| Sektörden Haberler

              Operasyonel Teknolojide Zero Trust (Sıfır Güven) Yaklaşımı

Sıfır güven, bilgi teknolojileri (BT) güvenliği için dünya çapında hızla önem kazanan bir yaklaşım haline gelmiş ve kuruluşların ağ tasarımlarından sistem ve veri erişim kontrollerine kadar geniş bir yelpazede rehberlik etmektedir.

 

BT alanında yaygın olarak benimsenen sıfır güven yaklaşımı, operasyonel teknoloji (OT) alanında ise daha temkinli bir yaklaşımla karşılanmaktadır. Ancak birçok OT güvenlik uzmanı, sıfır güvenin temel ilkelerinin (örneğin, ağın her zaman tehlikede olduğunu varsaymak ve yalnızca zorunlu faaliyetlere izin vermek) OT ortamları için de geçerli olduğu konusunda hemfikirdir. Özellikle endüstriyel varlıkların BT sistemleri ve bulut altyapılarına entegrasyonu arttıkça, bu ilkelerin önemi daha belirgin hale gelmiştir.

 

Bununla birlikte, sıfır güvenin OT ortamlarına uygulanması çeşitli zorlukları da beraberinde getirmektedir. OT cihazlarının karmaşık yapısı ve operasyonel kesinti riskleri, birçok endüstriyel operatörün sıfır güven yaklaşımını mevcut ihtiyaçlarına uygun görmemesine neden olmaktadır. Ancak, doğru teknoloji ve metodolojiler ile enerji tesisleri, üretim hatları ve ulaşım sistemleri gibi kritik altyapılarda siber saldırı riskleri önemli ölçüde azaltılabilir.

 

OT’de Sıfır Güven için Temel İlkeler

1. Farklı Amaçlar

BT güvenliği genellikle verileri fidye yazılımlarına veya veri hırsızlığına karşı korumaya odaklanırken, OT güvenliği fiziksel süreçlerdeki aksaklıkları önlemeyi amaçlar. OT sistemlerini hedef alan saldırganlar, genellikle sensörleri, pompaları, robotları ve diğer kritik sistemleri manipüle ederek fiziksel süreçleri aksatmayı hedefler. Bu nedenle, OT güvenlik stratejileri bu benzersiz tehditlere uygun şekilde tasarlanmalıdır.

 

2. Gelişmiş Görünürlük

OT ortamlarında etkili güvenlik, yalnızca varlık haritalama ya da ağın pasif izlenmesiyle sınırlı kalamaz. Tehditlerin hızlı bir şekilde tespit edilip engellenmesi için aktif izleme şarttır. BT ortamlarında kötü niyetli kullanıcıların tespiti standart bir uygulama haline gelmiş olsa da, OT’deki pasif görünürlük araçları genellikle gereksiz alarmlar üretebilir ve yeterli koruma sağlayamaz. Aktif güvenlik önlemleri, OT ortamlarında daha sağlam bir güvenlik yapısı sağlar.

 

3. OT Varlıklarının Güvence Altına Alınması

Birçok OT cihazı, BT varlıklarında yaygın olan yerleşik güvenlik özelliklerine sahip değildir. Bu cihazlar, genellikle harici bağlantılar için tasarlanmamış olup kullanıcı kimlik doğrulama ya da kötü amaçlı yazılım tarama gibi temel güvenlik yeteneklerinden yoksundur. Bu nedenle, bu cihazların güvenliğini sağlamak için özel stratejiler geliştirilmesi zorunludur.

 

4. Bağlamsal Erişim Kontrolü

BT’de sıfır güven genellikle kullanıcı kimliğine dayanırken, OT ortamlarında ağ trafiği trafik desenleri, cihaz konumları ve işlem rolleri gibi bağlamsal bilgiler ön plandadır. Örneğin, bir iş istasyonunun belirli bir PLC’ye bağlanıp bağlanamayacağı veya bir cihazın yalnızca okuma/yazma yetkisiyle erişim sağlayıp sağlayamayacağı, bağlamsal kurallar ile belirlenmelidir. Bu tür kurallar, yetkisiz erişimi ve işlemleri önleyerek sistem güvenliğini artırır.

 

5. Tam Güvence ve Standartlaştırılmış Süreçler

OT ortamlarında sıfır güven, düzenlenmiş süreçler sayesinde olgunluk seviyelerine daha kolay ulaşabilir. Olgun bir sıfır güven yaklaşımında, her bağlantı ve komut doğrulanır, yalnızca güvenli olduğu bilinen trafik kabul edilir. Belirlenen bu güvence seviyesi, OT süreçlerindeki beklenen girdileri ve çıktıları önceden tanımlar. Herhangi bir sapma durumunda, anında tespit ve müdahale mekanizmaları devreye girer.

 

Sonuç

Kuruluşlar, sıfır güven ilkelerini OT ortamlarının ihtiyaçlarına uyarlayarak, enerji tesisleri, üretim hatları ve ulaşım sistemleri gibi kritik altyapılara yönelik siber saldırı risklerini önemli ölçüde azaltabilir. OT’de sıfır güven yaklaşımının uygulanması zorlu olsa da, doğru teknoloji ve stratejilerle bu sistemlerin güvenliği ve dayanıklılığı artırılabilir.

 

ISA Global Cybersecurity Alliance (ISAGCA), yayınladığı “Zero Trust Outcomes Using ISA/IEC 62443 Standards” raporunda, OT’de sıfır güven için ISA/IEC 62443 serisi standartlarının kullanımını detaylı bir şekilde incelemektedir.

 

 

https://www.automation.com/en-us/articles/october-2024/exploring-zero-trust-operational-technology?listname=Articles%20&%20News%20on%20Cybersecurity