OT GÜVENLİĞİ

OT (Operasyonel Teknolojiler), endüstriyel operasyonları yönetmek için kullanılan bilgi sistemlerini ifade eder. OT Güvenliği ise bu sistemleri korumak amacıyla geliştirilen ürün ve protokolleri ifade etmektedir.

IT (Bilgi Teknolojileri) genel tanımı itibariyle bilgisayarlar, serverlar, storageler, veya fiziksel altyapıların işletilmesini ifade ederken OT ise fiziksel iş sürecinin izlenmesini ve kontrollerinin sağlanmasını ifade etmektedir. OT Güvenliği ve IT Güvenliği de OT ve IT’nin aynı olmadığı gibi yine aynı şeyler değildir. OT tarafında IT’den farklı olarak yönetimsel ve teknolojik kısıtlamalar bulunmaktadır.

OT yani endüstriyel kontrol sistemlerini ifade eden sürecin temel amacı; doğalgaz, petrol, elektrik gibi fiziksel enerji üretim süreçlerini kontrol etmek ve izlemektir. OT Güvenliğinde verinin işlenmesi süreci IT’de olduğu gibi gizlilik bütünlük erişilebilirlik ve üzerine inşa edilirken OT Güvenliği için bu üçlüde öncelik erişilebilirliktedir.

Fiziksel proseslerde ise IT tarafında neredeyse hiç konuşulmayan güvenlik (safety), çevresel etki, bağımlılıklar ve mutlak suretle dikkat edilmesi gereken regülasyonlar konuşulur. Enerji üretiminin aksaması devletin halkına hizmet götürememesi başta olmak üzere birçok güvenlik riski barındırdığından bu taraftaki regülasyonlarda hem esneme payı düşük hem de yaptırımları çok yüksektir.

EKS (Endüstriyel Kontrol Sistemleri), doğası gereği pahalı uzun süre kullanıma uygun ve arıza yapması durumunda ciddi kesintilere sebep olabilecek sistemlerdir. Bu nedenle bu sistemlerin yıl içerisinde 5 ila 50 dakikadan daha uzun süreyle kesintisine tahammül edilememektedir.

EKS’de yaşanan kesintiler çok uzun sürebilmekte ve bu ciddi kayıplara yol açabilmektedir. 2008 yılında Amerika Birleşik Devletleri’nin İsrail iş birliği ile İran’da bulunan nükleer santraldeki SCADA sistemlerine (Supervisory Control and Data Acquisition - Veri Tabanlı Kontrol ve Gözetleme Sistemleri) yapılan Stuxnet saldırısı bize gösterdi ki yapılan bir siber saldırı ile fiziksel sistemlere zarar vermek mümkündür. Bu olay aynı zamanda SCADA sistemlerinin durdurulabilmesi sebebi ile bir milat kabul edilir. Sonrasında benzer saldırılar ve benzer testler ile SCADA sistemlerini fiziksel olarak durdurabilmenin mümkün olduğu çok kez kanıtlanmıştır.

OT sistemleri genel olarak gerekli teknik güvenlik araçlarından yoksundurlar bu nedenle bu sistemler üzerinde bir güvenlik stratejisi veya sistematiği olmadan yol alabilmek ve doğru güvenlik tedbirini sağlayabilmek mümkün değildir. Ülkemiz bu konuda ISO 27019 – Enerji Altyapıları Bilgi Güvenliği Standardı’nı referans almaktadır. NIST (National Institute of Standards and Technology) gibi başka ülkelerin kullanmakta olduğu standartlar vardır ve bu iki standart / model temel anlamda birbirlerine çok yakındır.

OT sistemlerinin yönetimi de IT sistemlerinin yönetiminden farklıdır demiştik. Bunları kısaca paylaşmak gerekirse, OT sistemlerinin güvenliği 5 farklı çalışma modeli dikkate alınarak sağlanır. Bunlar;

Sanayi bölgelerinde; kablosuz altyapı, kamera ve endüstriyel swichler dikkate alınmalıdır. Saha işlemlerinde; Güvenlik Duvarı ve Endüstriyel Swichler dikkate alınmalıdır. Burada belirtilen Güvenlik Duvarı IT’de kullanılan Güvenlik Duvarı ile protokol olarak aynı değildir. Endüstriyel DMZ’lerde; Güvenlik Duvarı, Endüstriyel Swichler, NAC (Network Access Control), SIEM (Security Information and Event Management), OTP (One Time Password) hatta Sandbox çözümleri dikkate alınmalıdır. Kurumsal bölgelerde; IT Güvenliği çözümlerindeki sistemlerle ilerlemek doğru ve mümkündür. İnternet-WAN bölgesinde; yukarıda bahsedilen çözümlerin yanı sıra Token ve VPN (Virtual Private Network) çözümleri dikkate alınmalıdır.