siber  güvenlik




        OT ‘NİN DEĞİŞİME KARŞI
        DOĞAL DİRENCİ
        OT ağlarından sorumlu olanlar
        her zaman IT bölümünden yardım
        almazlar. Eğer bir şey işe yarıyorsa
        ve kesintisiz üretimin sağlanması için
        gerekliyse, eski ve iyi korunmamış
        olsa dahi genel cevap “Dokunma”dır.
        IT’nin tesise getirmek istediği araçlar
        ve daha üst sürümler eski ekipman
        ve yazılımlara uygun olmayabilir ve
        üretim kesintilerine hatta güvenlik
        tehlikelerine sebep olabilir. Öte
        yandan, kötü amaçlı yazılımlar da   Şekil 2: IEC 62443-3-3 ‘teki tanımlara dayalı güvenlik düzeyleri
        aynı şeylere sebep olabilir, dolayısıyla
        IT müdahale etme ihtiyacı hisseder.
        Ancak, OT güvenliğini artırmak      zorlayıcı bir iştir. Bu konuyu      uygulamalardaki kusurlar sebebiyle
        için IT güvenlik teknolojisi ve     birazdan daha ayrıntılı açıklayacağız.  riskleri tespit edemeyebilir.
        politikalarını OT ortamına aktarmak   • Sınırlı OT güvenliği uzmanlığı   • Güvenlik standartlarına uyulması:
        işe yaramaz, çünkü IT güvenliği     ile risk yönetimi - Güvenlik        Her seferinde tekerleği yeniden icat
        farklı gereksinimler ve önceliklerle   önlemlerinin uygulanmasının ve   etmeye kıyasla, güvenlik programını
        çalışır. IT, endüstriyel kontrol    yönetiminin, 20 yıldan uzun süren   daha etkili ve basit bir hâle getirdiği
        sisteminin, tesisin beyni olduğunu   tesis yaşam döngüsü boyunca devam   için, mevcut güvenlik standardına
        anlamalıdır. Sistemin emre amadeliği,   etmesi gerekirken, güvenlik ekipleri   uygunluk faydalıdır.
        dayanıklılığı ve sürdürülebilirliği   genellikle güvenlik personeli ve   • Sistematik bir proses
        aynı zamanda güvenliği, operasyonel   uzmanlık eksikliği ile karşı karşıya   oluşturulması: OT güvenliğine
        maliyeti ve iş performansını etkiler.   kalmaktadır.                    yönelik kalıcı bir operasyonel risk
        Dolayısıyla endüstriyel kontrol                                         yönetimi oluşturmak için kuruluşlar
        sisteminin performansına müdahale   RİSK TABANLI YAKLAŞIM               sistematik bir prosese uymalıdır. Bu
        eden her şey şirketi, üst yönetimi ve   Riski azaltmaya yönelik iki genel   risk yönetimi süreci, kısa ve uzun
        paydaşları etkiler.                 yaklaşım vardır. Olgunluk tabanlı   vadeli konuları içeren stratejik bir
                                            yaklaşım, her şeyde en üst düzey    faaliyettir. Bu nedenle, sürekli risk
        Bu durum ışığında, güvenlik riski   savunma oluşturur. En kapsamlı      güvencesini sağlamak için stratejik
        yönetimi, ciddi zorluklara rağmen   olanıdır, ancak çok pahalıdır. Risk   risk yönetimi planlaması gereklidir.
        kuruluşlar ve sorumlu ekipler için en   tabanlı yaklaşım, en çok ihtiyaç
        önemli önceliktir:                  duyulduğu zamanlarda risk           GÜVENLİK STANDARTLARI
        • OT varlıklarının düşük            azaltılmasına yönelik savunma       Az önce de belirtildiği gibi, riske
        görünürlük riskinin                 katmanlarını optimize etmektedir. Bu   dayalı güvenliğin önemli bir unsuru
        değerlendirilmesi - Tesisler yıllar   bazı kapsamlardan fedakârlık eder,   ilgili standartlara uymaktır. Örneğin
        içinde gelişir ve açılış örneğindeki   ancak daha ucuzdur ve uygulanması   peynir üretimi için kurulan bir
        PLC gibi, birçoğu değişiklikleri    daha kolaydır, böylece gerçekleşmesi   tesis, kendi belirlediği temizlik
        belgelemede iyi değildirler,        daha olasıdır.                      tanımlarından ziyade yürürlükteki
        potansiyel güvenlik açıklarını aramak                                   yönetmeliklere uymak zorundadır.
        için altyapıyı da derinlemesine     Risk tabanlı güvenlik dört          Benzer şekilde, siber güvenlik,
        incelemezler.                       uygulamaya dayanmaktadır:           şirketlere yardımcı olmak için kendi
        • Riskin azaltılması ve yatırımın   • Güvenlik temelinin (security      uygulamalarına ve yönergelerine
        önceliklendirilmesi - Şirketler OT   baseline) belirlenmesi: İlk adım,   sahiptir. Sayıları gitgide artan
        varlıklarında az görünürlüğe sahipse,   risklerin tespit edilmesi ve OT güvenlik   şirketler aşağıdakilere uygun şekilde
        güvenlik için ne kadar yatırım      paydaşlarının bu temeli anlamasını   çalışmaktadır:
        gerektiğinin veya çabanın nereden   sağlamaktır. Tesisin mevcut durumuna
        başlaması gerektiğinin tahmin       hakim olmak güvenlik yolculuğunun   •ISA/IEC 62443
        edilmesi zordur. Ayrıca, çaba ile bu   başladığı noktadır.              •NIST CSF
        riskin ne kadar azaldığını bilmek de   • Riskin bütünsel bir bakış      •NIST 800-82
        imkânsız olacaktır.                 açısıyla tanımlanması: Riskler      •CIS Kritik Güvenlik Kontrolleri.
        • Endüstri standartlarına ayak      birçok farkı yönden ve kategoriden   •ISO 27000 (Genellikle IT’de
        uydurmak - Tedbirlerin uygulanması   gelir, dolayısıyla yalnızca yüksek   kullanılır)
        ve gelişen/değişen standartlara     düzey iş proseslerine odaklı bir    Tüm yönleri ve bölgeleri kapsayan
        uyum sağlamaya devam etmek          risk değerlendirmesi, teknik        tek bir düzenleme, standart veya


                                                                                    ST Proses Otomasyonu Şubat 2022  63