Kaspersky’den yapılan açıklamaya nazaran, otomasyona karşın insan faktörü hala endüstriyel süreçleri riske atabiliyor. Çalışanların yaptığı yanlışlar yahut istemeden yapılan hareketler, geçtiğimiz yıl operasyonel teknoloji ve endüstriyel denetim sistemi (OT/ICS) ağlarını etkileyen hadiselerin yüzde 52’sini oluşturdu.
Şirketin “Endüstriyel Siber Güvenliğin Durumu 2019” isimli raporuna nazaran bu sorun çok daha geniş ve karmaşık bir durumun bir modülü. Endüstriyel altyapıların giderek daha karmaşık hale gelen yapısı karşısında daha gelişmiş müdafaa teknikleri ve marifetler gerekiyor. Kurumlar bu yeni tehditlerle başa çıkabilecek profesyonelleri bulmakta zorlanıyor ve çalışanların mevzu hakkındaki farkındalığı düşük düzeyde bulunuyor.
Birçok sanayi şirketi, endüstriyel ağlarını dijitalleştirmeyi ve Sanayi 4.0 standartlarını uygulamayı planlıyor. Her beş kurumdan dördü (yüzde 81) operasyonel ağların dijitalleştirilmesini bu yıl tamamlanması gereken değerli yahut çok değerli bir iş olarak görüyor. Fakat, irtibatlı altyapıların yararları olduğu üzere siber güvenlik riskleri de var.
Yüksek düzeyde güvenlik için özel tedbirlere yatırım şart
Araştırmaya katılanların yüzde 87’si OT/ICS siber güvenliğinin sanayi şirketleri için en kıymetli önceliklerden biri haline geldiğini düşünüyor. Lakin gerekli düzeyde güvenlik için özel tedbirlere yatırım yapmalı ve bunları verimli biçimde kullanabilme maharetine sahip profesyonelleri işe almaları gerekiyor. Şirketler siber güvenliğe öncelik verdiğini belirtse de yalnızca yarısı (yüzde 57) endüstriyel siber güvenlik için bütçe ayırıyor.
Bütçe kısıtlamalarının yanı sıra husus hakkında ehil eleman eksikliği de bulunuyor. Kurumlar endüstriyel ağların güvenliğini yönetme marifetine sahip siber güvenlik uzmanı bulmakta zorlanmakla kalmıyor, ayrıyeten OT/ICS ağ operatörlerinin siber güvenlik sızıntılarına neden olabilecek davranışların neler olduğunu bilmediğini düşünüyor. Bu dertler siber güvenlik idaresine ait iki büyük kaygıyı oluşturuyor. Ayrıyeten, ziyanlı yazılım bulaşması ve daha önemli maksatlı taarruzlar üzere ICS hadiselerinin yarısının neden çalışan kusurlarından kaynaklandığını da açıklıyor.
Şirketlerin yaklaşık yarısında (yüzde 45), bilgi teknolojileri altyapı güvenliğinden sorumlu şahıslar temel vazifelerine ek olarak OT/ICS ağlarını da denetim ediyor. Bu türlü bir yaklaşım beraberinde güvenlik risklerini de getiriyor. Operasyonel ve kurumsal ağlar giderek daha kontaklı hale gelse de bunların uzmanları siber güvenlik için farklı yaklaşımlara (yüzde 37) ve farklı maksatlara (yüzde 18) sahip.
“Şirketler endüstriyel ağ güvenliğini önemsiyor”
Açıklamada görüşlerine yer verilen Kaspersky Endüstriyel Siber Güvenlik Marka Müdürü Georgy Shebuldaev, bu yılki araştırmanın şirketlerin endüstriyel ağlarının güvenliğini artırmak istediğini gösterdiğini belirterek, şunları kaydetti:
“Bu lakin ehil eleman azlığı ve çalışan yanılgıları üzere riskler çözüldüğünde başarılabilir. BT güvenliği uzmanları ve endüstriyel ağ operatörlerinin tertipli eğitimi ile teknik muhafazayı bir ortaya getiren çok katmanlı bir yaklaşım izleyerek ağların tehditlere karşı korunmasını sağlayabilir ve aktüel maharetlere sahip olabilirsiniz.”
Endüstriyel siber güvenlik için teknik gelişme kaydetmek ve farkındalık kazanmaya ek olarak kurumların dış dünyaya sıkıca bağlı olabilen endüstriyel IoT’ye özel bir müdafaa sistemi kurmayı düşünmesi gerekiyor. Şirketlerin neredeyse yarısı (yüzde 41), gözetici bakım yahut dijital ikiz kullanarak OT/ICS ağlarını buluta bağlamaya hazır durumda.
Waterfall Security Solutions İş Geliştirme Yöneticisi ve IIC Güvenlik Çalışma Kümesi Lideri Dr. Jesus Molina da Kaspersky ismine ARC Advisory Group tarafından düzenlenen anketin IIoT uç aygıtları ile bulut hizmetleri ortasında artan ilişkinin bir güvenlik sorunu olmaya devam ettiğini gösterdiğini belirterek, “Bu sorun, IIC Endüstriyel IoT Güvenlik Çerçevesi ve IoT Olgun Güvenlik Modeli için en âlâ örneklerin oluşturulmasının arkasındaki en büyük nedendi.” tabirlerini kullandı.
