Sektörden Haberler

2023'te Dikkate Değer 10 Kritik Altyapı Siber Güvenlik Girişimi

12 Haziran 2023

Enerji, gıda, elektrik ve sağlık gibi temel hizmetler için güvenilen teknolojilere ve sistemlere yönelik kalıcı tehdit oluşturan siber saldırılar ve diğer risklerle birlikte, kritik altyapıların güvenliği 2023'te gündemin üst sıralarında yer almıştır.

Siber güvenlik hizmetleri firması Bridewell'in araştırmasında, Birleşik Krallık ve ABD'deki kritik ulusal altyapı (CNI) tehditlerinin mevcut durumunu değerlendirerek, küresel ekonomik gerilemelerin, jeopolitik gerilimlerin, ulus devlet aktörlerinin ve fidye yazılımlarının, artan siber tehditlere katkıda bulunduğu konusunda uyarıda bulunulmuştur.

Nisan ayında, VoIP şirketi olan 3CX'i hedef alan önemli tedarik zinciri saldırısından sorumlu olan bilgisayar korsan grubunun, biri ABD'de ve diğeri Avrupa'da bulunan enerji sektöründeki iki kritik altyapı kuruluşuna da saldırıda bulunduğu ortaya çıkmıştır. Bu arada Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Birleşik Krallık'ın kritik altyapılarını tehdit eden yeni bir Rus siber grubu hakkında bir uyarı yayınlamıştır.  Beyaz Saray'ın Ulusal Siber Güvenlik Merkezi, mart ayında, gıda tedarikçileri, hastaneler ve okullar gibi CNI hizmetlerini hedef alan bir dizi saldırının ardından, fidye yazılımlarını birinci seviye ulusal güvenlik tehdidi olarak yeniden sınıflandırmıştır.

Kritik altyapıların siber güvenliğini artırmak ve CNI'yi tehdit eden artan risklerle mücadele etmek için, bu yıl çok sayıda girişim, program, rehberlik ve çalışma başlatılmıştır.  Satıcılar, hükümetler, endüstri kuruluşları ve Sivil toplum örgütlerinin tümü, CNI yelpazesinde siber dayanıklılığı artırmaya yönelik birçok çabanın ana teması olan bilgi paylaşımı ve iş birliği ile katkıda bulunmuştur. İşte yılın şimdiye kadarki 10 önemli örneği;

Birleşik Krallık, Ürün Güvenliği ve Telekomünikasyon Altyapısı Yasasını Yürürlüğe Koyuyor

Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasası, Aralık 2022'de Birleşik Krallık yasalarına dahil edilmiş ve kuruluşlara yeni mevzuata uyumu sağlamak için 2023’e kadar ek süre verilmiştir. Kanun, internete bağlanabilen ürünler ile bu ürünlere ve elektronik haberleşme altyapısına bağlanabilen ürünlerin güvenliğine ilişkin hükümleri düzenlemektedir. Mevcut mevzuat kapsamındaki ürünler (sağlık izleme ürünleri ve akıllı sayaçlar dahil) veya karmaşık olan ve bir gün kendi mevzuatına sahip olabilecek ürünler (örneğin otonom arabalar), PSTI Yasası kapsamında değildir.

Uyum gerektiren üç temel alan aşağıda belirtilmiştir:

 

  • Üreticilerin güncellemeleri sağlamaya tam olarak ne kadar süre devam edeceklerini belirten destek dönemleri hakkında net bilgiler.
  • Varsayılan parolalara izin verilmeyeceği, kullanıcılara ilk kullanımda benzersiz ürün parolaları verilmesi ve ardından bunların değiştirilmesi gerekeceği anlamına gelir.
  • Bir güvenlik açığı bulan herkesin nasıl üreticiyi bilgilendirebileceği ve üreticinin müşterilerini güvenlik açıkları hakkında bilgilendirmesi ve zamanında bir düzeltme sağlaması hakkında bilgiler.

 

AB NIS2 Direktifi, Temel Kuruluşlar İçin Yeni Standartlar Belirlemektedir.

Ocak ayında, AB'de Ağ ve Bilgi Güvenliği Direktifi (NIS2) yürürlüğe girmiş ve kritik altyapıları da kapsayan yeni bir düzenleme yapılmıştır. NIS2 kapsamında, enerji, ulaşım ve sağlık hizmeti sağlayıcıları gibi, temel kuruluşlar olarak sınıflandırılan kuruluşlar, (potansiyel olarak) yerinde teftişler ve hedefli, bağımsız güvenlik denetimleri dahil olmak üzere en katı denetimlere ve en kapsamlı düzenleyici gözetime tabi olacaktır. NIS2, 2018'de AB'de yürürlüğe giren NIS direktifinin yerini almıştır. AB ülkelerinin güncellenen kuralları Ekim 2024'e kadar sağlaması gerekiyor.

NIS2 aracılığıyla uygulanan değişikliklerle, AB düzenleyicileri, kritik altyapılara ve üçüncü taraf ağlarına yönelik artan siber saldırı riskinin farkına vardığını göstermektedir. Sectigo çalışanı Tim Callan, yeni mevzuatın, daha geniş bir kuruluş ve işletme yelpazesi kapsadığını, bir siber saldırıdan sonra 24 saat içinde ilgili makamları derhal bilgilendirme zorunluluğu getirdiğini ve bu kuruluşlar tarafından uyulması gereken minimum bir temel güvenlik standartlarını belirttiğini ifade etmiştir.

NATO ve AB Kritik Altyapı Dayanıklılık Görev Gücünü Başlatmıştır.

Ocak ayında NATO ve AB , kritik altyapı koruması konusunda bir görev gücü oluşturma konusunda anlaşmıştır. Rusya Devlet Başkanı Vladimir Putin'in enerjiyi silah haline getirmesinin ve Kuzey Akım boru hatlarının sabote edilmesinin ardından ikili, görev gücünün kritik altyapı, teknoloji ve tedarik zincirlerini potansiyel tehditlere karşı daha dayanıklı hale getirmeye ve güvenlik açıklarını azaltmak için harekete geçmeye odaklandığını açıklamıştır.

NATO ve AB'den üst düzey yetkililer, sonraki ay, Kritik Altyapıların korunmasına ilişkin NATO-AB Görev Gücü'nü resmen başlatmak için bir araya gelmiştir. Girişim, dayanıklılığı artırmak için ilkeler geliştirmenin yanı sıra en iyi uygulamaları ve durumsal farkındalığı paylaşmak için her iki kuruluştan yetkilileri bir araya getirmiştir. Görev gücü, enerji, ulaşım, dijital altyapı ve uzay dört olmak üzere 4 sektöre odaklanarak çalışmalara başlamıştır.

Aralık 2022'de NATO , yapay zekanın kritik altyapıyı koruma becerisini deneyerek, yapay zekanın kritik altyapı siber saldırı etkinliğini belirlemede ve kötü amaçlı yazılımları tespit etmede önemli ölçüde yardımcı olabileceğini göstermiştir.

Uluslararası Görev Gücü, Fidye Yazılımı Tehditleriyle Mücadele Etmektedir

Ocak ayında 36 hükümet ve AB, özellikle CNI sektöründeki işletmeleri etkileyen ve ulusal güvenlik tehditleri oluşturan fidye yazılımı saldırılarıyla mücadele etmek için Uluslararası Fidye Yazılımlarına Karşı Görev Gücü'nü kurmuştur. Avustralya hükümeti liderliğindeki koalisyon, bilgi ve istihbarat alışverişi, en iyi uygulama politikasını ve yasal otorite çerçevelerini paylaşma ve kolluk kuvvetleri ile siber arasındaki iş birliği yoluyla artan fidye yazılımı tehditlerini bozmak, bunlarla mücadele etmek ve bunlara karşı savunma yapmak için tasarlanmış sürdürülebilir ve etkili uluslararası iş birliğini sağlamayı amaçlamaktadır.

Ontinue'de güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones, Uluslararası Fidye Yazılımlarına Karşı Görev Gücü'nün diğer endüstri girişimlerine kıyasla anında etki yaratma konusunda büyük bir potansiyele sahip olduğunu söylemiştir. 

SANS Enstitüsü, EKS Siber Güvenlik Saha Kılavuzunun 2. ve 3.'cü Cildini Yayınlamıştır.

SANS Enstitüsü, Endüstriyel Kontrol Sistemleri (ICS) Siber Güvenlik Saha Kılavuzunun iki yeni cildini yayınlamıştır. 2. Cilt Ocak ayında, 3. Cilt ise Mayıs ayında yayınlanmıştır.

Sertifikalı SANS eğitmeni olan Dean Parsons, SANS ICS Siber Güvenlik Saha Kılavuzu serisinin, tüm ICS güvenlik uzmanları için temel bir araç olduğunu, Küresel olarak tüm endüstriyel kontrol sistemi sektörlerinde her kontrol sistemi operatörünün, kritik altyapı siber savunucusunun ve ICS/OT risk yöneticisinin masasında bir adet bulunması gerektiğini vurgulamıştır.

CISA, Sektörler Arası Siber Güvenlik Performans Hedeflerini Güncellemiştir.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Mart ayında, kritik altyapılar için ortak bir temel siber güvenlik uygulamaları seti oluşturmaya yardımcı olmak için Sektörler Arası Siber Güvenlik Performans Hedeflerini (CPG'ler) güncellemiştir. CPG'ler, kritik altyapı sahiplerinin ve operatörlerin bilinen risklerin ve düşman tekniklerinin olasılığını ve etkisini anlamlı bir şekilde azaltmak için uygulayabilecekleri, BT ve OT siber güvenlik uygulamalarının öncelikli bir alt kümesidir.

Sürüm 1.0.1, NIST Siber Güvenlik Çerçevesi ile daha yakından uyum sağlamak için CPG'leri yeniden sıralayarak numaralandırmıştır. Güncelleme, kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) ve olay kurtarma planlamasıyla ilgili yeni kılavuzlar içermektedir.

Siber Güvenlik Firmaları Elit Siber Savunucu Programını Oluşturmaktadır.

Nisan ayında, küresel siber güvenlik firmalarından Accenture, IBM, Mandiant, Nozomi Networks tarafından yönetilen ve kritik altyapının güvenliğini sağlamaya yardımcı olmak için tasarlanmış yeni, iş birliğine dayalı bir girişim olan Elit Siber Savunucu Programı'na katılmıştır. Program, küresel endüstriyel ve devlet müşterilerine güçlü siber güvenlik savunma araçlarına, olay müdahale ekiplerine ve tehdit istihbaratına erişim sağlamayı amaçlamaktadır.

Programa katılan her katılımcı, ortak müşteriler için özel olarak tasarlanmış olay müdahale ve değerlendirme programları sunmanın yanı sıra, yeni kötü amaçlı yazılımları ve tehdit aktörleri tarafından kullanılan yeni TTP'leri belirlemeye odaklanan ortak tehdit istihbaratı ve ortak güvenlik araştırması konusunda Nozomi Networks Labs ile birlikte çalışmayı taahhüt edecektir.

OT Devleri, ETHOS Erken Tehdit ve Saldırı Uyarı Sistemi Üzerinde İş Birliği Yapmaktadır.

Genellikle birbirleriyle rekabet eden bir grup OT güvenlik şirketi, Nisan ayında, ETHOS (Emerging Threat Open Sharing) adlı yeni, bir satıcıdan bağımsız, açık kaynaklı ve anonim OT tehdit uyarı sistemi üzerinde iş birliği yapmak için rekabetlerini bir kenara bıraktıklarını duyurmuştur.

Kâr amacı gütmeyen bir kuruluş olarak kurulan ETHOS, erken tehdit göstergelerine ilişkin verileri paylaşmayı ve elektrik, su, petrol ve gaz üretimi, imalat sistemleri dahil olmak üzere temel hizmetleri yürüten endüstriyel kuruluşları tehdit eden yeni ve orijinal saldırıları keşfetmeyi amaçlamaktadır. Girişime daha fazla ivme kazandırabilecek bir destek olan ABD CISA’ nın onayını da kazanmıştır. Kamu ve özel varlık sahipleri de dahil olmak üzere tüm kuruluşlar, ETHOS'a ücretsiz olarak katkıda bulunabilecektir.

ETHOS topluluğu ve yönetim kurulu üyeleri arasında en iyi OT güvenlik şirketlerinden bazıları 1898 & Co., ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable ve Waterfall Security bulunmaktadır.

Tenable'da OT ve IoT'den sorumlu baş teknoloji sorumlusu Marty Edwards, yapılan bu girişimin; ETHOS'u hayata geçirecek teknolojiye tarafsız bir üçüncü taraf bulmayı umduğunu belirtmiştir.

 

Birleşik Krallık NCSC, İlkelere Dayalı Güvence Çerçevesini Duyurmuştur.

Birleşik Krallık’ta NCSC, Nisan ayında, güvenliği ihlal edildiğinde insanların yaşamları üzerinde önemli bir etkiye neden olabilecek ürün ve sistemlerin siber dayanıklılığını ölçmek ve onaylamak için İlkelere Dayalı (PBA) bir çerçeve oluşturduğunu duyurmuştur. NCSC, bu oluşuma, önemli siber tehditlerle ve kaynaklara, becerilere ve zamana sahip saldırganlarla karşı karşıya kalan CNI'nın da dahil olduğunu açıklamıştır.

PBA'nın üç katmanlı bir süreci olacaktır. İlk, temel katman, uyumluluk odaklı bir yaklaşım yerine risk bazlı bir yaklaşım felsefesidir. İkinci aşama, kullanılacak dokümantasyon ve şablonlarla birlikte takip edilebilecek tutarlı bir yöntem geliştirmektir. Son aşama, yöntemin hem satıcılar hem de alıcılar tarafından tutarlı ve güvenilir bir şekilde pazarda bir hizmet olarak nasıl dağıtılabileceği ve erişilebileceğidir.

PBA felsefesini ve yöntemini endüstri ortakları aracılığıyla ölçeklendirmenin bir yolunu tasarlamak için hizmet katmanı üzerinde çalışmalar devam etmektedir. Gelecek yıl, NCSC onaylı Siber Direnç Test Tesislerinden oluşan embriyonik bir ağa sahip olmayı planlamaktadır.

 

İngiltere, Secure Connected Places Adında Siber Güvenlik Başucu Oyun Kitabı Çalışmalarını Başlatmıştır.

Birleşik Krallık hükümeti, mayıs ayında, kritik altyapı ve şebeke üzerindeki baskıyı azaltan akıllı enerji sistemlerinin güvenliğini artırmalarına destek olmak için “Güvenli Bağlantılı Yerler” (Siber Güvenlik Başucu Kitabı'nın) "alfa" sürümünü yayınlamıştır. Altı yerel makamla iş birliği içinde tasarlanmıştır ve yönetişim, satın alma ve tedarik zinciri yönetimi ve iyi tehdit analizinin nasıl yapılacağı gibi konuları kapsayan çeşitli siber güvenlik kaynaklarını içermektedir.

Oyun kitabı, vatandaşlarının yaşam kalitesini artırma fırsatı sunmaktadır. Bununla birlikte, gerekli koruma sağlanmadığında, bağlantılı yerleri işletmek için gereken teknolojilerin çeşitliliği ve birbirine bağlılığı, onları siber saldırılara karşı savunmasız hale getirmektedir. Bu saldırılar itibar kaybına, hassas verilerin kaybına ve sakinlerin güvendiği fiziksel altyapının zarar görmesine yol açabilmektedir.

 

Kaynak:https://www-csoonline-com.cdn.ampproject.org/c/s/www.csoonline.com/article/3698190/10-notable-critical-infrastructure-cybersecurity-initiatives-in-2023.amp.html