Page 18 - st-endustri-4.0-2022-mayis
P. 18
OT SİBER GÜVENLİĞİ VE IEC 62443
IEC 62443 standardı kuruluşların OT ağlarındaki en kritik riskleri ele alarak
güvenlik kontrollerini önceliklendirmek için risk tabanlı bir yaklaşım
uygulamalarına yardımcı oluyor.
iber güvenlik saldırılarının
artması ve jeopolitik konumu-
muzun neden olduğu artan
tehdit ortamı endüstriyel si-
S ber güvenliğin derinlemesine
ele alınmasını zorunlu kılmaktadır. Bu
alanda IEC 62443, endüstriyel otomas-
yon kontrol sistemleri (IACS) ve operas-
yonel teknoloji (OT) ortamlarında yaygın
olan siber güvenlik sorunlarının üstesin-
den gelinmesine yardımcı olmaktadır.
Endüstriyel ekipmanların gereksinimleri-
ni karşılamak için yıllar içinde inşa edilen
Uluslararası Elektroteknik Komisyonu
(IEC), risk ve tehdit faktörlerini göz önün-
de bulundurarak endüstriyel kontrol sis-
temleri (ICS) teknolojisine ilişkin olarak
endüstriyel sistemlere kapsamlı bir reh-
berlik sağlamaktadır. IEC 62443; kont-
rol sistemlerinden oluşan teknolojiyi ele
almanın yanı sıra endüstriyel süreçler,
karşı önlemler ve bu süreçlerde çalışan
personeli de kapsamına almaktadır.
SİBER GÜVENLİĞE RİSK TEMELLİ
YAKLAŞIM
Standart, tüm varlıkları eşit ölçülerde ko-
rumaya çalışmanın ne verimli ne de sür-
dürülebilir olduğu fikrine dayanan, siber
güvenliğe risk temelli bir yaklaşımı benim-
semektedir. Kurum hangi sistem ya da sü-
reçlerin kritik olduğunu ve en hassas ko- IDA Endüstriyel Yazılım ve Bilişim Teknolojileri Proje & Teknik Servisler Direktörü Aykut Aydoğdu
rumayı gerektirdiğini belirleyerek güvenlik
açıklarını tespit etmelidir. Bu adımdan
sonra, endüstriyel ağda bir siber saldırıyı bir yaklaşım getirmektedir. Bu yaklaşım, GÜVENLİK CİHAZLARIN VE
tespit etmek ve önlemek için derinleme- tanımlı SLT’ye karşı SLA (Hizmet Seviye- SİSTEMLERİN AKTİF OLARAK
sine savunma ve farkındalık oluşturarak si Anlaşması)’nızı iyileştirmenize yardım- YÖNETİLMESİNİ GEREKTİRİR
çok katmanlı koruma teknikleri gerekmek- cı olan güvenlik kontrollerini sağlamada Sadece izleme yeterli olmamaktadır.
tedir. Bu model, endüstriyel ortamın siber kritik öneme sahiptir. IEC 62443 uyum- Güvenlik, cihazların ve sistemlerin tasar-
güvenlik seviyesini güçlendirirken endüst- luluğu, İnsan-Süreç-Teknoloji yelpaze- landıkları şekilde güvenli olduklarından
riyel süreçlerde de iş sürekliliğinin sağlan- sinin tüm alanlarını kapsamayı gerektirir. ve güvenliğin zaman içinde sürdürüldü-
masına yardımcı olacaktır. Temel etken- Aslında, süreçlerin/prosedürlerin gerekli ğünden ve iyileştirildiğinden emin olmak
lerden birisi de sistem güvenlik açıklarını kılınması, varlık envanterlerinin sürdürül- için aktif olarak yönetilmesini gerektirir.
çevreleyen farkındalıktır. Bu farkındalığın mesi, güvenlik kontrollerinin uygulanması Elbette, izleme veya görünürlük önemli
oluşması OT sistemlerinin görünürlüğü ve tabii ki bunu yapacak kaynaklara veya bir bileşendir.
ile başlar. IEC 62443 kuruluşların OT ağla- ortaklara sahip olma gibi kurumsal yön- Ancak gerçek güvenlik düzeyinde iyi-
rındaki en kritik riskleri ele alarak güvenlik leri kapsamaktadır. Etkin bir güvenlik mi- leştirmeler elde etmek için kuruluşlar
kontrollerini önceliklendirmek için risk ta- marisine sahip olmak, kendisini belirli bir yamaları takip etmek, yapılandırmaları
banlı bir yaklaşım uygulamalarına yardım- varlık türünü hedeflemekle sınırlamaması güçlendirmek, kullanıcıları ve hesapları
cı olmaktadır. IEC 62443, farklı varlık gu- gerektiği anlamına gelir. Güvenlik bir kere- yönetmek, uç noktaları korumak için OT
rupları için farklı Güvenlik Düzeyi Hedefi lik değil, sürekli izlenmesi ve geliştirilmesi sistemlerini kapsayan Bilgi Güvenliği Yö-
(SLT) tanımlanabileceği ve ölçülebileceği gereken bir yatırımdır. netim Sistemlerini oluşturmalıdır.
