TEKNİK YAZI

Uzman Önerileri: Endüstriyel Ağların Siber Güvenliğini Nasıl Artırabiliriz?

İçindekiler

    Günümüzde Endüstriyel Nesnelerin İnterneti (IIoT) veya bir başka deyişle Endüstri 4.0 uygulamalarının yaygınlaşmaya devam etmesi, bunun sonucunda da gittikçe artan sayıda cihazın ağlara bağlanması artık kaçınılmaz hale gelmiştir. Bu trendin itici gücü ise, başta endüstriyel sistem sahiplerinin işletim verimliliğini artırma isteği olmuştur. Ancak, işletim verimliliğini artırmak kolayca ulaşılan, sorunsuz bir süreç değildir. IIoT, sistem sahiplerini siber güvenlik tehditlerinin yol açtığı riskleri dikkatle ele almak zorunda bırakmıştır. 

    Ağa eklenen her bir cihaz, siber saldırılar için ağa olası bir giriş noktası sağladığından, potansiyel bir zayıf nokta veya zafiyet yaratır. Firmaların ve hatta devletlerin siber güvenliğe vermeye başladığı önemi abartmamız zordur: Temmuz 2016’da Avrupa Parlamentosu siber saldırılara karşı korunmak için izlenmesi gereken adımları öneren bir yönerge yayınlamıştır (EU Directive 2016/1148). Sistem sahipleri, endüstriyel uygulamalarda güvenli cihaz ve ağlar kurmalarını sağlayacak siber güvenlik çözümlerine ciddi ihtiyaç olduğu konusunda birleşmişlerdir. 

    IEC 62443 Standardı Nedir?

    IEC 62443 standardı, en güncel güvenlik önlemlerini sunabilmek ve bir ağın farklı bölümleri için en iyi uygulamaları listelemek üzere sürekli gelişmektedir.  Aynı zamanda bilinen veri sızıntıları ve bilinmeyen saldırılara karşı koruma için ağ üzerinde farklı sorumlulukları yürütenler için de bilgi içerir. Standardın nihai hedefi, ağların güvenliğini artırmaya yardımcı olmak, endüstriyel otomasyon ve kontrol ayarlarının güvenliğini iyileştirmektir. An itibariyle birçok sistem entegratörü, kullandıkları bileşenlerin IEC 62443 standardının özellikle uç cihaz güvenliğiyle ilgili IEC 62443-4-2 fıkrasına uyumlu olmasını istemektedir. Bu bölüm kimlik doğrulama ve belgelendirme kontrolü, kullanım kontrolü, veri bütünlüğü ve gizliliği ile kaynak durumu dahil temel kriterlerden oluşur. 

    Güvenlik Risklerini Anlama

    Güvenlik uzmanları, iç şebekeleri etkileyebilecek siber güvenlik tehditlerinin 6 ana başlıkta toplanabileceği konusunda mutabıktır: izinsiz erişim, güvensiz veri aktarımı, şifrelenmemiş hassas veri, eksik etkinlik kayıtları, güvenlik denetimi eksiği ve ayarlarda insan hatası. Ağ operatörlerinin bu tehditleri iyi anlaması, böylece gerekli güvenlik özelliklerine sahip cihazlar kurarak ağlarının içerden ve dışarıdan gelebilecek tehditlere karşı güvende olduğundan emin olabilmeleri gerekir. Bunun sonrasında güvenlik risklerinin ortaya çıkabileceği durumlar ve ağ operatörlerinin elindeki bazı seçenekler göz önüne alınarak, ağların maruz kaldığı tehditler etkisiz hale getirilebilir.

    İzinsiz Giriş ve Saldırıları Önleme

    Ağ üzerindeki cihazlara izinsiz girişi önlemenin ilk adımı, bir şifre (parola) politikası uygulamaktır. Şifre uygulamaları belirli bir yere kadar etkili olsa da, ağ üzerindeki kullanıcı ve cihaz sayısı arttıkça ağa izinsiz giriş olasılığı da artar. Ağ güvenliğinin karşı karşıya olduğu en büyük risklerden birinin, endüstriyel kontrol sistemine izinsiz erişim elde eden bir kullanıcının bu zafiyetten yararlanması olduğu sık sık belirtilen bir konudur. Güçlü bir şifre politikası, kaba kuvvet olarak tabir edilebilecek saldırıları önlemek için iyi bir başlangıç noktasıdır, ancak ağ güvenliğini artırmak için bu güçlü şifre politikasıyla birlikte kullanılması gereken birkaç başka özellik de mevcuttur.

    ​Bir kimlikleme yönetim politikası, çoğunlukla ağ güvenliğini artıracak çeşitli parametreler içerir. Bu parametreler genellikle hesapların yalnızca kendileri için açılmış kullanıcılar tarafından kullanılabileceğini güvenceye alır, ve kullanıcılara ağın sadece görev tanımlarında belirtilen bölümlerine erişim verilir. Ağa kurulu cihazlar, kullanıcıların erişimleri dışında olması gereken hesaplardan çıkışını yapabilmeli ve herhangi bir ihlal durumunda ağ yöneticisini uyarabilmelidir. Bu, birinin ağ veya cihazlara izinsiz erişim elde etme şansını daha da düşürecek bir uygulamadır.

    Şema 1: Endüstriyel kontrol sistemleri ağlarında görünmez güvenlik riskleri
    Şema 1: Endüstriyel kontrol sistemleri ağlarında görünmez güvenlik riskleri

    Hassas Verinin Korunması

    Ağ üzerindeki tüm cihazlar, ağ üzerinde aktarılırken verinin şifrelemesini desteklemelidir. Bu, verinin aktarım sırasında çalınması riskini neredeyse tümüyle ortadan kaldıracaktır. Veri bütünlüğünün bu kadar önemli olmasının nedeni, verinin doğruluğu ile ihtiyaç duyulduğunda verinin sorunsuz ve güvenli biçimde proses edilebilmesi ve alınabilmesini garantilemesidir.  Veri bütünlüğü güvenceye alınmadığında, ağ yöneticileri verinin doğru olup olmadığından emin olamaz. Böyle bir senaryo söz konusu olduğunda, doğru veri alınsa bile, veri ağ yöneticileri için anlamsız hale gelir. Daha kötüsü ise verinin yanlış bilgi verecek biçimde manipülasyonudur: Yanlış yönlendirilen ağ yöneticilerinin ağa zarar verecek kararlar almasına veya bu yönde ayarları değiştirmesine neden olabilir.

    Cihazlardan toplanan verinin yanı sıra, IIoT ağları üzerinde bulunan bir başka veri tipi de yapılandırma verisidir. Endüstriyel kontrol ağlarında ağ cihazlarının yapılandırması son derece önemlidir. Yapılandırma verisi hatalı veya bozulabilir ise ağ işletimini felce uğratabilir. Yapılandırma verisinin bozulma riskini düşürebilmek için cihazların yapılandırma şifrelemesini desteklemesi şarttır.

    Güvenlik Etkinliklerini Denetleyebilme

    Ağlar sürekli olarak denetlenmeli ve ağ üzerinde gerçekleşen her etkinliğin gerektiğinde analiz edilebilmesi için kaydı alınmalıdır. Siber saldırıların önlenebilmesi için çeşitli güvenlik önlemleri alınabilse de, bir saldırı başarılı olduğu takdirde, bunun gerçek zamanlı olarak tespit edilmesi son derece zordur. Veri kayıtları sayesinde ağ yöneticileri bir olay öncesinde hangi aktivitelerin gerçekleştiğini takip edebilir, buna göre veriyi analiz edebilir. Böylece ağ yöneticisi soruna etkili biçimde cevap arayabilir. Ağ yöneticileri, gelecekte kesinti veya bozulmayı önleyebilmek için etkinlik kayıtlarının sunduğu değerli bilgiyi kullanarak, ağın güvenlik ve tasarımında da iyileştirmeye gidebilir. Bunun dışındaki güvenlik özelliklerine kullanıcıların oturumunu kapatabilme, hesap silebilme ve cihazları yeniden başlatabilme fonksiyonları örnek gösterilebilir.

    Ağın Güvenlik Durumunu Görselleştirme

    Ağın güvenlik durumunu görsel biçimde sunan bir yazılım, ağ yöneticilerinin ağ üzerinde gerçekleşen herhangi bir anormal veya zarar potansiyeli yüksek bir aktiviteyi denetlemesine izin verir. Buna ek olarak bu tip bir yazılım, ağ yöneticilerinin ağ üzerindeki her cihazın doğru ayarlara sahip olduğunu kolayca ve hızla kontrol edebilmesini sağlayarak, sorunları gerçekleşmeden önce önlemelerine yardımcı olur. Eğer bir cihaz olması gerektiği kadar güvenli işlemiyorsa, ağ yöneticisi sorunun ne olduğunu tespit ederek zafiyetin ortaya çıkarabileceği riskleri azaltabilir. Bu kapsamda ele alınan güvenlik özelliklerine veri şifreleme, parola, oturum açma bilgilerinin taranması ve veri bütünlüğü örnek gösterilebilir.

    Doğru Yapılandırma

    İnsan hataları genellikle ağ yöneticilerinin yanlışlıkla ayarları hatalı biçimde yapılandırmasıyla ortaya çıkar. Bu durum, ağın doğru işlememesi, veri kaybı, saldırganların yararlanabileceği kayda değer ağ zafiyetlerinin ortaya çıkması gibi çok çeşitli problemlere yol açma potansiyeline sahiptir. Ağ üzerindeki yapılandırmalar hatalı olduğunda, ağın bir şirket çalışanı veya dışardan izinsiz erişim elde etmiş biri tarafından manipülasyonu ihtimali ortaya çıkar. Siber saldırılar insan hatası sonucunda başarılı olduğunda, ağ yöneticisi çoğunlukla ağın ihlalinden sonra bir süre boyunca bu ihlali fark etmez, bu da ağın büyük zarara uğramasına izin verir. İnsan hatası kaynaklı siber saldırılar, en sık karşılaşılan ağ ihlali yöntemi olduğundan, bu tip bir saldırının önlenmesine büyük önem addedilmelidir.

    Güvenilir Bir Çözüm

    Ağ yöneticilerinin ağ kontrolü ve yönetimini kaybetmelerine yol açan yukarıdaki 6 güvenlik riski, dönüp dolaşıp aynı paydada birleşir: Cihazların güvenlik özellikleri. Bu altı çeşit güvenlik riskinin oluşmasını önleyebilecek özelliklere sahip haberleşme cihazları, günümüzde piyasada mevcuttur. Örneğin Robustel marka endüstriyel yönlendiriciler, 3G/4G üzerinden veri aktarımında kullanıcılara IPSec/OpenVPN/PPTP/L2TP/GRE yoluyla VPN tünelleme, otomatik yeniden başlatma gibi güvenlik fonksiyonları sunar.

    Dünyanın önde gelen endüstriyel haberleşme ve otomasyon çözüm sağlayıcılarından Moxa ise, endüstriyel otomasyon sektörünün birçok güvenlik uzmanıyla da beraber, ağın genel güvenliğini sağlamanın en iyi yolunun Seri – Ethernet çözümlerinin yanı sıra ağ anahtarlarının güvenliğini sağlayarak başlamak olduğu konusunda birleşir. Ağ yöneticilerinin karşılaştığı güvenlik tehditlerine cevap olarak Moxa, IEC 62443-4-2 level 2 standardının gerektirdiği teknik güvenlik özelliklerini sağlayan çözümler geliştirmeye başlamıştır:

    • Moxa’nın endüstriyel Ethernet anahtarları, IEC 62443-4-2 level 2 standardının teknik güvenlik gereksinimlerini sağlayan yeni Turbo Pack 3 yazılımını içermesinin yanı sıra, MAC adresleme ve RADIUS kimlik doğrulama desteğine sahiptir.
    • Seri – Ethernet arası güvenli haberleşme:
      – Endüstriyel güvenli terminal sunucular, NPort serisi
      – Endüstriyel Ethernet ağ geçitleri, MGate serisi
    • Moxa’nın endüstriyel ağ yönetim yazılım paketi MXstudio, kullanıcıların ağlarının güvenlik durumunu görselleştirebilmesini, böylece etkinlik denetimini ve toplu yapılandırma yapabilmelerini sağlayan yeni fonksiyonlar içerir.​

    Bu yazıda bahsedilen güvenlik özellikleri ağlarda kurulduğu ve güvenlik prosedürleri doğru biçimde uygulandığı takdirde ağların karşı karşıya kaldığı dahili ve harici güvenlik tehditleri önemli derecede azaltılacaktır. Siber güvenlik yöntemleri konusunda daha fazla bilgi almak için deneyimli kadromuzla hemen iletişime geçebilirsiniz

    Kaynak:

    • Chen, Y. (2016) “Tips on How to Ramp Up the Security of Industrial Networks”, Product Manager, Moxa Inc.​
    • Directive (EU) 2016/1148 of the European Parliament and of the Council, 6 July 2016, “Concerning Measures for a High Common Level of Security of Network and Information Systems Across the Union”