara karşı koruyucu bir yazılım var?
  8. OT cihazlarınız nasıl bir ağ yapısında bağlı?
  9. Bir OT güvenlik duvarı kullanıyor musunuz?
  10. OT envanteriniz güncel mi?
  11. Envanterinizdeki cihazlar ile ilgili güncel güvenlik zafiyetleri nele?

Bu sorulara cevap veremediğiniz sürece yönetilebilir ve sürdürülebilir bir altyapınız yok demektir ve ancak bu olgunluk seviyesine eriştikten sonra OT tarafında siber güvenlik anlamında bir sıkılaştırmaya gidebilirsiniz.

Photo by ThisIsEngineering on Pexels.com

Tabii ki bunu yaparken uygulayacağınız basit bir risk yönetim süreci işleri hem daha görünür, hem de iyileştirme için daha kolay önceliklendirebilir kılacaktır. Açıklarımızın kullanılmasındaki olasılık ve etkinin operayonunuzu ne ölçüde etkileyeceğinin rakamsal bir değerini koyamadığınız sürece yönünüzün tayininde sıkıntıya düşmeniz kaçınılmazdır.

OT risk yönetimi yaparken dikkat etmeniz gereken konu IT’deki güvenlik risklerine ek olarak OT’nin fiziksel hasara çok daha açık olduğu gerçeğidir. Hatta pek çok durumda bu fiziksel hasarlar insan hayatı ile de ilişkilidir. Dolayısıyla risklerinizi belirlerken olası maksimum hasarın ekipman olmadığı, insan hayatının da işin ucunda olduğu gerçeğini asla gözardı etmeyin.

Güvenli günler dilerim!

Digital Transformation, Information Security, Information Technologies

Security in the time of Corona

As the world is struggling with the Corona virus (COVID-19) pandemic, the security folks are struggling with something else: Securing the remote business… We have been so busy with securing our systems from the viruses that we could not see that a natural virus could cause more problems than the digital ones.

Working remotely was not an option for many companies or not for every position so most of the companies were caught off guard. Many of us were just not ready to transform the business this fast but it’s happening folks and here are some of the concerns you should take into consideration:

1. Security Issues on Mobile Devices

It’s easy to secure your employees’ devices when they are inside your network, under your firewalls but is it the same when they connect from home?

VPN is not the solution for every connection, what if the employee connects to some unsecure site, you never know. Things get more complicated when the employees use their own devices for work.

All you can do is to increase the awareness of the employees and put some strict rules for those you can control, such as strong password policies and access management.

Technology in the hands

2. Issues with Backup and Recovery

Data loss can be a huge problem for remote business and the problem is bigger if the employees are using their own devices for business.

There are quite good backup and recovery solutions in the market, you can use them secure the data in a centralized backup and recovery system or you can simply make the employees take their own local backups but being on cloud seems to be the best solution for this issue.

cloud-backup[1]

3. Issues related to Shadow IT

End-users usually tend to use their practical solutions and they use anything possible once they are out of your control.

Shadow IT has been a pain in the neck for many years, users want to use some free applications for which they have no idea of the security concerns.

It used to be easy when the only way to use an application was to install it on your computer and only IT could install software to the corporate PC’s but it is a dilemma when you can use cloud services from home.

The level of security awareness just becomes more important related to shadow IT solutions. End-users must think like security analysts when they are deciding to use an application other than the corporate’s assets and decide not to use if possible.

shadowIT-light[1]

There are many more security issues for remote business and it usually comes to the point where the end-users must be aware of the security risks and act accordingly.

Security awareness training programs must be updated with the use cases that we are facing at this coronavirus transformation and companies should invest more on training the employees in order to protect themselves.

Stay home, stay secure!

Digital Transformation, Information Security, Information Technologies

I’m speaking at CS4CA MENA Summit!

cs4ca cyber security for critical assets mena dubai erdem aksoy

The 4th in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global.

Digital Transformation, Information Security, Information Technologies

Endüstriyel Nesnelerin İnterneti ve Güvenlik Zorlukları

Henüz “Nesnelerin İnterneti” (IoT) için güvenlik sorunları çözülememişken IoT’nin endüstrinin içine girmesi ve uçtan uca etkileşimli üretim ağlarının doğal olarak kontrol edilemez bir biçimde büyümesi bizi yepyeni güvenlik zorluklarıyla karşı karşıya getirdi. Gelin bu zorlukları ana başlıklar altında özetleyelim:

Smart-Manufacturing-11[1]

Kesintisiz Ağ Hizmetinin Sağlanamaması

Üretim içerisindeki makine, ekipman, sensör, kontrol ünitesi vs. gibi pek çok nesnenin birbirine ve buluta bağlı (connected) olduğu, anlık veri toplama ve işleme yetkinliklerinin organizmanın parçaları olarak düşünüldüğünde herhangi birisinde veya tamamındaki kesintilerin organizmanın işleyişini bozduğu akıllı üretimde ağ hizmetinin önemi yadsınamaz.

IoT[1]

Yazılım Geliştirme Yaşam Döngüsündeki Sıkıntılar

Güvenliği geliştirme sürecine katmamış eski yazılımlar, alt seviyelerde iletişime geçen cihazlar, güvenlik protokollerinin olmadığı ya da uyumsuz olduğu sistemleri birbirine bağlarken SSDLC prensiplerine uygun geliştirme yapılmaması ya da yapılamaması da önemli bir açık. Ortak bir standardın olmadığı yapıları birbirine güvenli bir şekilde bağlamak her zaman kolay olmuyor. En zayıf halka gittiğinde yapının tamamının gideceği öngörülerek doğru yazılım geliştirme süreçleri uygulanmalı.

2947939151[1]

Yetersiz Değişiklik Yönetimi Uygulamaları

Uç noktalarda yapılan her değişikliğin kontrollü bir şekilde yapılması güvenlik açısından hayati önem taşımaktadır. Değişiklikleri kayıt altına alıp, analiz edip, yönetemeyen bir şirket üretim hattını kendi elleriyle tehlikeye atmaktadır.

change management process değişim değişiklik erdem aksoy

Yetersiz Risk Yönetimi Uygulamaları

Atılan her adımın risklerinin hesaplanmadığı bir ortamda yolumuzu çizmek ve izlemek imkansızdır, özellikle de endüstriyel IoT güvenliği gibi sağlam temellere oturmayan bir teknolojide.

RISK CONCEPT

Uç Noktaların İzlenebilirliği

Her ne kadar uç noktaları izleyebilen ve belirli bir seviyeye kadar güvenlik sağlayabilen sistemler olsa da üretim firmalarının bilinçsizlikleri sebebiyle bu yatırımları yapmadan dijitalleşmesinin getireceği zorlukla gün geçtikçe artmakta.

AdobeStock_201721018-696x425[1]

Tabii ki bu olası zorluklara ek olarak pek çok konu daha sıralanabilir. Kesin olan bir şey var ve maalesef o da üretim şirketlerinin gözleri kapalı olarak dijitalleştikleri.

Digital Transformation, Information Security

I’m speaking at CS4CA MENA Summit!

The 3rd in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global

Digital Transformation, Information Technologies

Geleceğin Şirketlerinde Teknolojinin Yeri

90’lı yıllar ile kendini iyiden iyiye hissettirmeye başlayan teknoloji şirketlerinin piyasadaki gücü, 2000’lerin başında tepeye oynamaya başlayan devleri çıkardı.

İnternet teknolojilerindeki gelişim ile mobil cihazların yayılması daha küçük şirketleri büyütürken, büyükleri ise listenin başına taşıdı.

İsterseniz aşağıdaki listeye bir bakalım. Listemiz 2001-2016 yılları arasında dünyanın en büyük 5 şirketinin değişimini gösteriyor.

Enerji, finans ve perakendeciliğin yanında Microsoft gibi bir devin ilk 5’te olduğu listede 2016’ya geldiğimizde 5 teknoloji şirketi görüyoruz.

Tech

Neden?

Çünkü dünya değişti. Günlük hayatımızın değişmez parçaları olan mobil cihazlar ve teknoloji, iş yapışımızdan eğlencemize, alışverişimizden ilişkilerimize herşeyin içine girdi.

Peki bu değişiklik nasıl oldu?

Teknoloji firmaları ürün ve hizmetlerini değişen dünyaya göre konumlandırabildiler çünkü dünyayı değiştiren onlardı, dolayısıyla bu konuda çok zorluk yaşamadılar.

Diğer sektörler ise teknolojiyi bir ihtiyaç olarak görüp kendilerini tüketici olarak konumlandırdılar, bu da teknoloji firmalarını büyütürken, her ne kadar büyük bir harcama kalemi olarak teknoloji çıkmış olsa da diğer sektörlerin maliyetlerini büyük ölçüde düşürdü.

Düşen maliyetler satış fiyatlarını düşürdü, teknolojisi daha iyi olan firmalar bir adım daha öne geçti derken artan tüketime rağmen diğer sektörlerin kazançları düştü, buna paralel yaptıkları teknoloji yatırımı ise arttı.

finans-1000x281[1]

Finans kurumları kendi iç dinamikleri sayesinde bu genellemenin dışında kaldı diyebiliriz ama geri kalan tüm sektörlerde teknoloji firmaları aslan payını kaparken eski dünyanın para getiren materyallerini üretenler yeni dünyada bir adım geride kaldılar.

Peki finans kurumları, özellikle bankalar neden bunun dışında kaldılar?

Aslında teknoloji yatırımları ilk başladığında bankalar da diğerlerinden çok farklı değildi. İleri gitmek için teknolojiyi kullanmaları gerektiğinin farkındaydılar fakat nasıl yapılacağını bilmiyorlardı. Önce satın alarak başladılar. Donanımda hala tüketici durumundalar ama yazılım satın alınarak kendilerine özel iç süreçler ile güvenlik gereksinimlerini yürütemeyeceklerini anlamaları uzun sürmedi ve hepsi birer yazılım şirketine dönüştü.

Banka deyince şube tabii ki aklımıza geliyor ama online işlemler ve ATM’ler artık hayatımızda daha fazla yer alan arayüzler. Kaldı ki sadece arayüzlerden bahsediyorum, bir de bunun arka planındaki sistemler var. İsterseniz aşağıdaki 2015 yılına ait grafiğe bir bakalım, yıllar içinde online bankacılık ile şubeden direkt bankacılık nasıl yer değiştirmiş görüyorsunuz:1533.M_Mobile_Banking_Exceeds_Branch_Banking[1]

Nesil değiştikçe aradaki makas daha da açılacak, unutmamak lazım ki hala online işlem yapamayan nüfusun oranı azımsanamayacak kadar fazla ve yeni yetişen nesil bebeklikten itibaren dijital dünyada.

Dediğim gibi, bankacılık sektörü kendi dinamikleri sayesinde günümüze daha kolay adapte oldu ve bankalar ürünü para olan teknoloji şirketleri oldular.

Diğer şirketler ise elle tutulan ürünleri üretirken hala tüketici olma durumunda kaldılar, ki bu da son zamanlarda adını çokça duyduğunuz Endüstri 4.0 devrimini doğuran ana sebeplerden biri oldu.

INDUSTRIE4.0[1].png

Teknolojiyi üretimi destekleyen bir araç olarak gören şirketler baktılar ki kendilerine teknoloji satan şirketler, kendi yapabildiklerinden daha iyisini yapabilecek kapasiteye gelmişler.

Teknolojiyi amaç edinen şirketlerin piyasadaki başarılarının sadece diğer şirketlere teknoloji satmalarından gelmediğini, kazançlarını ve teknolojik tecrübelerini farklı sektörlerin en iyisi olmak için kullandıklarını görmek için kahin olmaya gerek yok.

Yazılımdan kazandığı parayı otomotiv, güneş enerjisi ve uzay teknolojisine yatıran Elon Musk, her ne kadar PR konusundaki başarısı ile kendini sivrilten bir kişi olsa da, buna güzel bir örnek olarak verilebilir.

Şirketlerimizi geleceğe taşımanın yolunun farklı ürünler ya da hizmetler satan teknoloji şirketlerine dönüşmekten geçtiğini, fark yaratan teknolojileri kullanmadıkça rakiplerimizden ileri gidemeyeceğimizi anlamak, dijital dönüşümümüzün ilk adımı olarak ele alınmalıdır.

Future concept

Dijital dönüşümü yaparken amacı trendi yakalamak ya da dönüşümden ziyade eski iş yapış alışkanlıklarına destek olmak olanları bekleyen sonuç pek iç açıcı olmayacak, dijitalleşmeyi özümseyebilenler, teknolojiyi, bilişimi işlerinin bir parçası, hatta hammaddesi görenler ise yarınları görebileceklerdir.

Artık çekice sahip olmanın güce sahip olma devri geçti, o tarih öncesi çağlardan yakın çağa kadar olan zamandı. Endüstri 4.0’ı yani 4. sanayi devrimini konuşuyorsak çekiçten sonra gelen 3 sanayi devrimindeki eksiklerimizi kapatmalı ve bunu yaparken 4.’nün bize getirdikleri ile harmanlamalıyız.

375e0-199mcuorajql6b7ih-bugpa

Bunları yaparken bizi neler tetiklemeli ve bunlardan neler çıkarmalıyız?

  1. Dünyayı artık birbirine bağlı bir ağ olarak görmeliyiz. Bu ne mi demek? Yılın 365 günü, mekandan bağımsız, 7/24 connected” yaşıyoruz. Üretimden satışa herşeyin birbirine bağlı olduğu bir zincirde müşteri istediği yerden siparişini verip istediği zamanda, istediği yere teslim ettirebilir ve bunu tamamen birbirine bağlı sistemler sayesinde yapabilir. Geleceğin (hatta günümüzün) ihtiyacı bu yöndeyken ne yapıp da bu hizmeti tercih edilecek kalitede sağlayabiliriz bizlere kalmış.
  2. Nesnelerin İnterneti (Internet of Things, IoT): Cisco’nun tahminlerine göre 2020 yılında dünyada 50 milyar cihaz birbirine bağlı olacak, bu da bize her konuda çok büyük miktarlarda veri sağlayarak akıllı sistemlerin ve karar verme mekanizmalarının yaratılmasında yardım ettiği gibi, verimliliğimizi de arttıracak.
  3. İnovasyon her alanda hayatımızın bir parçası olacak! Küçük, çevik ve hedefe doğru yönlenmiş şirketler inovasyonla hızla büyüyebilecek.

Tabii ki bunların hepsi tek bir şartla olacak: Teknolojiyi işimizin çekirdeğine konumlandırırsak.

mobile-technology-2-1[1]

Yarınlar göründüğünden daha parlak, yeter ki teknolojiyi bir baston olarak görmeyelim, teknoloji yolumuz olduğu sürece önümüz aydınlanacak.

Unutmayın, günümüz dünyasında “Her şirket teknoloji şirketidir!”

Read it @medium

Digital Transformation, Information Technologies

Endüstri 4.0 Treninde Boş Koltuklar

Sanayi devrimlerini geriden takip etme alışkanlığı olan ülkemizde belki de ilk defa dünyaya bu kadar yakınız.

Diğer taraftan da bir o kadar uzak…

Son zamanların trendi “Endüstri 4.0” ile insandan bağımsızlığa doğru ilerleyen üretimin bizi nerelere götüreceğini merakla izliyoruz. Katıldığım seminerlerde herkes bir başarı hikayesi paylaşıyor ama gerçekte başarılan ne çok sorgulanmıyor.

Birinci sanayi devrimi buharlı makinelerle gerçekleşti, treni kaçırdık. Treni kaçırdık derken sözün gelişi değil, hakikaten buharlı trenlerle bile batıdan yıllar sonra tanışabildik.

Seri üretim ile gelişen ikinci sanayi devrimi de geç uğradı topraklarımıza, batılı ülkeler savaş teknolojilerini bile seri üretmeye geçtiğinde biz maalesef hala el işiyle, usta-çırak ilişkisiyle devam ettik. Sadece batı ilerlemedi bu devrimde, Japonya gibi doğu ülkeleri de çok iyi yerlere geldiler sanayide.

Bilgisayarların ve otomasyonun kullanıldığı üçüncü sanayi devrimi de geç geldi bize. Bize derken yerli üretimden bahsediyorum, topraklarımızda otomasyon vardı belli ölçüde ama çoğunluğu yabancı sermayeydi yakın zamana kadar.

Gelişmiş ülkeler otomasyonu olabilecek en üst seviyede uçtan uca sağlayacak duruma geldikten sonra daha fazla ne yapabiliriz sorusu gündeme geldi.

İşte dördüncü sanayi devrimi ya da popüler adıyla Endüstri 4.0 böyle doğdu. Bazıları için otomasyonun devamı ya da endüstri 3.5 olarak görülse de yapılanlar, aslında bunun bir adım ilerisine geçme potansiyeli ortaya çıktığı için 4.0 akımı başladı.

Ve belki de ilk defa zamanında tepki verdik ülke olarak bir teknolojik gelişmeye. Ne yazık ki altyapımız olmadan girdik yarışa ve yanlış stratejilerle ilerlediğimiz bu yarışta geride gidiyoruz ama çağın dinamikleri 50 ya da 100 sene önceki gibi değil, küçük gelişmelerle bir adım öne geçebilmek de mümkün bilgi çağında.

Peki neyimiz eksik diye baktığımızda temel olarak 3 ana sebep görüyorum:

  1. Otomasyon teknolojilerinde yetersizlik
  2. Bilişim teknolojilerinde yetersizlik
  3. İnsan kaynağında yetersizlik.

İlk 2 sebepten ilki olan otomasyon konusundaki yetersizliğimiz aslında üçüncü sanayi devrimini özümseyememiş ya da bu konuda yeterince yatırım yapmamış olmamızdan kaynaklanıyor. Şirketlere baktığımızda otomasyonun girebileceği pek çok süreç maddi kısıtlar yüzünden hala insana dayalı yürüyor. Zamanında otomasyon teknolojisi yurt dışından yüksek maliyetlerle geldiği için ucuz iş gücünün tercih edilmiş olması sebebiyle çağı yakalayamamışız. İşin kötüsü dışarıdan alamıyoruz, bari içeride geliştirelim diye de bir yatırım olmamış.

Buna paralel gelişmesi gereken bilişim teknolojileri altyapısı da eksik kalmış, otomasyonun bilişimi, bilişimin otomasyonu tetiklediği döngüye giremeyen şirketler otomasyonu bir alet olarak kullanmaktan ileri gidemezken, sadece masraf kalemi olarak görülen IT birimleri hazır yazılımlar ve platformların basit ama garanti çözümleri döngüsüne girerek yabancı menşeli firmalara kaynak akıtmış.

Bu ikisinin birleşiminde ortaya çıkıp, çoğu sanayi firmasında üst yönetimlerce hala fark edilemeyen 3. ve son sebep ise insan kaynağı eksikliği maalesef.

O kadar çalışanımız var diyenleri duyabiliyorum. Neden mi eksik insan kaynağı?

Çünkü doğru değil planlamamız.

Otomasyon kültüründen gelmeyen, bilişim teknolojilerine uzak çalışanlarla zaten endüstri 3.0’ı ucundan yakalayan bir iş yapış şekli var şirketlerimizin.

Bunlara ek olarak trendi yakalamak uğruna başlatılan Endüstri 4.0 projelerine ekstra kaynak ayrılmıyor. Üst yönetimler yıllardan beri süregelen IT yapar yanılsamasından sıyrılamayıp projeleri istiyor fakat proje için ekip oluşturulmuyor.

Ne mi oluyor bu durumda?

Üzerinde tam zamanlı iş yükü bulunan bir çalışan yeni teknolojileri öğrenip, geliştireceği ikinci bir görevin hakkını veremiyor. Aradaki açığı dışarıdan teknoloji alarak kapatmak ise uzun vadede maliyetleri artırırken çalışanların da yetkinlik kazanmasını engelliyor, şirketleri dışa bağımlı yapıyor.

Bu da bizi hedeften uzaklaştırırken başladığımız projeleri daha karmaşık bir sorun haline getiriyor.

Sorunun çözümü ise o kadar da karmaşık değil, insana yatırım yaparken kısa vadeli çözümler yerine biraz sabır göstermek yeterli.

Önce insan kaynağı oluşturulsun, işi dönüşüm olan bir ekip olsun ki bölünmeden, odaklı bir şekilde çözüme gidebilsinler.

Varsın 6 ay sonunda iş emirleriniz otomatik akmasın, bugüne kadar otomatik değildi de işler mi duruyordu?

Varsın üretimden topladığınız veri size bir sonraki arızanızı ne zaman yaşayacağınızı önceden söylemesin, bakımcılarınız belki bir süre daha eskisi gibi çalışırlar.

Kısacası ekibi oluşturduktan sonra onlara biraz da zaman verin. Dışarıdan aldığınız teknoloji günü kurtarır, kendi teknolojiniz yarını.