Page 50 - st-endustri-4.0-2018-subat
P. 50
DOSYA l SİBER GÜVENLİK
açık hale gelebileceğini de gösteriyor. Bu
sürece nasıl hazırlanılmalı?
Son 10 yıldaki “teknoloji itici öncüleri
arasında yer alan “IoT ve Cloud Com-
puting” Endüstri 4.0 dünyasını yakından
ilgilendiriyor. CEO’lar bunu iki şekilde
kullanıyor. İlk olarak iç otomasyon ve
verimliliği artırıyorlar. İkincisi ise müşte-
rileri ya da 3.Taraf ile “bağlantı” yı ar-
tırıyorlar. Bunun sonucu olarak meydana
gelebilecek “Stratejik Tehdit” sahadaki
işlerin durmasıdır. Bu süreç, tedarik zin-
ciri dağıtımının durması, satış ve kritik rına kurulmuş dev bir üretim tesisinde, lar öncesinde Aon gibi riske odaklı şir-
altyapılara doğru gidebilir. o bölgeden istihdam edilen arkadaşların ketlerden danışmanlık almanın ne kadar
İstanbul’daki arkadaşlara göre daha az zaruri olduğunu göreceklerdir.
Bu alanda yaşanmış vakalardan birisi şanslı ve tehdit bilinçlerinin daha geride Şirketler çoğu zaman Türkiye’de zaten az
Maersk örneğidir. TOS (Terminal Ope- olduğu varsayımından yola çıkarsak “eği- sayıda olan IT elemanlarını istihdam et-
rating System: Terminal İşletim Sistemi) tilmiş insan” çok önemli bir parametre mek için yüksek bedeller ödeme imkanı-
adında özel bir yazılım ailesi var ve bü- haline geliyor. Zamanında güncellenme- na sahip değiller. Bu nedenle endüstriyel
yük konteyner terminalleri bu yazılımları yen yamalar hacker’lara tehlike açıkları üreticilerin, piyasada bu servisleri veren,
kullanır. NotPetya saldırısında küresel sunuyor. Sistemleri kullanan insanların aradığında hemen gelip şirket yapısına in-
çapta 70’e yakın limanlarındaki TOS’ları siber tehlike algılarının düşük olmasından tibak edecek firmaların olduğunu bilmesi
durdurduğu için Maersk, 300 milyon euro dolayı bu tür açıkları kullanan “sosyal
zarar açıkladı. mühendislik” tarzındaki saldırılar çokça gerekiyor.
Dolayısıyla endüstri 4.0’a geçilirken, oluyor. Algı seviyesi çok daha yüksek Teminata Dayalı Sözleşme servisinizi ve
güvenliğe odaklanmış bir lidere ve müm- olması gereken önemli şirketlerin C- se- avantajlarını öğrenebilir miyiz?
künse takıma ihtiyaç var. viyesindeki yöneticilerinin dahi dikkat- Diyelim ki karşımızda boru üreticisi bir
Peki yazılımların hiç yamaya gerek kal- sizliğini kullanacak saldırılar olabiliyor. firma var ve çok güçlü. Başına bir şey
madan tasarlanıp piyasaya sunulması gelirse yardım alması gerektiği bilinci-
mümkün değil mi? Böyle bir örneği otomotiv sektöründe, ne ulaşmış. Siber Güvenlik projelerinde,
Endüstri dünyasında ürün tasarlanır, her dünyadaki 10 büyük OEM’e parça ve- normal hayatta bir firma ile birlikte ça-
türlü güvenlik unsuruna karşı durumu ren bir müşterimizin üst yönetiminden lışalım dediğimizde gizlilik anlaşmaları,
belirlenip o şekilde satılır. Bir araba al- doğrudan naklediyorum. OEM’den şir- kontrat vs. nedeniyle en az 2 aylık bir sü-
mışsanız, – genelde – o arabayı artık se- kete gelen ödemeler bir anda duruyor. 1
nelerce kullanırsınız. Bir sene sonra daha ay bekliyorlar, 2 ay bekliyorlar ödeme reçten bahsedersiniz. Endüstriyel firma-
büyük bir yakıt deposu, daha güçlü bir yok. OEM Avrupa Merkezi ile iletişime lar başlarına bir şey geldiğinde anında ak-
motor, altıncı bir vites takılmaz. geçiyorlar, karşı taraf ödemelerde hiç ge- siyon almak istediklerinde “Mücadele”,
Oysa yazılım dünyasında işler hiç de öyle cikme yapmadıklarını söylüyor. Bu defa servisi içinde Teminata Dayalı Sözleşme
gelişmiyor. Önce yazılım satılıyor ancak müşterimiz hemen alarma geçiyor, görü- uygulamamız var. “Gel önceden, gizlilik
mal satıldıktan sonra da tasarıma devam yorlar ki hack’lenmişler, muhasebeye ge- anlaşmamızı imzalayalım. Önceden, sis-
ediliyor. Çoktan satın aldığınız bu ürün, len mailler direkt hacker’lara yönlendiril- teminizde işleri durduracak en kritik kı-
yeni versiyon ile, ya da yüzlerce yama miş, onlar da araya girerek Brüksel’deki sımları çalışalım. X TL kadar teminat ver,
ile “gelişmeye” devam ediyor. Böyle OEM’e; “Banka numaramız değişti, yeni 3 senelik anlaşma yapalım, bir saldırıya
çalışan başka bir endüstri yok. Endüstri banka numaramız bunlardır” diye farklı maruz kaldığını anladığın zaman 8 saat,
dünyasının mantığı ilk gruptaki gibi ça- hesap numaralarını yollayarak ödemeleri
lışıyor. Yazılım mühendislerinin kafaları kendilerine yönlendirmişler. Karşınızda 16 saat veya 24 saat içinde ekibimiz gele-
ise ikinci duruma alışık. Endüstri 4.0’da bir dünya devi var nihayetinde; “belki cek ve ben o zaman bu teminat’ı kazana-
sistem kurarken yazılım endüstrisinin de Türkiye’deki firmanın içinden birisi cağım” anlamına gelen bir servis.
kültürünü hiç unutmamak gerekiyor. “Al- çalmış olabilir” düşüncesinden hareket Türkiye’nin hangi coğrafyasında çalıştı-
dığımız yazılımlar test edilmiştir, hiçbir ediyorlar ve hemen “ Adli Soruşturma” ğına bağlı olarak siber tehlikelerle sava-
açığı yoktur” şeklinde düşünmemeli. devreye giriyor. Dışarıdan bir müdahale şacak önleyici iş gücünü kurmak müm-
Sonradan sunulan yamaların zamanında olduğu anlaşılıyor ve sonuçta müşterimiz kün olmayabilir. Bu durumlarda Aon gibi
güncellemeleri yapılmadığından sistem- uzun yıllara dayalı partnerliğinin de sonu- firmalarla böyle bir anlaşmaya girmesi
ler saldırılara açık kalıyor. İnsan faktörü cu olarak parasını alabiliyor. çok faydalı.
ne kadar önemli bu noktada? Nasıl eği- Aon Global Risk Yönetimi Anketi Marka itibarını korumak, işlerinizi ke-
tilmeli? Raporu’nda Siber Riskler 5. sırada yer
Özellikle bankacılık sektöründe bilinç aldı. 2020 öngörülerinde de 5. sırada. As- sintisiz sürdürmek istiyorsanız, savunma
daha yüksek. Bunda istihdam edilen iş- lında tehlike geliyorum dedi. WannaCry kültürünü oluşturmak, yapmanız gereken
gücünün eğitimi ve yüksek algısı da et- ve NotPetya saldırılarının farklı şekilde bir zorunluluk haline geliyor. Çünkü iti-
ken. Öte yandan, mesela hammaddeye şirketlerin bünyesine sirayet ettiklerini barı oluşturmak 40 yıl ama kaybetmek 5
yakın olmak için Anadolu’nun bir kena- görüyoruz. Endüstriyel şirketler, saldırı- dakika.
48 | ST ENDÜSTRİ 4.0 ŞUBAT 2018
