Endüstriyel kontrol sistemlerinin en büyük avantajı dışarıdan ulaşıma kapalı olmasıdır.

Fakat bilgisayarların ve modern toplumda internet kullanımının yaygınlığı arttıkça bu izole sistemler korunmasız kalmaya başladı.

Bu korunmasızlık, bir çoğu sistem ilk yüklendiğinde ortaya çıkan ve internetin ve modern teknolojinin gelişmesi nedeniyle tahmin etmesi imkansız sayıda güvenlik endişesi yarattı. Bu sistemlerin bir çoğu artık izinsiz girişlere karşı güvenli değil.

Güvenliğin önemli bir kavramı da unutmamaktır. Bir saldırgan sınırsız zaman ve kaynağa sahip olduğundan, her zaman korunan sisteme giriş sağlayabilir. Bu nedenle güvenlik sistemlerinin asıl amacı sadece izinsiz girişi önlemek değil, mümkün olan en fazla sayıdaki saldırganın girişini normal kullanımı engellemeden kısıtlamaktır.

Bunun için en iyi örnek ön kapınızdaki kilittir. Bir kilit, birinin kapıyı açıp içeri girmesini önler fakat birinin kapıyı kırmasını ya da başka bir yolla içeri girmesini önlemez. Bu zayıflığı düzeltmek için bir seçenek de evinizi çimento ile kaplamak ve çevreye silahlı bodyguardlar koymak olabilir fakat bu sizin günlük aktivitelerinizi önleyip fahiş fiyatlara mal olabilir. Daha mantıklı çözüm ise evinizin güvenlik limitlerini kabul etmek ve kapınızı kitleyerek, evde olmadığınız zamanları ilan etmeyerek ve benzeri çözümlerle sağlanabilir.

Evinizle kıyaslandığında endüstriyel tesis daha değerlidir ve güvenlik için daha yüksek bütçeye ihtiyaç duyar. Mantıklı seçenek ise genellikle çitler, geçitler, kameralar ve geçiş kontrol sistemidir. Bu sistemler belirlenen davetsiz misafiri durdurmaz fakat izinsiz girişi önlemek için yeterince caydırıcıdır.

Eviniz ve endüstriyel kompleks gibi bir bilgisayar sistemi de belirlenen bütçeye ve sistemin normal çalışma durumuna göre belirli bir oranda güvenli olabilir. Ayrıca bir ev ve endüstriyel kompleks gibi, bir bilgisayar sisteminin güvenliğini kırmanın en kolay yolu insan kaynaklı hata sayesinde avantaj kazanmak ile sağlanır.

En yaygın örneği, sosyal mühendislik ya da birini kullanarak korunan bilginin ifşa edilmesi olabilir fakat diğer bir örnek bilgisayar virüsleri ya da kötü amaçlı yazılımların kullanıcı tarafından sisteme kaza ile bulaştırması şeklindedir. Ne yazık ki bu en zor güvenlik tehditidir çünkü insan davranışlarının değiştirilmesine ihtiyaç duyar. Daha iyi bir çözüm ise kullanıcının güvenli olmayan uygulamaları takip etmesini zorlaştırmak olabilir. Bazı basit çözümler aşağıdadır:

  • Her bir kullanıcıya bireysel hesap ve güçlü parola verilmeli
  • Verilen parolalar düzenli olarak değiştirilmeli
  • Eğer uygun ise kullanıcı hesapları aktif olmadığında sistemden otomatik olarak çıkış sağlanmalı
  • Kullanıcı adı ve şifre yerine akıllı kart okuyucu kullanılmalı
  • CD ya da disket sürücüleri kaldırılmalı ve gerekli olduğunda dışarıdan USB versiyonu kullanılmalı
  • Tüm USB portlarına fiziksel port engelleyici kullanılmalı ve klavye ve mause bağlantıları PS2 portları üzerinden sağlanmalı
  • Virüs tarayıcı kullanılmalı ve destekleniyorsa viris tarayıcının tüm sistemi güncel tutulmalı
  • Kullanıcılara düzenli olarak parolalarını paylaşmamaları ve diğer güvenlik uygulamaları hatırlatılmalı

Yukarıdaki uygulamalardan çoğu nispeten ucuz ve normal çalışma şeklini etkilemeyecek şekildedir ve yaygın güvenlik zayıflığını azaltmaya yardımcı olur.

Bir diğer özel konu güçlü parola fikridir. Paroların en önemli meselesi güçlü fakat hatırlanması kolay olacak şekilde belirlenmesidir. Parolanın gücü uzunluğuna bağlıdır ve uzun parolaların hatırlanması daha zordur. Bu sorunu çözmek için bir cümleyi parola olarak belirleyin. Bu şekilde belirlenen parolaları hatırlamak daha kolaydır ve tipik 8 karakterli parolaya göre bir bilgisayarın tahmin etmesi daha zordur.

İzinsiz giriş için bir sonraki en yaygın yöntem güvenliğe sadık kalınarak zayıf tasarlanan sistemler. Bilgisayar ve ağ güvenliği geniş ve karmaşık bir alandır fakat temel öğeler basit, kolay ve çok önemlidir. Çünkü endüstriyel kontrol sistemleri doğal olarak güvenliksizdir ve en iyi yöntem bu sistemleri tamamen ağ bağlantısından izole etmektir. Ne yazık ki bu her zaman mümkün değil sonuç olarak da en iyi seçenek, gerekli olmayan tüm ağ girişlerinin silinmesi şeklinde.

Bu uygun yapılandırılan güvenlik duvarıyla gerçekleştirilebilir. Bu durumda uygun yapılandırılma anlamı, iç ve dış trafik için bir ak liste oluşturulmasıdır. Bu bilgili bir admin ile sağlanabilir ve genellikle tekil bir site olur. Aşağıda görüldüğü gibi güvenlik duvarı ICS (Industrial Control System – Endüstriyel Kontrol Sistemi)  noktasında olmalıdır.

Ek olarak sisteme ihlal belirleme sistemi (IDS) konfigüre edilip yüklenebilir. IDS’nin amacı olağan dışı trafik veya aktivite gerçekleştiğinde  admini uyarmaktır. Bu sistemler genellikle  toplu ağlarda kullanılır ve uygun konfigürasyon ile ICS’e ek olarak güvenlik sağlar. Eğer ağ bağlantısına ara sıra ihtiyaç duyuluyorsa  uzaktan bir entegratörün çalışmasına izin verilmeli örneğin ihtiyaç olmadığında ağ bağlantı kablosunu takılı bırakmamak iyi bir önlem olabilir.

Eğer kablosuz bağlantı gerekiyorsa ya da sistem internet üzerinden haberleşmeye gerek duyuyorsa ek güvenlik ölçümüne ihtiyaç duyulur. Koblosuz ağ için en iyi seçenek  güçlü parolalı WPA2-PSK güvenliğidir. İnternet üzerinden bağlantılar VPN üzerinden geçmeli ve uzaktan izin verilen herhangi bir bağlantınin da güvenli olduğundan emin olunmalıdır. Bir VPN kurulumunda parola yerine kırılması daha zor olan sertifika kullanılmalıdır. Bilgili bir admin için VPN kurulumunda sertifika kullanımı en yaygın senaryodur.

CEVAP VER

Lütfen yorumunuzu girin!
Lütfen isminizi giriniz