Endüstri dünyası, faaliyet alanlarına göre çok çeşitli ve kapsamlı güvenlik önlemleri uygular. Peki siber güvenlik uzmanları, bu yaklaşımı kendi çözümlerine nasıl uyarlayabilir?

Endüstrinin kendisinin, dijitalleşmeden çok daha eski ve deneyimli olduğu bir gerçek. Buhar makinesinin icadıyla başlayan ve seri üretim uygulamalarla gelişen sektör, seri üretimi başlangıç kabul edersek 100 yılı aşkın bir süredir çeşitli güvenlik önlemleri geliştirmiş ve uygulamış durumda. Dünya Ekonomik Forumu’nda konuyla ilgili “Cybersecurity has much to learn from industrial safety planning” başlıklı bir makale yayınlayan Dragos Kurucu Ortağı ve CEO’su Robert M. Lee, sektörün senaryo bazlı güvenlik yaklaşımının siber güvenlik çözümlerine de uyarlanması gerektiğini ifade ediyor.

ICS/OT odaklı siber güvenlik teknolojileri sunan Dragos, konuyu iki tarafıyla ele alan bir şirket olarak öne çıkıyor. Robert M. Lee’nin yazısında da bu net bir şekilde kendini gösteriyor. Güvenlik mühendisliği uygulamalarının siber güvenliğe kolayca uygulanabileceğine dikkat çeken Lee, güvenlik senaryoları geliştirilmesinin siber tehditlere daha kapsamlı ve güçlü bir yanıt vereceğini belirtiyor.

Bir siber saldırının tekil bileşenler üzerinden değil, senaryo bazlı bir sistemle, güvenlik mühendisliğinin planlamaya yönelik yaklaşımını benimsemesinin daha doğru bir uygulama olacağını kaydeden Lee, bu sayede sektörün operasyon yöneticileri ve yönetim kurulları da dahil olmak üzere siber güvenliğe uzak yöneticilerle daha iyi bir iletişim sağlayacağını da belirtiyor.

“Siber güvenlik senaryolara dayanmalı ve üç temel öneriyi içermeli”

Robert M. Lee, senaryo oluşturma noktasında izlenecek yola dair önerilerde de bulunuyor. Bir siber güvenlik stratejisinin üç temel öneriyi içermesi gerektiğini belirten Lee, bunları; “Tekil öğeler yerine senaryoları analiz edin”, “Bilgi ve sonuç odaklı analizleri kullanarak senaryolar türetin” ve “Siber güvenlik ile güvenliğin kesiştiği noktalardaki engelleri önceliklendirin ve bu engelleri kaldırın” olarak sıralıyor. Lee, yazısında bu üç öğeyi detaylandırmayı da ihmal etmiyor:

Tekil öğeler yerine senaryoları analiz edin

“Kuruluşlara izinsiz girişler, kötü amaçlı yazılımlar tarafından değil, insanlar tarafından başlatılır. Bu nedenle bir siber güvenlik analizi, yama veya kötü amaçlı yazılımlardan koruma gibi kontrollere odaklanarak sorunun yalnızca bu olduğu yaklaşımını bırakmalıdır. Kuruluşlar, bu tip bir tekli yaklaşım yerine izinsiz girişleri tüm yaşam döngüsü boyunca bütünsel bir bakışla ele almalı.”

Lee, konuyla ilgili bir örnek de paylaşıyor. Suudi Arabistan’da 2017’de yaşanan ve bir petrokimya tesisinin güvenlik sistemlerine yapılan ve doğrudan insan hayatını hedef alan ilk siber saldırıyı hatırlatan Robert M. Lee, bu saldırının aslında 2014 yılında başladığını ve üç yıl boyunca saldırganların sistem içinde dolaşarak operasyonu ve kullanılan ekipmanları öğrendiğine dikkat çekiyor.

Bilgi ve sonuç odaklı analizleri kullanarak senaryolar türetin

Robert M. Lee, siber güvenlik tehditlerinin kasıtlı ve üzerinde detaylıca düşünülmüş saldırılar olduğunu belirterek, kuruluşların, risk senaryolarını oluşturmak için iki yönlü, istihbarata dayanan ve sonuç odaklı olması gerektiğine vurgu yapıyor.

İstihbarata dayalı senaryoların, başka kuruluşların başına gelen, belgelenmiş vakalar içerdiğini kaydeden Lee, daha önce uygulanmış siber tehditlerin ve kullanılan yöntemlerin incelenmesini mükemmel bir öğretmen olarak ifade ediyor. Lee, sonuç analizi noktasında ise siber güvenlikten tesis mühendisliğine kadar farklı becerilere sahip ekiplerin devrede olması gerektiğini belirtiyor.

Siber güvenlik ile güvenliğin kesiştiği noktalardaki engelleri önceliklendirin ve bu engelleri kaldırın

Lee’nin yazısındaki üçüncü konu ise siber ve fiziki güvenliğin kesişimini temsil ediyor. Bir kuruluşun, öncelikle doğrudan güvenlik operasyonlarına bağlanabilecek siber güvenlik çabalarını tespit etmesi gerektiğini ifade eden Lee, bu kapsamda gerekli kaynakların sağlanması gerektiğini kaydediyor.

Pek çok kuruluşta, siber güvenliğin, iş birimlerine ya da fabrikaya sağlanan bir BT hizmeti olarak faturalandırıldığını belirten Lee, bununla birlikte çoğu kuruluşun güvenlikle ilgili giderleri tesis bütçesini ve performansla ilgili ölçümleri etkilemeyen bir gider olarak kabul ettiğine işaret ediyor. Tüm siber güvenlik çabalarının genel güvenliğe katkıda bulunmayacağını da sözlerine ekleyen Lee, bununla birlikte iki alanın kesiştiği noktaların öncelikli olarak sınıflandırılması ve kurumsal düzeyde kaynak sağlanması gerektiğinin altını çiziyor.