Yetersiz personel, yetersiz yatırımlar ve insan hataları güvenliği riske atıyor

Kaspersky Lab’in ‘Endüstriyel Siber Güvenliğin Durumu 2018’ anketi, endüstri, enerji, taşımacılık ve lojistik şirketlerinin, siber saldırıların kendi endüstriyel ağlarına negatif etkileri konusunda farklı fikirlere sahip olduğunu gösterdi. Ancak ağları güvenli kılmayı etkileyen sorunlar söz konusu olduğunda herkesin üzerinde anlaştığı üç temel sebep var: Yetersiz personel, üst yönetimin yetersiz yatırım yapması ve insan etkeni. Her 6 ayda Endüstriyel Kontrol Sistemlerinde kullanılan (Industrial Control Systems) bilgisayarlarının yaklaşık %40’ının saldırıya uğradığı bir dünyada, kritik altyapılardaki bu tür siber güvenlik açıkları kurumlar için riski önemli ölçüde artırıyor.

Her şirketin farklı korkuları var

Sektöre bağlı olarak, siber tehditlerin yol açtığı hasara ilişkin kurumların farklı değerlendirmeleri oluyor. Hizmet tabanlı bir iş modeline sahip olan taşımacılık ve lojistik şirketleri için en büyük etki müşteri güvenini kaybetmek (%75). Ancak, üretim yapan şirketlerin (%76) ve enerji şirketlerinin (%73) çoğu en fazla, siber saldırı nedeniyle üretim kalitesinin bozulmasından endişeleniyor.

Yapılan araştırmaya göre, Endüstriyel Kontrol Sistemlerine yönelik ağ saldırılarının sıklığına ve zayıflatıcı etkilerine rağmen şirketlerin yalnızca %52’si bu tür bir vaka ile ilgilenmek için özel müdahale önlemleri almış durumdalar. Buna karşın, kurumsal ağlarda alınan önlemler ise daha olgun bir düzeye geldi. Şirketlerin çoğu (%77), kurumsal BT’yi etkileyen durumlara karşı müdahale önlemlerine sahipler.

Şirketlerin, Endüstriyel Kontrol Sistemleri ağlarını güvene almakta zorlanmasının ardında birçok ortak neden var.

Yetersiz kaynak ve yetersiz bilgi

Endüstriyel ağları koruma görevi genellikle kurumsal bilgi güvenliğini sağlayan kişilere düşüyor. Üretim yapan kurumların %40’ında Endüstriyel Kontrol Sistemleri koruması, kurumsal BT güvenliği yetkililerinin sorumluluğunda oluyor. Taşımacılık ve lojistik şirketlerinde ise ankete katılanların yarısından fazlası (%58) Endüstriyel Kontrol Sistemleri güvenliğinin tehditlere karşı tam zamanlı olarak çalışan özel bir ekip tarafından sağlandığını belirtiyor.

Endüstriyel kurumların, özellikle de karmaşık teknolojik süreçlerle çalışanların, bu açığı kapatmaları için alanında uzmanlaşmış çalışanlara ihtiyaçları var. Örneğin, ulusal kritik altyapıların Endüstriyel Kontrol Sistemleri yardımıyla yönetildiği enerji sektöründe, güvenlik yönetimi konusunda karşılaşılan en büyük zorluk (%61), ilgili, bilgi ve beceriye sahip çalışanları işe alabilmek.

Üst yönetimin ilgisizliği yatırımın az olmasına neden oluyor

Çoğu kurumsal şirkette BT güvenliği üst yönetimin öncelikli konuları arasında yer alıyor. Ancak üretim şirketlerinin yarısından fazlasında (%54) üst yönetim Endüstriyel Kontrol Sistemleri korumasıyla ilgili durumlara pek karışmıyor. Bu da yatırımların gereğinden az olmasına yol açıyor. Bu şirketlerin üçte ikisinde (%66) kritik altyapı güvenliği için özel olarak ayrılmış bir bütçe bulunmuyor. Bu durum bir güvenlik vakası yaşandığında veya risk ortaya çıktığında bile değişmiyor. Üretim yapan kurumların %17’si, bu tür olayları Endüstriyel Kontrol Sistemleri güvenliğine yatırım yapmak için yeterli neden olarak görmüyorlar.

Endüstriyel Kontrol Sistemleri güvenliğinde insan etkeni sorunu asla sona ermiyor

Çalışanların yaptığı hataların sonuçları her sektörden tüm kurumlar için kritik bir tehdit olmaya devam ediyor (%49). Endüstriyel Kontrol Sistemlerinde yaşanan güvenlik vakaları için en sık karşılaşılan nedenlerin zararlı yazılım ve fidye yazılımları olması bu yüzden şaşırtıcı değil. Neyse ki şirketler bu sorunun farkında ve çalışanları eğitip kritik altyapı araçlarında belirli davranış kuralları getirerek bunu çözmeye çalışıyorlar. Kurumların %82’si çalışanlarını, sözleşmeyle iş yaptırdıkları ortaklarını ve bayilerini eğitmeye başladı.

Endüstriyel kurumların en fazla korktuğu sonuçlar ne olursa olsun, saldırıları önlemenin veya etkilerini azaltmanın tek yolu, Endüstriyel Kontrol Sistemleri ağları için sağlam güvenlik önlemleri ve prosedürleri uygulamak. Endüstriyel ağlarda vakaları izleyip anında müdahale etmek, BT güvenliğinin temel önceliği haline gelmeli. Bunun yanı sıra, riskleri en aza indirmek için çalışanları eğitmek ve bilgilendirmek gerekli.

“Siber tehditler sürekli gelişiyor. Yakın zamanda Triton ve Industroyer gibi örnekleriyle karşılaştığımız hedefli saldırılar çalışanların zayıflığından faydalanıyor.  Çalışanların yaptığı hatalar nedeniyle yaşanan vakalar, veri sızıntılarına ve üretim sürecinin aksamasına veya tamamen durmasına neden olabiliyor. Kurumsal şirketler için bu büyük bir para ve itibar kaybına yol açabiliyor” diyen Kaspersky Endüstriyel Siber Güvenlik İş Geliştirme Lideri Georgy Shebuldaev, sözlerini şöyle sürdürdü: “Bunların yaşanmasını engellemek için teknik ve idari önemler alınması gerekli. Bu önlemler arasında çalışanların eğitilmesi ve endüstriyel altyapının her seviyesinde özel siber savunma sistemleri kullanılması yer alıyor.”