Endüstriyel kuruluşların %7’snini güvenlik açıklarını sadece gerektiğinde ele alıyor olması kurumları planlanmamış kesintilere, üretim kayıplarına ve muhtemel siber ihlallerden kaynaklanabilecek prestij ve mali ziyanlara maruz bırakıyor. Bu telaş verici eğilim, VDC Research ve Kaspersky tarafından yakın vakitte gerçekleştirilen ankette vurgulanıyor.
Kaspersky’nin VDC Research ile birlikte yürüttüğü “Amaca Yönelik Tahlillerle OT Güvenliğini Sağlama” araştırması, endüstriyel daldaki değişen siber güvenlik ortamına ışık tutuyor. Güç, kamu hizmetleri, üretim ve ulaşım üzere kilit kesimlere odaklanan bu araştırmada, endüstriyel ortamların siber tehditlere karşı güçlendirilmesinde karşılaşılan kıymetli eğilimleri ve zorlukları ortaya çıkarmak için 250’den fazla karar vericiyle anket yapıldı.
Güçlü bir siber güvenlik stratejisi, iş önderlerinin hangi varlıkların korunmaya gereksinim duyduğunu anlamasına ve en yüksek riskli alanları değerlendirmesine imkan tanıyarak, kuruluşun varlıklarına tam görünürlük sağlamakla başlar. BT ve OT (Operasyonel Teknoloji) sistemlerinin birleştiği ortamlarda bu, kapsamlı bir varlık envanterinden daha fazlasını gerektirir. Kuruluşlar, operasyonel gerçeklikleriyle uyumlu bir risk kıymetlendirme metodolojisi uygulamalıdır. Bunu net bir varlık temel çizgisi oluşturarak hem kurumsal risk kriterlerini hem de güvenlik açıklarının potansiyel fizikî ve siber sonuçlarını ele alan manalı risk değerlendirmeleriyle yapabilirler.
Ancak bu bahisteki son anket bulguları telaş verici bir eğilimi ortaya koyuyor. Değerli oranda kuruluş, nizamlı sızma testi yahut güvenlik açığı değerlendirmesi yapmıyor. İştirakçilerin sırf %27,1’i bu kritik değerlendirmeleri aylık olarak gerçekleştirirken, %48,4’lük çoğunluk değerlendirmeleri birkaç ayda bir yapıyor. Telaş verici bir biçimde, %16,7’si bunu yılda sadece bir yahut iki sefer yapıyor ve %7,4’ü sırf gerektiğinde güvenlik açıklarını ele alıyor. Bu tutarsız yaklaşım, giderek karmaşıklaşan tehdit ortamında kurumları savunmasız bırakabilecek bir durum.
Her yazılım platformu tabiatı gereği yanılgılara, inançsız kodlara ve makus niyetli aktörlerin BT ortamlarını tehlikeye atmak için kullanabileceği öteki zayıflıklara karşı savunmasız kalabilir. Bu nedenle endüstriyel şirketler için tesirli yama idaresi bu riskleri azaltmak için çok kıymetlidir. Lakin araştırmalar, birçok kuruluşun bu alanda kıymetli zorluklarla karşılaştığını ve ekseriyetle kritik güncellemeler için operasyonları duraklatmak için gerekli vakti ayırmakta zorlandığını ortaya koyuyor. Rahatsız edici bir halde, birçok kuruluş OT sistemlerine sadece birkaç ayda bir yahut daha uzun bir mühlet yama uyguluyor ve bu da risk maruziyetlerini kıymetli ölçüde artırıyor. Kurumların %31,4’ü yamaları aylık olarak uygularken, %46,9’u bunu birkaç ayda bir yapıyor. %12,4’ü ise yılda sadece bir yahut iki sefer güncelliyor.
Etkili yama idaresinin sürdürülmesindeki bu zorluklar, sonlu aygıt görünürlüğü, tutarsız satıcı yama kullanılabilirliği, özel uzmanlık ihtiyaçları ve yasal uyumluluğun siber güvenlik ortamına karmaşıklık katmanları eklediği OT ortamlarında daha da artıyor.
BT ve OT sistemleri giderek birbirine yaklaştıkça, çoklukla açık standartlar yerine tescilli teknolojilere dayanan, klasik olarak farklı yapıya sahip kelam konusu sistemlerin uyumlu hale getirilmesi için acil bir gereksinim ortaya çıkıyor. Varlık takibi ve sıhhat izleme için kameralar ve akıllı sensörlerden gelişmiş iklim denetim sistemlerine kadar Objelerin İnterneti (IoT) aygıtlarının süratle çoğalması, bu zorluğu daha da artırıyor. Bu bağlı aygıt patlaması, endüstriyel kuruluşlar için atak yüzeyini genişletiyor ve sağlam siber güvenlik tedbirlerine duyulan acil gereksinimin altını çiziyor.
Kaspersky, bu alanda endüstriyel müşteriler için özel OT sınıfı teknolojileri, uzmanlık bilgisini ve kıymet biçilmez uzmanlığı problemsiz bir halde entegre eden eşsiz bir ekosistem sunuyor. Kritik altyapılar için lokal bir XDR platformu olan Kaspersky Industrial Cybersecurity (KICS), merkezi varlık envanteri, risk idaresi ve kontrolü sunan ve tek bir platform aracılığıyla çeşitli, dağıtılmış altyapılarda güvenlik ölçeklenebilirliği sağlayan OT ekosisteminin temel taşını oluşturuyor. Ayrıyeten Kaspersky, endüstriyel kuruluşların yeni OT aygıtları yahut sistemleri kurarken Secure by Design ideolojisini benimsemelerini öneriyor.
KasperskyOS İş Ünitesi Başkanı Dmitry Lukiyan, şunları söylüyor: “Kaspersky’de Secure-by-Design konseptini Siber Bağışıklık yaklaşımımızla hayata geçiriyoruz. Bu, bilinmeyen güvenlik açıklarından yararlanan taarruzlara bile dayanabilen, mimari açıdan esnek eserler ortaya koymak manasına geliyor. Klâsik sistemlerin bilakis, Cyber Immune eserleri daima yama yahut harici güvenlik katmanlarına gereksinim duymaz. Sonuç olarak, müşterilerimiz güvenlikten ödün vermeden daha güçlü muhafaza, kolaylaştırılmış bakım ve daha düşük toplam sahip olma maliyetinden faydalanır.”
KasperskyOS tabanlı Cyber Immune eserleriyle kurumlar, en az ek siber güvenlik maliyetiyle sistemlerinin dayanıklılığını artırabilir, böylelikle uzun vadede genel siber güvenlik masraflarını azaltabilir.
“Securing OT with Purpose-built Solutions” raporunun tamamını okumak için web sitesini ziyaret edebilirsiniz.
Endüstriyel siber dayanıklılık ve tüm varlık ve süreçlerin kapsamlı bir formda korunmasını sağlamanın yolları hakkında daha fazla bilgi edinmek için interaktif kılavuza başvurabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
