Kaspersky’den yapılan açıklamaya nazaran, otomasyona karşın insan faktörü hala endüstriyel süreçleri riske atabiliyor. Çalışanların yaptığı yanılgılar yahut istemeden yapılan hareketler, geçtiğimiz yıl operasyonel teknoloji ve endüstriyel denetim sistemi (OT/ICS) ağlarını etkileyen olayların yüzde 52’sini oluşturdu.
Şirketin “Endüstriyel Siber Güvenliğin Durumu 2019” isimli raporuna nazaran bu sorun çok daha geniş ve karmaşık bir durumun bir kesimi. Endüstriyel altyapıların giderek daha karmaşık hale gelen yapısı karşısında daha gelişmiş muhafaza metotları ve maharetler gerekiyor. Kurumlar bu yeni tehditlerle başa çıkabilecek profesyonelleri bulmakta zorlanıyor ve çalışanların bahis hakkındaki farkındalığı düşük düzeyde bulunuyor.
Birçok sanayi şirketi, endüstriyel ağlarını dijitalleştirmeyi ve Sanayi 4.0 standartlarını uygulamayı planlıyor. Her beş kurumdan dördü (yüzde 81) operasyonel ağların dijitalleştirilmesini bu yıl tamamlanması gereken değerli yahut çok değerli bir iş olarak görüyor. Fakat, temaslı altyapıların yararları olduğu üzere siber güvenlik riskleri de var.
Yüksek düzeyde güvenlik için özel tedbirlere yatırım şart
Araştırmaya katılanların yüzde 87’si OT/ICS siber güvenliğinin sanayi şirketleri için en değerli önceliklerden biri haline geldiğini düşünüyor. Fakat gerekli düzeyde güvenlik için özel tedbirlere yatırım yapmalı ve bunları verimli formda kullanabilme hünerine sahip profesyonelleri işe almaları gerekiyor. Şirketler siber güvenliğe öncelik verdiğini belirtse de yalnızca yarısı (yüzde 57) endüstriyel siber güvenlik için bütçe ayırıyor.
Bütçe kısıtlamalarının yanı sıra husus hakkında uzman eleman eksikliği de bulunuyor. Kurumlar endüstriyel ağların güvenliğini yönetme maharetine sahip siber güvenlik uzmanı bulmakta zorlanmakla kalmıyor, ayrıyeten OT/ICS ağ operatörlerinin siber güvenlik sızıntılarına neden olabilecek davranışların neler olduğunu bilmediğini düşünüyor. Bu kasvetler siber güvenlik idaresine ait iki büyük kaygıyı oluşturuyor. Ayrıyeten, ziyanlı yazılım bulaşması ve daha önemli gayeli ataklar üzere ICS hadiselerinin yarısının neden çalışan kusurlarından kaynaklandığını da açıklıyor.
Şirketlerin yaklaşık yarısında (yüzde 45), bilgi teknolojileri altyapı güvenliğinden sorumlu bireyler temel misyonlarına ek olarak OT/ICS ağlarını da denetim ediyor. Bu türlü bir yaklaşım beraberinde güvenlik risklerini de getiriyor. Operasyonel ve kurumsal ağlar giderek daha kontaklı hale gelse de bunların uzmanları siber güvenlik için farklı yaklaşımlara (yüzde 37) ve farklı gayelere (yüzde 18) sahip.
“Şirketler endüstriyel ağ güvenliğini önemsiyor”
Açıklamada görüşlerine yer verilen Kaspersky Endüstriyel Siber Güvenlik Marka Müdürü Georgy Shebuldaev, bu yılki araştırmanın şirketlerin endüstriyel ağlarının güvenliğini artırmak istediğini gösterdiğini belirterek, şunları kaydetti:
“Bu fakat uzman eleman azlığı ve çalışan yanılgıları üzere riskler çözüldüğünde başarılabilir. BT güvenliği uzmanları ve endüstriyel ağ operatörlerinin tertipli eğitimi ile teknik müdafaayı bir ortaya getiren çok katmanlı bir yaklaşım izleyerek ağların tehditlere karşı korunmasını sağlayabilir ve yeni marifetlere sahip olabilirsiniz.”
Endüstriyel siber güvenlik için teknik gelişme kaydetmek ve farkındalık kazanmaya ek olarak kurumların dış dünyaya sıkıca bağlı olabilen endüstriyel IoT’ye özel bir müdafaa sistemi kurmayı düşünmesi gerekiyor. Şirketlerin neredeyse yarısı (yüzde 41), hami bakım yahut dijital ikiz kullanarak OT/ICS ağlarını buluta bağlamaya hazır durumda.
Waterfall Security Solutions İş Geliştirme Yöneticisi ve IIC Güvenlik Çalışma Kümesi Lideri Dr. Jesus Molina da Kaspersky ismine ARC Advisory Group tarafından düzenlenen anketin IIoT uç aygıtları ile bulut hizmetleri ortasında artan kontağın bir güvenlik sorunu olmaya devam ettiğini gösterdiğini belirterek, “Bu sorun, IIC Endüstriyel IoT Güvenlik Çerçevesi ve IoT Olgun Güvenlik Modeli için en âlâ örneklerin oluşturulmasının gerisindeki en büyük nedendi.” tabirlerini kullandı.
