Tag: Bilgi Güvenliği

Burada çıkış noktası olarak bakmamız gereken ilk nokta OT envanteri:

Kaçımız elimizdeki OT envanterini %100 biliyor?

Cihazların fiziksel sorumluluğu kimde?

Sahiplik ve ekipman ile ilgili diğer sorumluluklar kimlerde?

Bunun cevabı farklı organizasyon yapılarında bakım olabilir, otomasyon olabilir, hatta operasyonel kullanıcılar, yani üretim gibi departmanlar olabilir.

Ama IT değil…

Dolayısıyla rollerin ve sorumlulukların doğru ayrılması gerekiyor.

Benim görüşüme göre OT’de siber güvenlik konuşuyorsak sorumluluğu IT’de olmalı, hem yakınsayan IT_OT domainleri bakımından, hem de IT’deki siber güvenlik tecrübesinin kullanılabilmesi için IT’nin bu görevi üstlenmesi mantıklı.

Fakat rollerin ve sorumlulukların doğru atandığı bir değişiklik yönetimi yapılmıyorsa bu süreci yönetmek çok zor.

Burada yine IT süreçleri işin içine giriyor. ITIL’ın hizmet geçiş süreçlerinden değişiklik yönetimi bu konu için biçilmiş kaftan.

Bu sürecin doğru kurgulanması ile organizasyonel yapıda ayrı bir OT departmanına gerek kalmıyor. Bir OT değişiklik yöneticisi, görevler ayrılığı ilkesine göre belirlenmiş paydaşlar ve doğru yönetilen bir süreç ile başarılı olunabilir.

Sadece mevcut kadro buna göre kurgulanmalı ve gereken teknik yetkinlikler ile donatılmalı, gerekiyorsa genişletilmeli.

OT Güvenlik Riskleri

Legacy OT sistemler satın alındığında güvenlik ya da IT-OT yakınsaması göz önüne alınmadığı için bugünün güvenlik bakış açısıyla analiz ettiğimizde kontrolsüz ve yönetilemeyen bir yapı oluştuğunu söyleyebiliriz.

Bunun sonucunda da otomasyonun kullanıldığı her sektörde güvenlik riskleri oluşmuş durumda.

Yönetilemez yapının en önemli sebebi yukarıda da bahsettiğim gibi OT envanterinin olmaması. Buna bağlı olarak da OT altyapısı:

1. Görünür değil
2. Ölçülebilir değil
3. Bunların sonucu olarak da yönetilemeyen ve iyileştirilemeyen bir yap var.

Kendinize şu soruları sormanızı istiyorum:

1. Kaç OT domaininiz var?
2. Bu domainler altında kaç OT cihazınız var?
3. Bu cihazların kaç tanesi güncel firmware ile çalışıyro?
4. OT cihazlarının arasındaki veri trafiği nasıl?
5. Hangi OT cihazları dışarısı ile haberleşebiliyor?
6. Hangi OT cihazlarına fiziksel bağlantı mümkün?
7. Hangi OT cihazlarında kötü niyetli yazılımlara karşı koruyucu bir yazılım var?
8. OT cihazlarınız nasıl bir ağ yapısında bağlı?
9. Bir OT güvenlik duvarı kullanıyor musunuz?
10. OT envanteriniz güncel mi?
11. Envanterinizdeki cihazlar ile ilgili güncel güvenlik zafiyetleri nele?

Bu sorulara cevap veremediğiniz sürece yönetilebilir ve sürdürülebilir bir altyapınız yok demektir ve ancak bu olgunluk seviyesine eriştikten sonra OT tarafında siber güvenlik anlamında bir sıkılaştırmaya gidebilirsiniz.

Tabii ki bunu yaparken uygulayacağınız basit bir risk yönetim süreci işleri hem daha görünür, hem de iyileştirme için daha kolay önceliklendirebilir kılacaktır. Açıklarımızın kullanılmasındaki olasılık ve etkinin operayonunuzu ne ölçüde etkileyeceğinin rakamsal bir değerini koyamadığınız sürece yönünüzün tayininde sıkıntıya düşmeniz kaçınılmazdır.

OT risk yönetimi yaparken dikkat etmeniz gereken konu IT’deki güvenlik risklerine ek olarak OT’nin fiziksel hasara çok daha açık olduğu gerçeğidir. Hatta pek çok durumda bu fiziksel hasarlar insan hayatı ile de ilişkilidir. Dolayısıyla risklerinizi belirlerken olası maksimum hasarın ekipman olmadığı, insan hayatının da işin ucunda olduğu gerçeğini asla gözardı etmeyin.

Güvenli günler dilerim!