Fabrikalar dışarı açıldıkça oluşan risk yüzeylerine karşı alınan önemler yeterli mi?

edZconsult kurucusu Ediz Öztürk, Wise TV’ye verdiği röportajda IT (Bilgi Teknolojileri) ile OT (Operasyonel Teknolojiler) sistemlerinin tarihsel gelişimini, entegrasyon süreçlerini ve bu sistemler arasındaki izolasyonun neden kritik olduğunu detaylarıyla anlatıyor. Ayrıca endüstriyel güvenlik, güncelleme zorlukları, SCADA sistemlerinde güvenlik açıkları ve fiziksel katmanda savunma yöntemleri gibi konulara da değiniyor.

Yıllarca OT sistemleriyle IT sistemleri birbirlerinden daha ayrı düşünüldü ve özellikle 1970’li yıllarda, biliyorsunuz, 3. endüstriyel devrimle ki Japonya’da bu anlamda özellikle otomasyon ve robotik sistemlerin de biraz daha gelişmesiyle beraber OT sistemleri artık “embedded” diye geçen gömülü sistemlere doğru dönmeye başladı. Gömülü sistemler, birçok özel işlevi çok kısa zamanlı ve gecikmeyi de azaltacak şekilde gerçekleştiren yapılar olmaya başladı. Sonrasında tabii bunların hepsi izoleydi, biraz önce bahsettiğiniz gibi. Ancak IT dünyasından izolasyonu maalesef yeterince sağlayamadık ve daha sonrasında IT ile OT’nin bir evlenmesi söz konusu oldu. Özellikle 2000’li yıllar içerisinde, yeni endüstriyel devrimle beraber, 4. endüstriyel devrimle beraber ki endüstriyel nesnelerin interneti (Internet of Things) biliyorsunuz, Internet of Things tarafı var. Bununla beraber izolasyonu ayrıca düşünmemiz gerekmeyecek. IT dünyasındaki yapılan çalışmaların OT dünyasına etkilerini de bizim çok ciddi şekilde düşünmemiz gerekiyor. Burada tabii IT dünyasındaki klasik OSI katmanlarındaki bu 7 katmanlı iletişimi düşündüğümüzde, özellikle ikinci katmandan itibaren hatta fiziksel katmandan itibaren belirli izolasyonlar yapılıyordu. Ancak günümüzde uzaktan çalışma ve birçok farklı akıllı fabrikaların üretim tesislerinde hem de üretim bantlarında yapılan çalışmaların çok ciddi bir şekilde birbiriyle entegre olması gerekti. O yüzden endüstriyel sistemlerin maalesef artık yalıtımlı bir şekilde çalışması mümkün değil. O zaman gerçekten IT ve OT evlenmesinde özel bir izolasyon gerçekleştirmemiz kesinlikle gerekiyor. Peki bunu ne kadar yapıyorlar? Biz bununla ilgili birçok farklı çalışma yapıyoruz. Tabii endüstriyel sistemlere de yine gidip belirli özellikle SCADA sistemlerine çalışmalar gerçekleştiriyoruz. Burada penetrasyon testlerinden tutun, Red Teaming’e kadar birçok çalışma gerçekleştiriliyor ve burada hem güncellemelerin olmadığını hem de sistemlerin 7/24 çalışmasından dolayı ve öyle bir zorunluluk da var tabii. Çünkü işin bir de maddi tarafı var. İlgili fabrikayı ya da endüstriyel tesisi belirli bir süre durdurmanız çok da söz konusu olamıyor. Bundan dolayı maalesef gerekli güncellemelerin yapılmadığını çok fazla görüyoruz. Şimdi izolasyonu doğru bir şekilde yapıyor muyuz kısmına biraz gelelim. IT sisteminde yapıyor muyuz diye de düşünmek gerekiyor çünkü IT sisteminde özellikle 4. seviyede izolasyonu biz çok fazla yapıyoruz. Ben bunu da maalesef çok görüyorum. Halbuki bizim hem 3. seviye hem ikinci seviye izolasyonları da burada kesinlikle yapıyor olmamız lazım. Teknik açıdan konuşursak, VLAN’ların mesela çok daha efektif kullanılıyor olması lazım. Artı maalesef siber güvenlik dünyasında TCP/IP varmış gibi düşünüyoruz biz sadece protokol olarak ama endüstriyel protokolleri incelediğimizde gerçekten çok farklı protokoller olduğunu da görüyoruz. Normal standart 802.11 standartların çok daha üstünde standartlarla biz çalışıyoruz ve burada doğru protokollerin kullanılması ve doğru seviyede izolasyon çok çok önemli. Peki bu gerçekten oluyor mu? Hayır, yaptığımız birçok farklı çalışmada kurumların yeterince önlem almadığını çok net bir şekilde görüyoruz. Burada yapılması gereken nedir peki? Mutlaka IT ve OT’nin tek bir başlık içerisinde düşünülüp bütüncül bir yaklaşımla üstten en alt seviyeye kadar mimari çalışmaları da dahil edecek şekilde bir izolasyona tabi tutulması kesinlikle gerekiyor. Burada tabii izolasyon deyince tamamen kesmekten bahsetmiyoruz. Ancak doğru protokollerin geçiyor olması çok söz konusu. Geçenlerde yine bir hava trafik kontrolü sisteminde mesela bir çalışma uyguladık. Burada da belirli alanlarda, belirli ağlarda diyelim, trafiğin sadece tek yönlü akmasını sağladık. Böylece dışarıdan gelebilecek olan müdahalelere biz fiziksel seviyede, bırakınız 2. seviye, 3. seviye, 4. seviyeyi, fiziksel seviyede müdahale edebilir olduk. O yüzden endüstriyel sistemleri düşündüğümüzde kesinlikle doğru izolasyonu her katmanda ki buna fiziksel seviye de dahil yapıyor olmamız çok önemlidir.

Endüstriyel ve IT Sistemlerinin Evrimi

Endüstriyel ve IT sistemleri, yıllar boyunca birbirlerinden ayrı düşünülmüş ve farklı alanlarda gelişim göstermiştir. Ancak, 1970’li yıllarda başlayan üçüncü endüstriyel devrimle birlikte, otomasyon ve robotik sistemlerin gelişimi, bu iki sistemin birleşmesine zemin hazırlamıştır. Özellikle Japonya’da, gömülü sistemlerin ortaya çıkışı, endüstriyel sistemlerin daha kısa süreli ve gecikmeyi azaltacak şekilde işlev görmesini sağlamıştır. Bu gelişmeler, IT ve OT sistemlerinin entegrasyonunu kaçınılmaz hale getirmiştir.

Gömülü Sistemlerin Yükselişi

Gömülü sistemler, belirli işlevleri yerine getirmek üzere tasarlanmış, genellikle bir cihazın içinde yer alan bilgisayar sistemleridir. Bu sistemler, endüstriyel otomasyonun temel taşlarından biri haline gelmiştir. Gömülü sistemlerin avantajları arasında düşük gecikme süreleri ve yüksek verimlilik bulunmaktadır. Ancak, bu sistemlerin IT dünyasından izole edilmesi, güvenlik açıklarına yol açabilmektedir.

IT ve OT Sistemlerinin Entegrasyonu

2000’li yıllarda, dördüncü endüstriyel devrimle birlikte, IT ve OT sistemlerinin entegrasyonu daha da önem kazanmıştır. Endüstriyel Nesnelerin İnterneti (IoT) kavramı, bu entegrasyonun bir parçası olarak ortaya çıkmıştır. IT ve OT sistemlerinin birleşmesi, daha verimli ve entegre bir üretim süreci sağlamaktadır. Ancak, bu entegrasyon sürecinde güvenlik ve izolasyon konuları dikkatle ele alınmalıdır.

Güvenlik ve İzolasyonun Önemi

IT ve OT sistemlerinin entegrasyonu, güvenlik açıklarını da beraberinde getirebilir. Bu nedenle, sistemlerin doğru bir şekilde izole edilmesi ve güvenlik protokollerinin uygulanması büyük önem taşımaktadır. OSI modelinin katmanları üzerinden yapılan izolasyon çalışmaları, sistemlerin güvenliğini artırmak için kullanılmaktadır. Ancak, bu çalışmaların yeterli olup olmadığı sürekli olarak değerlendirilmelidir.

Endüstriyel Protokoller ve Standartlar

Endüstriyel sistemlerde kullanılan protokoller, IT dünyasında yaygın olarak kullanılan TCP/IP protokollerinden farklılık göstermektedir. Bu nedenle, doğru protokollerin seçilmesi ve uygulanması, sistemlerin güvenliği açısından kritik öneme sahiptir. 802.11 gibi standartların ötesinde, endüstriyel protokoller, daha yüksek güvenlik ve verimlilik sağlamaktadır.

Gelecekteki Yönelimler ve Çalışmalar

IT ve OT sistemlerinin entegrasyonu, gelecekte daha da önem kazanacaktır. Bu süreçte, sistemlerin güvenliğini sağlamak için yeni yöntemler ve teknolojiler geliştirilmektedir. Penetrasyon testleri ve Red Teaming gibi çalışmalar, sistemlerin güvenlik açıklarını tespit etmek ve gidermek için kullanılmaktadır. Ayrıca, sistemlerin sürekli güncellenmesi ve izlenmesi, güvenliğin sağlanması açısından kritik öneme sahiptir.

Sonuç

Endüstriyel ve IT sistemlerinin entegrasyonu, modern üretim süreçlerinin vazgeçilmez bir parçası haline gelmiştir. Bu entegrasyon, daha verimli ve entegre bir üretim süreci sağlarken, güvenlik ve izolasyon konularının da dikkatle ele alınmasını gerektirmektedir. Doğru protokollerin kullanılması ve sistemlerin sürekli izlenmesi, bu süreçte güvenliğin sağlanması için kritik öneme sahiptir. Gelecekte, IT ve OT sistemlerinin entegrasyonu daha da yaygınlaşacak ve bu alanda yeni teknolojiler ve yöntemler geliştirilecektir.