TXOne Networks’ün yayımladığı Legacy Systems in European Industrial Environments: A Cybersecurity Review başlıklı yeni rapor, Avrupa’daki endüstriyel tesislerde kullanılan operasyonel teknoloji (OT) sistemlerinin büyük bölümünün hâlâ “legacy” yani eski sistemlerden oluştuğunu ortaya koydu. Rapora göre Avrupa genelinde kullanılan ekipmanların yaklaşık %50’si eski sistemlerden meydana geliyor. İngiltere ve İtalya gibi bazı ülkelerde bu oran %75’e kadar çıkıyor.
TXOne Networks Avrupa Başkan Yardımcısı Christophe Strauven, Information Security Media Group’a verdiği röportajda bulguları değerlendirerek, “Bu sistemler güvenlik açısından riskli olsa da üretim için kritik işlevleri yerine getirmeye devam ediyor. Çarpıcı olan, şirketlerin bu sistemleri güvenlik açıklarına rağmen çalıştırmayı sürdürmesi” ifadelerini kullandı.
Legacy Sistemlerin Yaygınlığı
Rapor, klasik BT ortamlarında artık pek rastlanmayan legacy sistemlerin, endüstriyel ortamlarda hâlâ günlük operasyonların merkezinde yer aldığını gösteriyor. Özellikle üretim ve kritik altyapı sektörlerinde kullanılan OT cihazlarının önemli bir kısmı, güncel güvenlik desteğinden yoksun olmalarına rağmen, üretim hatlarının ayrılmaz bir parçası olmaya devam ediyor.
Güncelleme Engelleri
Şirketlerin eski sistemleri yenilemekte isteksiz olmasının üç temel nedeni bulunuyor:
- Uyumluluk: OT sistemleri, üretim hattındaki ekipmanlarla sıkı sıkıya entegre. Bu nedenle dizüstü bilgisayar gibi kolayca güncellenemiyorlar.
- Maliyet: Bir üretim sürecini değiştirmek, çoğu zaman yeni bir üretim hattı kurmak anlamına geliyor. Bu da şirketlerin altından kalkamayacağı yüksek bir yatırım gerektiriyor.
- Kesinti Riski: OT yöneticileri için “uptime” yani sistemlerin sürekli çalışması birincil öncelik. Bu nedenle “çalışıyorsa dokunma” anlayışı hâkim. Güncellemeler sırasında yaşanabilecek kesinti, güvenlik risklerinden daha büyük bir tehdit olarak görülüyor.
Sektörel Farklılıklar
Rapor, sektörler ve ülkeler arasında da farklı yaklaşımlar olduğunu ortaya koyuyor.
- İtalya’daki küçük ve orta ölçekli işletmelerde uyumluluk sorunu en büyük engel olarak öne çıkarken,
- Almanya ve Polonya gibi sanayileşmiş ülkelerde üretici desteğinin yetersizliği daha sık dile getiriliyor.
- Yarı iletken, enerji ve makine üreticileri en fazla saldırıya maruz kalan sektörler arasında yer alıyor.
- İngiltere’de ise şirketlerin %60’ı son bir yıl içinde legacy sistemler üzerinden saldırıya uğradığını bildirdi.
Regülasyon Baskısı ve Yeni Riskler
OT güvenliği konusundaki aciliyet yalnızca saldırı risklerinden değil, aynı zamanda regülasyonlardan da kaynaklanıyor. Avrupa Birliği’nin NIS2 Direktifi, kamu kurumlarının yanı sıra özel şirketleri de kapsayarak güvenlik gerekliliklerini artırıyor. Ayrıca Windows 10 desteğinin Ekim ayında sona ermesiyle birlikte, hâlâ yaygın kullanılan bu sistemler de “legacy” sınıfına düşecek.
Uzman Yorumumuz
TXOne Networks’ün raporu ve Christophe Strauven’in değerlendirmeleri, Avrupa’daki endüstriyel tesislerde eski sistemlerin hâlâ yaygın olarak kullanıldığını ve bunun ciddi siber güvenlik riskleri doğurduğunu açıkça ortaya koymaktadır. Şirketlerin maliyet, uyumluluk ve kesinti korkusu nedeniyle güncellemelerden kaçındığı, ancak bu yaklaşımın saldırı riskini daha da artırdığı görülmektedir. Bu çerçevede OT ortamlarında güvenliği sağlamak için aşağıdaki önlemler alınmalıdır:
- Ağ segmentasyonu yapılmalıdır. Üretim ağı, denizaltı bölmeleri gibi parçalara ayrılmalı; böylece bir bölümde yaşanacak sorun tüm sistemi etkilememelidir.
- Uç nokta koruması sağlanmalıdır. Özellikle eski (legacy) sistemler, doğrudan korunacak çözümlerle güçlendirilmelidir.
- Sanal yamalama (virtual patching) uygulanmalıdır. Üretici desteği sona ermiş, güncellenemeyen işletim sistemleri ve cihazlar için ağ üzerinde sanal yamalama çözümleri devreye alınmalıdır.
- Operasyonlara müdahale etmeyen çözümler tercih edilmelidir. Güvenlik önlemleri, üretim sürekliliğini kesintiye uğratmadan hayata geçirilmelidir.
Sonuç
TXOne Networks’ün raporu, Avrupa’daki endüstriyel kuruluşların karşı karşıya olduğu gerçeği net bir şekilde ortaya koyuyor: Siber güvenlik riskleri artarken, şirketler üretim sürekliliğini güvenliğin önünde tutuyor. Strauven’in ifadesiyle, “Uptime kraldır. Çalışıyorsa dokunma anlayışı, güvenlik önlemlerinin önündeki en büyük engel.”