Üretimin dijitalleşmesi ve makineler arasında ağ iletişimi, operasyonel teknolojiler (OT) ile bilgi teknolojileri (BT) arasındaki sınırların kalkması anlamına geliyor. Ancak bu durum siber saldırılara karşı yeni zorluklar yaratıyor.
Kaynak: NTT
Akıllı makineler ve sistemler aracılığıyla üretim yürütme sistemlerinden başlayarak dijital ikizlere kadar uzanan üretimde dijitalleşme kavramı, görev ve sorumluluklarımızı değiştiriyor. Çoğu endüstriyel şirkette BT departmanı yazılım ve donanım, iletişim teknolojisi ve müşteri ilişkileri yönetimi veya analitik gibi alanlarla ilgilenirken, operasyon teknolojileri ekibi üretim ve endüstriyel sistemlerden sorumludur. Uzun bir süre boyunca bu sistemler internet bağlantısı olmayan, birbirinden bağımsız sistemlerdi. Ancak artan ağ iletişimi nedeniyle alışık olduğumuz bu görev dağılımı problemlere yol açıyor ve gelecekte operasyonel teknolojiler ve bilişim teknolojilerinin birlikte daha yakın bir şekilde çalışmaları anlamına geliyor.
Ancak bu durum operasyonel teknolojilerin güvenliği açısından şirketlere büyük zorluklar yaratabilir. BT hizmet sağlayıcısı NTT’'ye göre sorumlular aşağıdaki beş noktayı akıllarında tutmalılar.
Belirsiz Tasarımlar
Üretim tesisleri çoğu zaman güvenlik endişeleriyle değil, kullanılabilirlik açısından tasarlanmıştır. Bu durum hangi kayıp sürelerinin tolere edilebilir olduğu konusunda farklı anlayışlara neden olur. Örneğin otomobil endüstrisinde üretim hattındaki 4 saatlik bir makine arızası milyonlarca dolar zarara neden olurken, başka endüstriler eşdeğer uzunluktaki BT kesintilerini tolere edilebilir bulabilir. Buna ek olarak üretim sistemlerinin uzun bir amortisman süreci vardır. Ortalama 20 yılı bulan bu süreçler, donanım yazılımlarının, işletim sistemlerinin ve program arayüzlerinin sürekli olarak güncellenmesi ve anti virüs yazılımlarının kurulmasıyla daha da zorlaşır. Çoğu zaman sistemlerdeki zayıf noktalar yetersiz güncellemelerle artık kapatılamaz hale gelir. Aynı zamanda eğer şirket müşterinin ihtiyaçlarına yönelik özel olarak kurgulanmış bir sistem kurduysa, bu durum standartlaştırılmış BT güvenlik sistemleriyle uyumsuzluk riskini arttırır.
Daha Güçlü Ağlar
Operasyonel teknolojiler için modern platformlar karmaşıktır ve giderek daha fazla ağa bağlanmış hale gelmişlerdir. Bu durum BT departmanlarını oldukça iyi bilinen saldırı olasılıklarıyla karşı karşıya bırakır. Siber korsanlar virüs bulaştıran e-mailler yardımıyla şirket ağına girmeyi başarabilirlerse, belirli makineleri veya tüm sistemi ele geçirip, durdurabilir ya da belirli operasyonları manipüle edebilirler. Bir diğer risk ise bilgisayar korsanlarının bakım teknisyenleri için sağlanan uzaktan erişim imkanlarına erişebilmesidir. Manipüle edilmiş makineler yüzünden yanlış üretilmiş ürünlerin müşteriye teslim edilmesi bazı şirketler için yıkım anlamına gelebilir.
Görünürlük Eksikliği
Operasyonel teknolojilerin şirketin BT’sinden bağımsız olduğu geçmişte, ağa bağlı varlıklara ait yeterli bir bakış yoktu. Makinelerin envanteriyle alakalı genel olarak bir sorun yokken genellikle kontröllerin nereye ve nasıl bağlandıklarıyla alakalı yanlışlıklara yönelik genel bir bakış açısına sahip değillerdi. Klasik BT'ye benzer şekilde, ağdaki bilinmeyen cihazlar tüm ağın güvenliği için potansiyel bir tehdittir. Bu tehdit sadece BT departmanı ağda ne olduğunu ve bu cihazların birbirleriyle nasıl iletişim kurduğunu bilirse giderilebilir ve böylece zayıflıklar ve riskler belirlenebilir ve boşluklar kapatılabilir.
Plansız Başlamak
Birçok endüstriyel şirket, operasyonel teknolojilerini güvence altına alırken, siber suçlular için penetrasyon olasılığını daha az hale getirmek için ağ segmentasyonu gibi bireysel önlemlerle işe başlar. Ancak stratejik bir hedef olmadan yürütülen teknik projeler başarısızlıkla karşı karşıyadır. Yapılacak ilk şey bir risk analizi yapmaktır. Anahtar soru: Ne, neye karşı nasıl korunmalıdır? Amaç, risk analizinin bir şirket, bir üretim ortamı veya bir makine için özel olarak yapılması gereken en önemli tehlikeleri belirlemek ve değerlendirmektir. Bu süreç aynı zamanda kontrolsüz uzaktan erişim gibi potansiyel saldırı vektörlerinin anlaşılmasını da içerir. Operasyonel teknolojinin güvenliğini sağlamak her zaman uzun vadeli bir projedir. Sonuç olarak BT'dekiyle aynı güvenlik düzeyine ulaşmak için çok çeşitli önlemler adım adım uygulanmalıdır
İşbirliği Eksikliği
Operasyon teknolojileri ve BT elemanlarının birbirleriyle olan iletişimlerindeki eksiklik, sorunların ve yanlış anlaşılmaların ortaya çıkma olasılığını arttırır. Bunun nedeni, temelde yatan farklı bakış açılarıdır: BT departmanı için güvenlik, güvenlik duvarları ve siber saldırılara karşı savunma anlamına gelir. Ancak operasyon teknolojileri, güvenlik kavramından hayatın ve uzuvların korunmasını anlar. Satın alma da dahil olmak üzere gelecekte her iki departmanın da yakın bir şekilde çalışması gerekecektir. Şirketler, yeni makineler için ihale aşamasında olduğu gibi, sözleşmelerine, üreticiyi sistemin tüm yaşam döngüsü boyunca güvenlik güncellemeleri sağlamakla yükümlü kılan maddeler eklemelidir.
NTT Siber Güvenlik Çözümleri Direktörü Sebastian Ganschow, "Şimdiye kadar operasyonel teknoloji ve BT çoğunlukla yan yana çalıştı" diyor. "Bunun değişmesi gerekiyor. Siber saldırılar sonucunda üretim tesislerinin durma noktasına gelme riski son yıllarda önemli ölçüde artmıştır. Şirketler, üretim ortamlarında kendilerini bu tehlikelere karşı koruma ihtiyacı konusunda yavaş yavaş bir anlayış geliştiriyorlar. ”Gelecekte, Operasyonel Teknoloji ve BT çalışanları, şirketleri için mümkün olan en yüksek güvenliği yaratmak amacıyla birlikte çalışmak zorunda kalacaklar. Jürgen Frisch
Bu çalışmada kaynak olarak https://news.it-matchmaker.com sitesindeki ilgili yazı kullanılmıştır.
EDT Center, dijital dönüşüm ve Endüstri 4.0 alanında uluslarası tecrübe ve bilgi birikimi ile şirketlere baştan uca çözümler üretmektedir.
* Uygun çözüm ve sağlayıcı bulma (www.i40markt.com) (www.it-matchmaker.com.tr)
* Proje yönetimi
Detaylı bilgiler: EDT Center - i40Markt
Comments