Çoğu zaman, endüstriyel kontrol sistemleri ( ICS’ler  ya da EKS ler ), EKS mühendisleri ve onların bilgi teknolojisi (BT, IT) muadillerinin bulunduğu tesislerde, siber güvenlik konusunda çok farklı perspektifler vardır.

Siber güvenlik yaklaşımındaki bu farklı perspektifler, EKS’yi tesisin BT sistemine bağlarken genellikle çatışmalara neden olur. Bunun pek şaşırtıcı olduğunu söyleyemeyiz değil mi?

Geçmişte, EKS’ler tedarikçiye bağımlı ve kapalı donanım ve yazılım kullandığından, BT ve EKS arasındaki bağlantı öncelikle iletişim kurmaya odaklanmıştı. 1990’ların ortalarında EKS’lere Ethernet ve Microsoft Windows girdi. Bunu takiben OPC arayüzlerinin geliştirilmesi, iletişim ve bağlantı sorununu büyük ölçüde basitleştirdi. Ancak bu sefer de EKS daha önce BT sistemleri için olduğu düşünülen güvenlik tehditlerine maruz kaldı.

Son birkaç yıl içinde endüstriyel sistemlere yapılan saldırılar hızla arttı. Bunun sonucunda BT sorumluları EKS’ler de dahil olmak üzere tüm tesis için genel siber güvenlikten sorumlu tutulmaya başladılar. BT sorumlularının genel olarak bu konuya hakim olduğu kesinlikle göz ardı edilemez. Fakat burada gözden kaçırılmaması gereken önemli bir konu bulunmaktadır. O da EKS sistemleri ile BT sistemleri arasındaki temel farklılıklar nedeniyle tüm BT güvenlik çözümlerinin EKS’ler için her zaman uygun olmadığı gerçeğidir.

Endüstriyel tesisler genellikle çok sayıda üretim sürecine ve EKS’ye sahiptir ve bazıları doğal olarak diğerlerinden daha kritiktir. Sonuç olarak, sadece BT ile EKS’ler arasında değil, farklı EKS’ler arasındaki güvenliğin de farklı şekilde ele alınması oldukça sık rastlanan bir konudur.

Bu yazıda, EKS’lerin, bilişim güvenliği ile bağlantılı olarak BT sistemlerinden nasıl farklılaştıkları anlatılmaktadır. BT ve EKS profesyonellerinin ortaklaşa ilk on farkı anlamaları ve tüm organizasyonun yararlanabileceği uygulanabilir güvenlik çözümleri geliştirmeleri önemlidir.

Fark # 1: Güvenlik hedefleri

EKS ve tesisin BT güvenliği arasındaki en büyük farklardan biri her birinin temel güvenlik hedefidir. Tesis BT sistemleri, birincil siber güvenlik hedefi veriyi korumak (gizlilik) olan operasyonel sistemlerdir. Buna karşın, bir EKS’nin başlıca siber-güvenlik hedefi, üretim sürecinin bütünlüğünü ve bileşenlerin kullanılabilirliğini korumaktır. Bilginin korunması hala önemlidir, ancak üretim kaybı derhal bir gelir kaybına dönüşür. Üretim bütünlüğüne yönelik tehdit örnekleri olarak ise, üretimi bozan, görüş / kontrol kaybına neden olan, üretim ekipmanına zarar veren veya olası güvenlik sorunlarına yol açan tehditleri görebiliriz.

EKS’lerin üretim sürecine odaklanmasının sonucu olarak, EKS’yi ve fiziksel prosesi tesis IT sisteminden ayırmak için EKS güvenliği kapsamlı bir dizi koruma ile gerçekleştirilir. Bu izolasyon, # 2 farkının konusu.

Fark # 2: Ağ Bölümlemesi

EKS ve BT sistemlerini bağlarken karşılaşılan ilk farklılık, bölümlere ayrılmış ve korunmuş olmasıdır. Bilişim sistemleri genelde belirli seviyede İnternet bağlantısı olan birbirine bağlı alt ağlardan  (“subnetwork “) oluşur. Sonuç olarak, erişim denetimleri ve Internet’ten koruma, BT ağ güvenliğinin ana odak noktasıdır. Internet ile bağlantı sınırında sofistike güvenlik duvarları, proxy sunucuları, saldırı tespit / önleme cihazları ve diğer koruyucu mekanizmaları görülür.

Bu sınırın içerisinde, IT ağının geri kalan kısmı genellikle örgütsel ve coğrafi sınırlarla hizalanan alt ağlara bölünür. Bu alt ağlar arasındaki erişim gerekli olduğundan aralarındaki güvenlik sınırlandırılmıştır. Ancak, onlardan gelen tüm trafiğin Internet’e erişebilmesi için, internet güvenliği sınırından geçmesi gerekmektedir. Öte yandan, EKS ağları, iki üst düzey güvenlik gereksinimi olan endüstriyel intranetler olarak görülebilir. Birincisi, EKS şebekelerinden internet’e veya e-postaya erişim izni verilmemelidir. İkincisi, EKS ağları, özellikle internet erişimi olan diğer ağlardan titizlikle korunmalıdır.

Bu gereksinimleri karşılamak ve tesis BT sisteminden izole olmak için EKS’ler genellikle ağ güvenlik cihazlarını (örneğin, güvenlik duvarları) kullanmaktadır. Yalnızca ağ kapıları olarak görev yapan EKS içindeki iş istasyonları ve sunucular, bu EKS çevre güvenlik cihazları aracılığıyla EKS’ye erişime izin vermektedir. Bu yöntem EKS kontrol ağındaki diğer aygıtların doğrudan fabrika ağına erişmesini önler. Bu ağ geçitlerinde, EKS kontrol ağına bağlanmalarına izin veren ek bir ağ kartı olmalıdır. Genel olarak, yalnızca tesis şebekesinden EKS’ye erişme yetkisi verilen cihazlar, bu EKS şebeke güvenlik cihazlarından haberdar olmalı ve bu yolla EKS ağ geçitlerine mesajlar gönderebilmelidir.

EKS’ler tesis IT sisteminden tesis ağı ile EKS arasında kalan bir demilitarize bölge (DMZ) tarafından daha da yalıtılmalıdır. DMZ, keşfedilmemiş bir ağ güvenlik cihazı ile tesis ağından gizlenmesi gereken bir intranettir. EKS’ye olan tüm harici erişim önce bu cihazdan geçmeli ve daha sonra DMZ sunucularında sonlandırılmalıdır. DMZ sunucuları, tesis ağı üzerindeki istemcilere, EKS verileri ve bu sunucuların bağımsız olarak EKS ile ayrı ve izole edilmiş iletişim yoluyla edindikleri bilgileri temin eder. DMZ’yi EKS’ye bağlayan ağ güvenlik aygıtı, tüm EKS erişimlerinin DMZ sunucularından geçmesini sağlamak için yalnızca bu yalıtılmış iletişimlere izin verecek şekilde yapılandırılmalıdır.

Bir başka önlem olarak, DMZ, tesis ağı mesajlarının hatalı bir şekilde DMZ’ye yönlendirilmesini önlemek için, tesis ağında kullanılan alt ağ adreslerinden bağımsız özel alt ağ adreslerini kullanmalıdır. Benzer şekilde EKS, DMZ adreslerinden bağımsız özel alt ağ adreslerini kullanmalıdır.

EKS ağları genellikle uzak giriş / çıkış (G / Ç) sistemlerine sahipken BT ağları bunu yapmaz. Bu sistemlerde, G / Ç cihazları uzak coğrafi yerlere kurulur ve  genel ağlar, sanal özel ağları (VPN’ler) ve uydu bağlantıları üzerinden modemler yoluyla EKS’ye bağlanır. Bu bağlantılar güvenlik sorunları doğurabileceğinden dikkatli olmalısınız.

Kaynak : Automation.isa.org

 

CEVAP VER

Lütfen yorumunuzu girin!
Lütfen isminizi giriniz