Sektörden Haberler

BT Güvenlik Şirketleri, OT Güvenliğinde Neden En İyi Seçim Değildir?

24 Şubat 2023

Endüstriyel kuruluşlar, kritik operasyonları yönetmek için bağlantılı cihazlara ve dijital sistemlere giderek daha fazla güvenirken, endüstriyel siber güvenliğin önemi giderek daha belirgin hale gelmiştir. Operasyonel teknoloji (OT), enerji, ulaşım ve üretim dahil olmak üzere birçok kritik altyapı sektörünün bel kemiğidir. Ancak, OT sistemlerinin güvenliğini sağlamak genellikle geleneksel BT ortamlarının güvenliğini sağlamaktan daha karmaşıktır ve özel bir yaklaşım tarzı gerektirir. Bunun sonucunda, OT güvenlik şirketleri, BT güvenlik şirketlerinden ayrı bir siber güvenlik alanı olarak ortaya çıkmıştır.

BT güvenlik şirketleri öncelikle kurumsal ağlar ve uç noktalar gibi geleneksel BT sistemlerini korumaya odaklanırken, OT güvenlik şirketleri endüstriyel kontrol sistemlerini (EKS), SCADA sistemlerini ve diğer kritik OT altyapısını güvence altına alma konusunda uzmanlaşmıştır. Bu sistemlerin güvenliğini sağlamak için kullanılan teknolojilerde bir miktar örtüşme olsa da OT ortam ve altyapılarının farklı özellikleri nedeniyle, OT sistemlerinin siber güvenliğine özel bir yaklaşım gerektirmektedir.

BT güvenlik şirketleri ile OT güvenlik şirketleri arasında, onları farklı ortam türlerinin güvenliğini sağlamaya daha uygun hale getiren, birkaç önemli fark vardır. Bu farklardan 3 tanesi aşağıda sıralanmıştır.

 

Uzmanlık ve Tecrübe

BT güvenlik şirketleri ile OT güvenlik şirketleri arasındaki belki de en önemli fark, ortaya koydukları uzmanlık ve deneyimdir. BT güvenlik şirketleri genellikle kurumsal ağlar ve uç noktalar gibi geleneksel BT sistemlerini korumaya odaklanırken, OT güvenlik şirketleri endüstriyel kontrol sistemlerini (EKS), SCADA sistemlerini ve diğer kritik OT altyapılarını güvence altına alma konusunda uzmanlaşmıştır. Bu uzmanlık, OT güvenlik şirketlerinin bu tür OT sistemlerin güvenliğini sağlamayla ilgili benzersiz zorluklar hakkında derin bir anlayışa ve bilgiye sahip olduğu anlamına gelmektedir. Karmaşık, son derece uzmanlık gerektiren donanım ve yazılımların yanı sıra, kritik altyapı sektörlerini yöneten regülasyon gereklilikleriyle de başa çıkacak bilgi ve deneyime sahiptirler. Öte yandan BT güvenlik şirketleri, OT ortamlarını etkili bir şekilde güvence altına almak için gereken özel bilgi ve deneyime genel olarak sahip değildir.

 

Risk Profilleri

BT güvenlik şirketleri ile OT güvenlik şirketleri arasındaki bir diğer önemli fark, güvenliğini sağlamaya çalıştıkları sistemlerle ilişkili risk profilleridir. BT sistemleri, kötü amaçlı yazılım, kimlik avı ve içeriden gelen tehditler dahil olmak üzere çok çeşitli tehditlere karşı savunmasız olabilirken, OT sistemleri daha farklı olan fiziksel saldırılara, tedarik zinciri saldırılarına ve devlet destekli aktörler tarafından gerçekleştirilen hedefli saldırılara maruz kalmaktadır. OT güvenlik şirketleri, kritik altyapı sektörleriyle ilişkili benzersiz risklerle başa çıkma deneyimine sahip olduklarından, bu tür tehditlerle başa çıkmak için iyi donanım ve bilgiye sahiptirler. Fiziksel altyapıyı güvence altına alacak, tedarik zinciri saldırılarına karşı koruma sağlayacak ve ulus-devlet aktörlerinin hedefli saldırılarına karşı savunma yapacak bilgi ve uzmanlığa sahiptirler. Öte yandan BT güvenlik şirketleri, tipik olarak kritik altyapıyla ilişkili benzersiz risklere odaklanmadıkları için bu tür tehditlerle başa çıkacak donanıma sahip olmayabilir.

 

Düzenleme gereksinimleri

Son olarak, BT güvenlik şirketleri ile OT güvenlik şirketleri arasındaki bir diğer önemli fark, güvenliğini sağlamaya çalıştıkları sistemleri yöneten regülasyon gereksinimlerdir. Kritik altyapı sektörleri, NERC-CIP, NIST ve ISA99 gibi çok çeşitli düzenlemelere tabidir. Siber güvenlik tehditlerine karşı koruma sağlamak için tasarlanmıştır. Bu düzenlemelere uymak için genellikle özel bilgi ve uzmanlık gerekir. OT güvenlik şirketleri, özellikle bu düzenlemelere uymaya odaklanır ve kritik altyapı sistemlerini düzgün bir şekilde güvence altına almak için gereken özel bilgi ve deneyime sahiptir. Kritik altyapı sektörlerini yöneten belirli regülasyonlar konusunda bilgilidirler ve kuruluşların bu düzenlemelere uygun yapılandıklarından emin olmalarını sağlarlar. BT güvenlik şirketleri, kritik altyapı sistemlerini düzenleyen bu regülasyonlara uymak için gereken özel bilgi ve deneyime sahip olmayabilir.

BT ve OT sistemlerinin güvenliğini sağlamak için kullanılan teknolojilerde bir miktar benzeme olsa da kritik altyapının güvenliğini sağlamayla ilgili karşılaşılan benzersiz zorluklar, özel bir yaklaşım gerektirmektedir. OT güvenlik şirketleri, kritik altyapı sistemlerini düzgün bir şekilde güvence altına almak için gereken uzmanlığa, deneyime ve bilgiye sahipken, BT güvenlik şirketleri, kritik altyapı sektörleriyle ilişkili benzersiz riskleri ve düzenleyici gereksinimleri ele alacak donanıma sahip olmayabilir.

BT güvenlik şirketleri, OT ortamlarının güvenliğini sağlamak için en iyi seçenek değildir. Bu sistemlerin güvenliğini sağlamak için kullanılan teknolojiler birbirine benzer görülse de OT ortamlarının kendine has özellikleri, OT siber güvenliğine özel bir yaklaşım gerektirir. OT güvenlik şirketleri, endüstriyel kontrol sistemlerini ve diğer kritik OT altyapısını uygun şekilde güvenli hale getirmek için gereken uzmanlık ve deneyim nedeniyle BT güvenlik şirketlerinden ayrı bir alan olarak ortaya çıkmıştır. Endüstriyel kuruluşlar, bu sistemleri düzgün bir şekilde güvence altına almak ve sektöre özgü düzenlemelere ve standartlara uymak için gereken özel bilgi ve deneyime sahip OT güvenlik şirketleriyle çalışmalıdır.

Ülkemizde enerji sektörünün dışındaki OT sistemleriyle ilgili bir regülasyonun henüz olmaması nedeniyle bu sistemlerin sahibi olan kuruluşlar OT Siber güvenliği tedbirleri alınması konusunda isteksiz davranmaktadır. OT siber Güvenliği tedbirlerinin alınmaması sadece bu kuruluşları değil, o sistemleri kullanan ve o sistemlerden hizmet alan ya da yararlanan insanları da tehlikeye atmaktadır.

 

Kaynak: https://otifyd.com/blog/why-it-security-companies-are-not-the-best-choice/