SCADA Skandalı

0 36

Amerika Enerji Bakanlığı (DoE); uzaktan kontrol ve izleme yapılabilen sistemler için,  akıllı şebekeler  ve diğer toplu uygulamalar , 21 adımlık güvenlik önerilerini  yayımladı.

Bu sistemelerin geçmişi klasik BT teknolojisine dayanmaktadır yani ana bilgisayardan alınan bilgiler dağıtılırdı ancak şimdi bu ağ (network) ile birleştirildi. Ancak yayımlanan belgede açık kaynak etkisi hissedildi ki bunun sebebi; gizlilik ilkesinin hala değerli olarak görülmesidir.

Güvenlik standartlarının temelinde yatan  şeffaflık ve gizlilik ilkeleri daha da yakınlaştı. Güvenlik ihlallerindeki sessizlik  ilkesi kötü niyetli siteler ve yazılımlar için bir avantaj sağladığı kanısına varıldı.

Herkes için açık görüşmelerin güvenliğin geliştirilmesi içn izlenebilecek bir yoldur. Güvenlik açığında en çok kullanılan yöntemlerden biri de yazılımdaki hatalara bakan yazılımlara saldırıdır ki bu sunuculara giriş yapılabilmesi için kullanılabilir ve zaten bir kere giriş yapılması uygulamalara zararlı içerik girilmesini ve ya kapatılabilmesi için yeterlidir.

Bu yazılım kusurları en iyi kalitede güvence sağlayabilmek adına bir çok kişinin katıldığı açık forumlarda ve oturumlarda tartışıldı. Açık kaynak çözüm yolu;  kaliteli güvenliğin geliştirimesinde ve piyasaya yeni sürülecek ürünler için önemli etkilere sahiptir. Kaliteli güvenliğin geliştirilmesi için yaptığımız çalışmalarda zaman ve maliyet bizim için üçüncü sırada yer almaktaydı.

Açık kaynaklar ve görüşmeler hekır(Hacker)ların yazılım kusurlarını bulmasını kolaylaştıracaktır ancak bu savaşın eşit koşullarda olduğunu varsayabiliriz ama malesef ki uyuşturucu ve porno gibi savaş verilen durumlarda bile barış ve sevgi için aktarılan paradan daha fazlası aktarılmakta…

Açık görüşmeler ve oturumlar sonucunda SCADA sistemlerinin kötü niyetli yazılımlara karşı korunmasında özel endüstrilerin kurulması gereklidir. İşte Amerika  Enerji Bakanlığı’nın 21 adımlım güvenlik önerileri;

1. SCADA üzerindeki tüm bağlantıları belirleyin

2. Gereksiz tüm bağlantıları devre dışı bırakın.

3. Kalan tüm bağlantıları yeniden değerlendirin ve güçlendirin

4. SCADA’ya yüklenen tüm gereksiz servisleri kaldırın

5. Sisteminizi korumak için özel protokoller güvenmeyin

6. Cihaz ve sistem sağlayıcıları tarafından sağlanan güvenlik özelliklerini uygulayın.

7. SCADA üzerinde arka kapı olarak kullanılan tüm bağlantıların güvenlik seviyesini artırın

8. İç ve Dış saldırı tespit yazılımlarını 7 / 24 izlemeye alın

9. Güvenliğe dair tüm teknik denetimleri, SCADA cihazları ve ağları ve bağlı diğer ağlar, sıklaştırın..

İlginizi Çekebilir
1 - 5

10. SCADA’ya bağlı tüm uzak erişimlerin fiziksel güvenliğini değerlendirin

11. SCADA’da olası saldırı senaryolarını belirmek ve değerlendirmek için “ Kırmızı Takım” oluşturun.

12. Yöneticilerin, sistem yöneticilerinin ve kullanıcıların siber güvenlik rollerini, sorumluluklarını ve yetkilerini net bir şekilde tanımlayın,

13. Belge ağ mimarisi gibi kritik bir işleve sahip hizmet veya ek koruma düzeyi gerektiren hassas bilgiler içeren sistemleri belirleyin

14. Devam edecek sıkı bir risk yönetimi sürecinin oluşturun.

15. Derinlemesine savunma ilkesine dayalı bir ağ koruma stratejisi oluşturun

16. Siber güvenlik gereksinimleri net bir şekilde belirleyin

17. Etkin konfigürasyon yönetimi süreçleri oluşturun.

18. Rutin öz değerlendirme gerçekleştirin

19. Sistem yedekleme ve felaket kurtarma planları oluşturun

20 Yetkililerin siber güvenlik performansı için beklentilerini kurun ve onların performansından sorumlu  elemanları belirleyin

21. Prosedürleri belirleyin ve personelin SCADA sistemi tasarımı, operasyon ya da güvenlik kontrolleri ile ilgili hassas bilgileri yanlışlıkla ifşa edeceği ihtimalini en aza indirmek için eğitimler düzenleyin

Bu önerilere sanayicilerin ne kadar uyacağı tahmin edilemezken Kırmızı Takımlar arıza ve felaket durumlarında üstlerine düşeni yapabileceğinden eminiz ancak felaket anlarındaki gizlilik ilkesine bağlılıkları meçhul….

Orjinal Metin;

Carl Ford (NewsAlert) is a partner at Crossfire Media.

Edited by Tammy Wolf

Cevap bırakın

E-posta hesabınız yayımlanmayacak.

Paylaşımınız için teşekkür ederiz.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Sitemizdeki deneyiminizi iyileştirmek için kişisel veri politikamız doğrultusunda çerezler kullanıyoruz. Sitemize giriş yaparak çerez kullanımını kabul etmiş sayılıyorsunuz. Çerezler ve politikamız hakkında daha fazla bilgi alın. Kabul Ediyorum Daha fazlası