Sektörden Haberler

NATO Ajansı Kritik Enerji Altyapılara, Endüstriyel Otomasyon ve Kontrol Sistemlere Yönelik Ayrıntılı Rapor Yayınlandı.

04 Mart 2023

NATO Enerji Güvenliği Mükemmeliyet Merkezi, (NATO ENSEC COE) 10 Ocak 2022 tarihinde, kritik enerji altyapısının güvenliğine, güvenilirliğine, dayanıklılığına ve performansına yönelik hem kasıtlı hem de kasıtsız teknoloji tabanlı tehditlerin analizini içeren rapor yayınlamıştır.

Kılavuzda 2011'den 2021'e kadar kritik enerji altyapısı operatörlerine yapılan çalışmalara ve saha ziyaretlerine dayanan raporda, analog tabanlı operatörler için kontrol sistemleri modernize edilmeye karar verdiğinde, dijitalleştirilmiş bir çözümün nasıl uygulanacağına dair tavsiyeler bulunmaktadır.

Kılavuzda ayrıca, 2021 Mayıs ayında Amerika Birleşik Devletleri'nin doğusundaki büyük bir yakıt boru hattına yapılan ve operatörleri 8000 km uzunluğundaki bir boru hattını kapatmaya zorlayan fidye yazılımı saldırısı gibi, suç teşkil eden siber saldırılar da ele alınmaktadır. Olay, ABD'de ve diğer ülkelerde endüstriyel operasyonlarda kullanılan kontrol sistemi mimarilerinin siber güvenliği konusunda bir inceleme başlatılmasına neden olmuştur.

Rapordaki tavsiyeler, fiziksel bir sürecin kontrolü ve izlenmesi için endüstriyel otomasyon ve kontrol sistemlerine (IACS) güvenen, tüm varlık sahipleri için geçerlidir. NATO ENSEC COE'de endüstriyel siber güvenlik uzmanı, Uluslararası Otomasyon Derneği (ISA) 99 MLM Çalışma Grubu 13'ün eş başkanı ve SCADASEC listesinin eş moderatörü olan Vytautas Butrimas raporunda;

Endüstriyel sistemler, siber güvenliğe çok az önem verilerek, güvenilirliğe önem verilerek tasarlanmıştır. Ancak, bu tasarım yaklaşımı, bir siber saldırıya maruz kaldığında, yaralanan personel, mülk ve çevre açısından ciddi fiziksel zararlara yol açabilecek, ciddi güvenlik açıkları ortaya çıkarmaktadır."

"Varlık sahipleri olarak bir gün kritik sistemlerimizin ve operasyonlarımızın tehlikeye düştüğü ve güvenilemeyeceği haberleriyle uyanmamamız umuduyla, IACS'mizi korumak için kapsamlı siber güvenlik önlemleri almamız gerekmektedir."

"Ofis/Kurumsal BT siber güvenliğini güçlendirme çalışmaları yirmi yılı aşkın bir süredir olgunluk düzeyine ulaşırken, kritik endüstriyel operasyonlara yönelik siber riskleri azaltmak için önlemleri geliştirmeye daha yeni başlandı. Ayrıca, BT veri merkezli siber güvenlik önlemleri, fiziksel bir sürecin korunmasının öncelikli olduğu endüstriyel ortamlara tam olarak uygulanmayan çözümler durumu daha da zorlaştırmaktadır." Şeklinde dikkat çekici açıklamalarda bulunmuştur.

Raporda, tespit edilen varlıkların tespit edilen tehditlerden nasıl korunabileceğini analiz ederken, IACS operatörünün ilk kişisel farkındalık sorularıyla ilgili hususlarını kapsamlı bir şekilde ele almaktadır. Ayrıca, varlık yönetim sistemi, standartlar, dokümantasyon, endüstriyel siber güvenlikteki olgunluk düzeyini değerlendirme ve iyileştirme, programlanabilir mantık denetleyicileri (PLC'ler) için güvenli kodlama uygulamaları, yazılım ve ürün yazılımı yamalama ve güncelleştirme ve endüstriyel siber güvenlik operasyon merkezi (ISOC) gibi siber güvenlik programı kapsamında bulunan araçları da listelemektedir.

Ayrıca, Endüstri 4.0 veya endüstriyel Nesnelerin İnterneti'nin (IIoT) tanıtımına da bakılmakta ve bu da yeni zorluklar getirmektedir. Veri analizi için makineden makineye etkinlik hakkında veri toplamak üzere birçok sensör eklenmekte, analiz edilen verilerin sonuçlarının verimliliği artırmak, maliyetlerden tasarruf etmek ve rekabetçi kalmak için uygulanabileceği iddia edilmektedir.

Butrimas, “hizmet verilen müşterilerin olumsuz etkilemeden önce hataları tespit etmeye odaklanarak, yönetimin karar vermesini desteklemek için kritik veriler sağlamak ve operasyonları desteklemek için yapay zekaya yaklaşan tahmine dayalı analiz ve makine öğrenimi kabiliyetine odaklanarak elde edileceği düşünülmektedir. Tüm bu aktiviteyi birbirine bağlamak, kablosuz iletişimi bile içerecek bir ağ olacaktır." yorumunda bulunmuştur.

Ayrıca, bazılarının Endüstri 4.0 destekçileri tarafından önerilen tüm faydaların arkasındaki iddiaları sorguladığına dikkat çekmektedir. Örneğin, bir endüstriyel işletmede Endüstri 4.0 teknolojilerinin uygulanmasının ne kadara mal olacağını ve sensörlere duyulan güven sorunlarının ne kadar iyi ele alınacağı konusunda tereddütler bulunmaktadır. 

Butrimas, enerji güvenliğini ve kritik enerji ve diğer altyapı sektörlerinin dayanıklılığını artırmak için çalışanların başarısını etkileyecek bir diğer önemli faktörün de iklim değişikliği olduğunu söylemektedir.

Butrimas'a göre, fiziksel etkiler ve soruna nasıl yanıt verileceği konusundaki jeopolitik gerilimler arttıkça ulusal güvenlik çıkarlarına yönelik riskler artabilir. Etkili planlar geliştirmek ve çözümlerin başarılı bir şekilde uygulanması için iklim değişikliği hedeflerini ele alan tekliflerin maliyet etkinliği konusunda yeni araştırmalar yapılması gerekmektedir. Giderek daha karmaşık ve dinamik sistemlere uygulanan yeni ve gelişmiş teknolojilere büyük ölçüde bağımlı olması muhtemel olan çözümler, güçlü ek işlevlerle birlikte güvenlik açıklıkları olacaktır” yorumunda bulunmuştur.

 

NATO rehberine ek olarak, kamu yararına çalışan bir araştırmacı, 2020 Aralık ayında Enerji Bakanlığı'na (DOE) zorunlu önlemlerin kritik elektrik altyapısı sektöründeki riskleri ve zayıflıkları ele alması gerektiğini bildirmiştir.

Araştırmacı Michael Mabee, DOE'ye, zorunlu standartların, Çin Halk Cumhuriyeti de dahil olmak üzere ABD'nin düşmanlarından kaynaklanan ekipman veya sistemlerin ithalatı ve kurulumunun sunduğu riskleri ve güvenlik açıklarını ele alması çağrısında bulunmuştur. Bu standartlar, üretim, iletim ve dağıtım dahil tüm kritik elektrik altyapısı için geçerli olmalıdır.

 

Kaynak: https://industrialcyber.co/news/nato-agency-offers-details-on-securing-industrial-automation-and-control-systems-in-critical-energy-infrastructure/