İnsan faktörü, endüstriyel süreçleri riske atabiliyor

‘Endüstriyel Siber Güvenliğin Durumu 2019 Raporu’na göre, çalışanların yaptığı hatalar veya istemeden yapılan hareketler, geçen yıl operasyonel teknoloji ve endüstriyel kontrol sistemi ağlarını etkileyen vakaların yüzde 52’sini oluşturdu.

A+ A-

Otomasyona rağmen insan faktörü halen endüstriyel süreçleri riske atabiliyor. Çalışanların yaptığı hatalar veya istemeden yapılan hareketler, geçen yıl operasyonel teknoloji ve endüstriyel kontrol sistemi (OT/ICS) ağlarını etkileyen vakaların yüzde 52’sini oluşturdu. Kaspersky’nin ‘Endüstriyel Siber Güvenliğin Durumu 2019’ adlı raporuna göre, söz konusu sorun çok daha geniş ve karmaşık bir durumun bir parçası. Endüstriyel alt yapıların giderek daha karmaşık hale gelen yapısı karşısında daha gelişmiş koruma yöntemleri ve beceriler gerekiyor. Ancak, kurumlar bu yeni tehditlerle başa çıkabilecek profesyonelleri bulmakta zorlanıyor ve çalışanların konu hakkındaki farkındalığı çok düşük seviyede.
Birçok endüstri şirketi, endüstriyel ağlarını dijitalleştirmeyi ve Endüstri 4.0 standartlarını uygulamayı planlıyor. Her beş kurumdan dördü (yüzde 81), operasyonel ağların dijitalleştirilmesini bu yıl tamamlanması gereken önemli veya çok önemli bir iş olarak görüyor. Ancak, bağlantılı alt yapıların faydaları olduğu gibi siber güvenlik riskleri de var. İyi haber ise, araştırmaya katılanların da ortaya koyduğu gibi (yüzde 87), OT/ICS siber güvenliğinin endüstri şirketleri için en önemli önceliklerden biri haline gelmesi. Ancak, gerekli seviyede güvenlik için özel önlemlere yatırım yapmalı ve bunları verimli şekilde kullanabilme becerisine sahip profesyonelleri işe almalılar. Şirketler, siber güvenliğe öncelik verdiğini belirtse de; ancak yarısı (yüzde 57) endüstriyel siber güvenlik için bütçe ayırıyor.

Yetkin eleman konusunda sıkıntı yaşanıyor
Bütçe kısıtlamalarının yanı sıra konu hakkında yetkin eleman eksikliği de bulunuyor. Kurumlar, endüstriyel ağların güvenliğini yönetme becerisine sahip siber güvenlik uzmanı bulmakta zorlanmakla kalmıyor; ayrıca OT/ICS ağ operatörlerinin siber güvenlik sızıntılarına neden olabilecek davranışların neler olduğunu bilmediğini düşünüyor. Bu sıkıntılar, siber güvenlik yönetimine ilişkin iki büyük endişeyi oluşturuyor. Ayrıca, zararlı yazılım bulaşması ve daha ciddi hedefli saldırılar gibi ICS vakalarının yarısının neden çalışan hatalarından kaynaklandığını da açıklıyor.Şirketlerin yaklaşık yarısında (yüzde 45), BT altyapı güvenliğinden sorumlu kişiler temel görevlerine ek olarak OT/ICS ağlarını da kontrol ediyor. Böyle bir yaklaşım beraberinde güvenlik risklerini de getiriyor. Operasyonel ve kurumsal ağlar giderek daha bağlantılı hale gelse de, bunların uzmanları siber güvenlik için farklı yaklaşımlara (yüzde 37) ve farklı hedeflere (yüzde 18) sahip.

Shebuldaev: "Güvenliği artırmak istiyorlar"
Kaspersky Endüstriyel Siber Güvenlik Marka Müdürü Georgy Shebuldaev, “Bu yılki araştırma, şirketlerin endüstriyel ağlarının güvenliğini artırmak istediğini gösterdi. Bu, ancak yetkin eleman azlığı ve çalışan hataları gibi riskler çözüldüğünde başarılabilir. BT güvenliği uzmanları ve endüstriyel ağ operatörlerinin düzenli eğitimi ile teknik korumayı bir araya getiren çok katmanlı bir yaklaşım izlenerek, ağların tehditlere karşı korunmasını sağlanabilir ve güncel becerilere sahip olunabilir” dedi.
Endüstriyel siber güvenlik için teknik gelişme kaydetmek ve farkındalık kazanmaya ek olarak, kurumların dış dünyaya sıkıca bağlı olabilen Endüstriyel IoT’ye (IIoT) özel bir koruma sistemi kurmayı düşünmesi gerekiyor. Şirketlerin neredeyse yarısı (yüzde 41), koruyucu bakım veya dijital ikiz kullanarak OT/ICS ağlarını buluta bağlamaya hazır durumda.

Molina: "Güvenlik sorunu olmayı sürdürüyor"
Waterfall Security Solutions İş Geliştirme Direktörü ve IIC Güvenlik Çalışma Grubu Başkanı Dr. Jesus Molina ise, şunları söyledi: “Kaspersky adına ARC Advisory Group tarafından düzenlenen bu anket, IIoT uç cihazları ile bulut hizmetleri arasında artan bağlantının bir güvenlik sorunu olmaya devam ettiğini gösteriyor. Bu sorun, IIC Endüstriyel IoT Güvenlik Çerçevesi ve IoT Olgun Güvenlik Modeli için en iyi örneklerin oluşturulmasının ardındaki en büyük nedendi.”