Endüstriyel kontrol sistemlerindeki siber güvenlik açıklarının sonucunun neler olabileceğini görmek adına bir senaryo örneği ele alalım. Elektrik iletim şebekesinde devre kesiciler plan dışı çalışıyor. Kurtarma işlemleri için müdahale edilmek istendiğinde, her gün gerçekleştirilen işlemlerin yapılmasının bile mümkün olmadığı gözlemleniyor. Mühendislik istasyonları, insan-makine-arayüzleri (HMI) ve denetleyiciler (PLC) üzerinde işlem yapılamıyor. Bunlar geçekleşirken sanayi, kamu ve sağlık kuruluşlarının yanı sıra yüz binlerce insan elektriksiz kalıyor. Ukrayna’nın elektrik şebekelerinde meydana gelen bu olay, siber saldırılara karşı yapılacak çalışmaların önemini bir kez daha bizlere gösteriyor. Bu çalışmalardan basit ama önemli olan “yama yönetimi” konusunu birlikte değerlendirelim.
Son yıllarda enerji, kimya, üretim ve ulaştırma gibi kritik altyapı sistemlerine gerçekleştirilen ve önemli kayıplara yol açan siber saldırıların ardından bu sistemlerde kullanılan kontrol sistemlerinin güvenliğini sağlamak hem organizasyonlar hem de devletler için hayati önem kazandı. Bu kontrol sistemleri; endüstriyel proseslerin izlenmesini, kontrol edilmesini ve otomasyona bağlanmasını sağlayan bileşenlerden oluşur ve güvenliğini sağlamak, BT sistemlerinin güvenliği kapsamında kullanılan geleneksel yöntemlerden ayrışır. BT güvenliği bilginin gizliliğini ve bütünlüğünü ön planda tutarken OT (Operasyonel Teknoloji) güvenliğinde öncelik erişilebilirlik ve emniyettir. Ayrıca BT güvenliğindeki tedarikçi desteği, yeni ve uyumlu sistemler ile güvenlik profesyonellerinin yeterliliğinin EKS sistemleri için kısıtlı oluşu bu sistemlerin güvenliği hakkında farklı yaklaşımları zorunlu kılar.
Endüstriyel kontrol sistemlerine yönelik gün geçtikçe artan siber tehditler, risklerin tanımlanması ve analizi kapsamında yeteneklerin geliştirilmesi ihtiyacını ortaya koydu. Zafiyetlerin belirlenmesi, sınıflandırılması ve kapatılması konularını içeren “zafiyet yönetimi” ile yamaların belirlenmesini, test edilmesini ve uygulanmasını ele alan “yama yönetimi” birbirinden farklı konular olsa da el ele yürürler. Bu konular endüstriyel kontrol sistemlerinin güvenliğini ve dayanıklılığını sürdürmek için ele alınması gereken temel kavramlardan iki tanesidir.
Zafiyet yönetiminde genellikle ilgili ekipler ellerinde bulunan ücretli ya da açık kaynak ürünlerle zafiyet taraması yapar, bulunan zafiyetleri raporlar ve bunların kapatılmasını sağlar. Kullanılan bu araçların etkinliği tedarikçi-özel donanım ve yazılımlar, operasyonel etki ve kısıtlı bağlanabilirlik nedeniyle azalabilir. Yama yönetimi ise varlık yönetimi ve konfigürasyon yönetimi gibi konularla birlikte ilerler. Gelişmiş zafiyet yönetimi programlarında, yama yönetimi bu başlık altında bulunabilir. Yamaların belirlenmesi, test edilmesi ve uygulanması yama yönetimiyle ele alınır.
Yama yönetimi üst seviye olarak aşağıdaki adımlarla ele alınabilir:
Varlıkların belirlenmesi ve sınıflandırılması: Doğru oluşturulmuş bir varlık envanteri, kapsamdaki varlıkların görünürlüğü açısından gereklidir. Çok sayıda siber saldırının başarılı olmasının nedeni takibi yapılmayan varlıklardır. Donanım, yazılım, işletim sistemi, denetleyici, sensör ve ağ cihazlarının kaydı oluşturulup belirlenen bu varlıklar kritiklik derecesine göre sınıflandırılarak önceliklendirilir.
Yedekleme yapılması: Donanım arızaları, insan hataları, siber saldırılar gibi risklere karşı yedeklerin alınması hem vakit kazandırır hem de iş kayıplarını önlemeye katkıda bulunur. Bu kayıpların yaşanmaması için geri dönüş yolu olarak yama uygulanan sistemlerin yedeğinin alındığından emin olunur.
Zafiyetlerin belirlenmesi ve önceliklendirilmesi: Periyodik olarak zafiyet taraması yapılır ve etki-olasılık kombinasyonuna göre bulgular önceliklendirilir. Windows gibi bazı işletim sistemlerinde güncellemeler otomatik olarak gerçekleştirilir. Ancak EKS sistemlerinde zafiyet ve yamalar için tedarikçilerin web sitelerine manuel olarak göz atmak gerekir. Bunlarla birlikte ICS-CERT gibi kaynaklar takip edilerek EKS sistemlerine özel kuruluşu ilgilendiren zafiyetler belirlenir.
Yamaların belirlenmesi ve test edilmesi: Yamalar belirlenirken yamaların tedarikçiler tarafından dağıtıldığı teyit edilmelidir. Uygulamadan önce, uygulanacak sistemin birebir oluşturulduğu test ortamında test edilerek sistemin çalışmasını etkilemediğinden ve yeni sorunlar ortaya çıkarmadığından emin olunur.
Yamaların uygulanması: Test edilen yamalar, uygulamadan önce oluşabilecek aksiliklere karşı bir geriye dönüş planı hazırlanır. Aynı zamanda uygulama boyunca yapılan tüm aktiviteler ve tüm kayıtlar belgelenir. Uygulama yapıldıktan sonra ise sistemler test edilerek sorunsuz bir şekilde çalıştığı teyit edilir.
Sürekli izleme sağlanması: EKS sistemlerindeki yeni tehditleri ve güvenlik açıklarını tespit edip müdahale edebilmek amacıyla sürekli izleme araçları kullanılır ve bazı prosedürler oluşturulur. Güvenlik ihlalleriyle en kısa sürede başa çıkmak için açıkça tanımlanmış bir olay müdahale planı oluşturulur.
Sonuç olarak, EKS sistemlerinde yama yönetimi, BT sistemlerine göre daha karmaşıktır. Bu nedenle diğer tüm kontroller gibi, yama yönetimi de büyük bir özenle ele alınmalıdır. Yamanın mümkün olmadığı durumlarda en iyi uygulamalar ve standartlar referans alınarak telafi edici kontroller uygulanmalıdır.
*Bu yazı, Danışmanlık Bölümü Siber Güvenlik Hizmetleri Müdürü Temel Demir’in katkılarıyla hazırlanmıştır.
