Sektörden Haberler

Operasyonel Teknolojilerinde ISO 27001 Standartları Uygulaması

25 Ağustos 2023

ISO 27001 (2022) standardı giriş bölümünde bahsedildiği gibi, tamamen bilgiyi korumakla ilgilidir. Ancak bu durum birçok sanayi kuruluşunda büyük bir kafa karışıklığına yol açmaktadır. Çünkü NIST 800-82'nin de belirttiği gibi fiziksel endüstriyel operasyonlar için en önemli öncelik bilgiyi korumak değil neredeyse her zaman fiziksel sürecin güvenli ve güvenilir bir şekilde çalışma düzenini siber tehditlerden korumaktır.

Bilgi güvenliği uzmanları, modern endüstriyel kontrol sistemlerinde, izleme ve kontrol bilgilerini, fiziksel süreci kontrol eden bilgisayarlara ileten şeyin ağ mesajları olduğunu ve bu nedenle bu bilgileri korumanın esasen doğru, güvenli ve güvenilir kontrol sağlamakla aynı şey olduğunu savunmaktadır. Yürütülen bu mantık görünüşte bir bakıma doğrudur.

Mühendislik ekipleri fiziksel güvenliği (iş yerinde bir yangın ya da patlamada ölmemek) bilgiye verdikleri önemden çok daha fazla önemsemektedirler. Ayrıca güvenilirliği de son derece önem vermektedirler. Bir enerji santrali, rafineri veya demiryolu sistemi olan fiziksel altyapıya yapılan milyarlarca dolarlık yatırımın çalışmaya devam etmesi için sanayi tesislerinde odak noktası bilgi değil, fiziksel operasyonlardır.

Kontrol ve İzleme

Endüstriyel tesislerde siber güvenliğin farklı bilgi türlerini korumaktan ibaret olduğu konusunda ısrar edildiğinde, farklı veri türlerinin karakteristik özelliği olan derin risk farklılıkları gözden kaçırılmış olur. Yani, bir rafineride 6 katlı bir katalitik krakerin durumunu kontrol eden bir teknisyen tablet bilgisayarındaki kontrol listesini gözden geçirirken rafinerinin etrafındaki çitin dışında birisinin, krakere bakan bir teleskop kurduğunu fark ettiğine, bu kişinin göstergeden sıcaklık değerlerini çaldığını fark ederse ne yapabilir? Belki hiçbir şey. Belki de güvenliği arayıp hırsızlığı rapor eder, çünkü sıcaklık ayarı ticari bir sır olabilir.

Şimdi farklı bir senaryoda aynı teknisyen, aynı krakerin önünde, durum kontrol listesi üzerinde çalışırken, bir yabancının aynı çitteki bir delikten bu devasa cihaza doğru koştuğunu ve krakerin yan tarafındaki sıcaklık ayar noktası kadranını sert bir şekilde sağa çevirerek, ayar noktasını tehlikeli derecede yüksek bir değere çıkardığın görürse bu durumda neler yapabilir? Güvenlik için bağırabilir, göstergeye doğru koşup, davetsiz misafiri kenara çekebilir, göstergeyi doğru ayarına geri çevirebilir, ya da diğer tarafa koşar, felaket kendisini vurmadan önce tesisi kapatmak için büyük kırmızı güvenlik kapatma düğmesine doğru gidebilir.

Aradaki fark nedir? İzleme verileri tesisi terk eden verilerdir. Tesisi terk eden verilerin kurcalanması veya çalınmasının sonuçları, ISO 27001 korumalı BT ağındaki diğer verilerin kurcalanması veya çalınmasının sonuçlarına benzer. Ancak kontrol verileri, tesise dışarıdan giren verilerdir ve davetsiz misafirin kontrol verilerinin kurcalanması, izleme verilerinin kurcalanmasından çok daha tehlikelidir.

ISO 27001 standardı, tesisten çıkan izleme verileri ile tesise giren kontrol verileri arasındaki bu derin farkı görmezden gelmektedir. Ya da OT ağından IT ağına giden izleme verileri ile IT ağından OT ağına giren kontrol verileri arasındaki derin farkı görmezden gelmektedir. Burada önemli olan; bilgiyi korumaya odaklanmak yerine, güvenli ve güvenilir fiziksel operasyonları, ağlara giren kötü niyetli saldırganlardan nasıl koruyabileceğinin bulunmasıdır.

ISO 27001 ve Güvenlik Mühendisliği

Gelişmekte olan güvenlik mühendisliği disiplini daha çok fiziksel operasyonları korumaya odaklanmıştır. Güvenlik mühendisliğinin amacı verileri korumak değil, siber tehditlerden kaynaklanan kabul edilemez fiziksel sonuçları önlemek için mühendislik tekniklerini kullanmaktır. Sonuçta mühendislik mesleği, yüzyılın büyük bir bölümünde kamu güvenliğine yönelik fiziksel tehditleri yönetmektedir. ISO 27001'e aşina olan insanların kafasını karıştıran şey, mühendislik mesleği için mevcut olan araç ve tekniklerin genellikle 27001 programlarında rutin olarak kullanılan araç ve tekniklere hiç benzememesidir. Örneğin:

*Aşırı basınç valfleri, fırınların siber manipülasyonu nedeniyle kazan patlaması riskini ortadan kaldırır,

*Manuel operasyon yedekleri, kritik altyapının çalışmaya devam edebilmesini sağlar,

*Tek yönlü ağ geçitleri, potansiyel olarak kötü niyetli kontrol verilerinin endüstriyel ağlara geri dönmesine izin vermeden izleme verilerinin endüstriyel ağlardan çıkmasını sağlar.

ISO 27001 standardında aşırı basınç valfleri veya vanalardan bahsetmemektedir. Aşırı basınç valflerinin kullanımı siber güvenlik önlemi değildir. Siber tehditler de dahil olmak üzere güvenliğe yönelik çeşitli tehditler için fiziksel hafifletmelerdir. İnsanlar giderek artan bir şekilde bu çözüm sınıfını mühendislik sınıfı çözümler olarak adlandırmaktadır. Mühendislik sınıfı çözümler deterministtirve tehdit / risk ortamı ne olursa olsun her zaman aynı şeyi yaparlar.

 

ISO 27001 Sertifikasyondan Sonra Daha da Karmaşık Hale Geliyor

Bir kuruluş ISO 27001 sertifikası aldığında, genellikle tüm endüstriyel tesisler ve varsa diğer fiziksel operasyonlar da dahil olmak üzere kuruluşun tamamı sertifikalandırılır. Bu durum bilgiyi korumanın siber saldırılardan kaynaklanan fiziksel riskleri yönetmek için çok zayıf bir uyum olduğu gerçeğine rağmen böyledir. Bu zayıf uyuma rağmen, kurumsal çapta ISO 27001 zorunluluklarına uymak gerekiyorsa, en azından zamanın bir kısmında 27001 dilinin ve yaklaşımının kullanması gerekmektedir.

Daha da kötüsü, bazı fiziksel operasyonlar gerçekten de korumaları gereken önemli gizli verilere ve ticari sırlara sahiptir. Örneğin ilaç üretimini veya otomobil üretiminde, kötü niyetli kontrolün operasyonları sabote etmesini önlemenin yanı sıra izleme verilerinin  de gerçekten koruması gerekmektedir.

27001'in Alt Satırı

Sonuç olarak, ISO 27001 tanımlarının ve tekniklerinin endüstriyel ortamlarda körü körüne uygulaması mümkün değildir. Çoğu zaman bu tanımlar siber nedenlerden kaynaklanan fiziksel riski yönetmeye yönelik mühendislik yaklaşımların görünmesini engeller. Başarılı olmak için şunlar yapılmalıdır:

*Mühendislerin ve kurumsal güvenlik çalışanlarının aynı masada buluşması gerekmektedir. Böylece güvenlik çalışanları ISO 27001 sertifikasyon gerekliliklerini karşılamak için neler yapılması gerektiğini açıklarken, mühendisler de siber saldırıların en zarar verici fiziksel sonuçlarının tamamen ortadan kaldırılması için neler yapabileceğini açıklamalıdır.

*Veri akışlarının ve endüstriyel sahadan çıkan izleme verilerini tehlikeye atmanın veya çalmanın potansiyel sonuçları anlaşılmalıdır.

*Kontrol açısından kritik ağlara, tehlikeye atılmış kontrol bilgilerinin girme olasılığını kontrol etme ve hatta tamamen ortadan kaldırma görevine mühendislik sınıfı çözümler uygulanmalıdır.

Evet, günümüzün giderek artan ISO 27001 sertifikalı işletmelerde, endüstriyel kullanıcılar 27001 denetim ekibini mutlu etmek için yeterince "bilgiyi koru" konuşması yapmak zorundadır. Ancak izleme bilgilerinin kontrol bilgileriyle, siber güvenlik azaltmalarının da büyük risk sınıflarını tamamen ortadan kaldıran ve bunu bazen nesiller boyunca güvenilir bir şekilde yapan mühendislik sınıfı tasarımlarla karıştırmamalıdır.

Kaynak: https://waterfall-security.com/iso-27001-confusion/