Geleneksel olarak, proses endüstrisi ve düzenleyici organlar öncelikle Endüstriyel Kontrol Sistemleri ( EKS ) ile ilgili emniyet riski ile ilgilenmektedir.

Sonuç olarak, iyi kurulmuş proses ve fonksiyonel güvenlik yönetimi rejimleri bulunmaktadır  ve Tehlike ve Operasyonel (HAZOP) Çalışmaları, Koruma Analizi Katmanları (LOPA) ve Kantitatif Risk Değerlendirmesi (QRA) gibi tehlike tanımlama ve risk analizi yöntemlerini desteklemektedir. IEC 61511 ise  (Fonsiyonel Emniyet – Proses endüstrisi sektörü için emniyetli cihaz sistemleri) proses endüstrisi için fonksiyonel emniyet standardı olarak yaygın bir şekilde benimsenmiştir.

Ağ Güvenlik Yapısı Örneği

ICS’nin ( EKS’nin ) Siber Güvenlik Riski

Endüstriyel Kontrol Sistemleri’nin ( EKS ) siber güvenlik riskiyle ilgili artan bir endişe var. Bunun nedeni ise:

Modern EKS’ler, bir siber saldırıya daha yatkın

Tiacri ve kolay erişilebilen (COTS) donanım, yazılım ve standart ağ protokolleri (ör. IP) kullanılarak gerçekleştirilen EKS’nin ağ bağlantısında istikrarlı bir artış bulunmaktadır. Bu, modern EKS’yi Internet’in yaygınlaşmaya başlamasından beri bilişim sistemlerini rahatsız eden siber saldırılara karşı daha hassas hale getirmektedir.

EKS güvenlik ihlallerinin sonuçları ağır olabilir

Siber saldırılar, EKS’nin arızalanmasına veya kullanılamamasına veya Emniyetli  Cihaz Sistemleri’nin (SIS) çalışmamasına neden olabilir. EKS güvenlik riski, büyük sağlık, güvenlik veya çevresel sonuçlarla sonuçlanabilecek bir kaza potansiyeline sahiptir.

Son Güvenlik İhlalleri

Basitçe belirtmek gerekirse, bir EKS güvende değilse, emniyetli değildir. Bu, son yıllarda meydana gelen güvenlik ihlal örnekleri ile kanıtlanmıştır:

Ukrayna.

Saldırganlar bir uzaktan erişim elde etti ve bir bölgesel elektrik dağıtım şirketinin endüstriyel kontrol sistemlerini manipüle etti. 225,000 Ukraynalı kullanıcın birkaç saat boyunca elektrikleri kesildi.

Almanya.

Almanya’daki bir çelik şirketine saldırı, bir yüksek fırının düzgün şekilde kapatılmasını engelleyecek şekilde kontrol sistemini bozarak önemli hasara neden oldu.

‘Stuxnet solucanı’:

İran nükleer tesisinde santrifüjlere zarar verdi (USB kullanımı vasıtasıyla)

Standartlar ve Uyum

Standartlar ve düzenleyici organlar, EKS için artan siber güvenlik riskine dikkat çekti , örneğin:

IEC 61511’in yakın tarihli (2016 yılı) yayınlanmış baskı 2’de, bir güvenlik riski değerlendirmesi yapmak için YENİ bir gereksinim bulunmaktadır (IEC 61511, Bölüm 1, Madde 8.2.4).

Tesisiniz IEC 61511 baskı 2’deki güvenlik gereksinimleriyle uyumlu mu, yoksa yeni güvenlik önlemi kapsamında SEÇ denetimine hazır mı? Bunun sizin için anlamı nedir?

Bu soruyu cevaplamak için kendinize şu soruları sormanız gerekir:

Uygun bir güvenlik yönetimi sistemi var mı? Siber güvenlik yönetim sistemi, asgari olarak aşağıdaki konuları kapsamalıdır:

    • Kurumsal siber güvenlik politikası
    • Yeterlik
    • Siber güvenlik risk değerlendirmesi şartları
    • Siber güvenlik denetimi
    • Siber güvenlik performans izleme
    • Değişim yönetimi

EKS ve SIS için bir güvenlik riski değerlendirmesi yapıldı mı?

  • EKS ve SIS, bir Yerel Alan Ağı’na (LAN), Geniş Alan Ağı’na (WAN), İnternet’e bağlı mı?
  • EKS ve SIS bir siber saldırıdan korunmaya açık mı?
  • Varlıklar, tehditler, zayıf noktalar, varolan karşı önlemler ve ortaya çıkan siber güvenlik riskleri nelerdir?
  • Riski azaltmak için siber güvenlik gereksinimleri nelerdir?

Image: ISA-62433 part 1-1

 

CEVAP VER

Lütfen yorumunuzu girin!
Lütfen isminizi giriniz