Siber güvenliğe karşı olan tehditler sürekli olarak evrimleşiyor. Peki, sanayi sektörü bu meydan okumaya cevap verebiliyor mu?

Birden çok sektördeki kıdemli finansal yöneticilerin yakın tarihli bir FM Global araştırmasına göre, siber saldırılar ve veri ihlalleri, donanım aksaklıkları ve doğal felaketler içeren olaylardan daha sık olmasa da, sıklıkla gerçekleşmektedir. Bununla birlikte, işletmelerin üçte biri makine arızalarına ve şiddetli fırtınalara karşı kendilerini sağlam stratejiler ile koruyorken, dörtte birinden daha azı siber tehditler için aynısını yapmaktadır.

Bağlı teknolojinin hızla ilerlediği özel üretim ve endüstriyel makine imalatı gibi endüstrilerde, benzer dikkatsizliklerin işletmeler için mali açıdan yıkıcı olduğu zaten kanıtlanmış durumdadır. Deloitte ve Verimlilik&Yenilik için İmalatçılar İttifakı (MAPI) tarafından yürütülen yakın tarihli bir araştırma, 2016 yılında 10 imalat şirketinin 4’ünde siber ihlaller yaşadığını tespit etmiştir. Bu olayların %38’i ise her biri 1 milyon doların üzerinde kayıplarla sonuçlanmıştır.

Sanayi sektörü hangi tür siber saldırılar için hazırlanmaya başlamalı?

1. Üretim ekipmanlarının siber saldırıya uğraması

Robotik ve diğer teknolojilerdeki otomasyon, üreticileri endüstriyel bir rönesansa sürükledi, fakat bununla birlikte güvenli olmayan programlanabilir ekipmanlar da şirketleri birçok açıdan yüksek risk altına sokmaktadır.
Evet, üretim hattındaki akıllı teknoloji, entelektüel mülkiyet veya değerli mülkiyet verileri içerebilmektedir. Ve daha da kötüsü, siber saldırı ile ele geçirilen bir makine, bu saldırıyı yapanlarla bağlantısı kesilmeden önce işçilere zarar verebilir, üretim varlıklarını yok edebilir ve binlerce dolarlık malzemeyi çiğneyebilmektedir. Bunları tecrübe edecek kadar şanssız olan bir şirket için, bu olaylardan sadece biri bile felaket anlamına gelmektedir.
Ancak işlerin bundan daha da kötüye gidebilme ihtimali bulunmaktadır.

Trend Micro ve Politechnico di Milano (Milano Politeknik Üniversitesi) tarafından yapılan son analizler, bilgisayar korsanlarının güvenli olmayan sunucuları bulmak, endüstriyel robotlara bağlanmak ve bu cihazları programcılar tarafından kurulan standart işletimden sapmaya zorlayan komut protokollerini yüklemek için serbestçe ulaşılabilir internet tarama araçlarını kullanabileceğini tespit etmiştir.

Wired’da yer alan bir makalede de tanımlandığı gibi, bilgisayar korsanları sinsice üretim ekipmanlarının çalışma şekillerini değiştirebilir ve buna bağlı olarak da kalitesiz ürün üretimi, mağdur olan şirket itibarını kaybedinceye kadar kolayca gözden kaçabilmektedir.

Trend Micro ve Politechnico di Milano, geçtiğimiz Mayıs ayının sonlarında Elektrik ve Elektronik Mühendisleri Enstitüsü Güvenlik ve Gizlilik Sempozyumunda bulgularını daha ayrıntılı bir şekilde açıklamıştır. Bu sempozyumda aktarılanlar doğrultusunda endüstriyel ekipman kullanıcıları, makine özellikleri üzerindeki veri kalitesi kontrollerini atamak için, işletmelerinin değerli çalışma zamanından çalmayacak beyin fırtınası yöntemlerine başlamalıdır.

2. Tedarikçilerle güvenli olmayan entegrasyon

Birçok sanayi sektörü kuruluşunun, tesislerinin dışında siber saldırılar başladığında, bu tehditlere karşı kendisini içeriden korumak için yapabileceği pek çok şey vardır. SANS Enstitüsü’nde yapılan bir araştırmaya göre, her 10 güvenlik ihlalinden yaklaşık 8’i tedarik zincirinin herhangi bir yerinde başlamaktadır. Bu da imalatçıların, en zayıf tedarik zinciri ortağı kadar güvende olduklarına işaret etmektedir.

Neyse ki pek çok işletme, tedarik zinciri ortakları arasında yenilenen şeffaflık taahhüdü ile birlikte, bu konularla olan mücadelede zaten başarılı olduklarını görmüştür. Eğer ki müzakere masasında, hem tedarikçi hem de üretici, işler ters yöne gittiğinde acil güncellemeleri içeren işlemler için yönergeler belirlediyse, her ikisi de güvenlik açıklarını ortadan kaldırmak için ortaklaşa çalışabilmekteler.

Bununla birlikte, tam şeffaflık ve işbirliği, malzemelere erişmeye çalışan yetkisiz kişiler veya şirket web sitesine yayılan geçici hizmet reddi saldırıları gibi, izole görünebilecek durumları tartışmayı içermektedir. Bu olayların her ikisi de üreticiler ve son kullanıcılar için ciddi etkilere neden olabilir, ancak hem tedarikçi hem de üretici, bu tür bilgilerle ilişki kurabilmek için etkili yöntemler bulmalıdır. Aksi takdirde, gerçekten çözüm üretmek yerine, detaylarla boğuşarak daha fazla zaman harcayabilmektedirler.

3. Kötü yönetilen mobil cihazlar ve nesnelerin interneti (IoT) teknolojisi

Her akıllı telefon, tablet, sensör veya internete bağlı makine, üreticilerine operasyonlarından toplanan verileri deneyimlemeleri ve kullanmaları için yeni yollar sunmaktadır. Fakat bir organizasyon içerisinde dağıtılmış bilgi ağı büyüdükçe, riskler de aynı oranda büyümektedir. Symantec araştırması, 2016’dan sonra mobil cihaz kullanıcılarının baş etmesi gereken 600’den fazla güvenlik açığının ve kötü amaçlı mobil yazılımlar üzerinde geçmiş yıllardan gelen 3.600 civarında varyantın bulunduğunu ortaya koymuştur.

İyi haber: Çalışma aynı zamanda, 2016 yılında endüstriyel kontrol sistemlerine yönelik güvenlik açıklarının önceki iki yıla oranla daha düşük olduğunu tespit etmiştir. Özel ve endüstriyel makine imalatçıları mobil operasyonlara geçtikçe, kritik bağlantılı ICS teknolojisini de koruyan kurumsal mobil yönetimi ile ilgili güçlü emsalleri sürdürmeye devam etmelidirler.

Her iyi EMM (Kurumsal Mobilite Yönetimi) stratejisi genel olarak iki geniş güvenlik alanını kapsar: teknik ve davranışsal. Sanayi kuruluşlarının hareket etme kabiliyetlerini denetlemekle görevli olan kişiler, teknik ve uygulama tedarikçilerinin ürünlerini en güncel tehditlere karşı yamalayarak üstlerine düşen görevi yerine getirdiklerinden emin olmalıdır. Bu siber güvenlik yöneticileri aynı zamanda operatörleri, teknisyenleri ve her türden kullanıcıyı doğru kullanım ve cihazların ele geçirildiği durumlarda yapılması gerekenler konusunda eğitmelidir.

Sponsored Content

29 ülkede, 65 iş ortağı ve 1.000’den fazla danışmanı ile 3.500′den fazla Küçük ve Orta Ölçekli (KOBİ) müşterisine 35 yıldır hizmet sunan abas, ürünü olan abas ERP ile müşterilerine standart ERP modüllerinin yanı sıra CRM (Müşteri İlişkileri Yönetimi), Mobil Çözümler, Business Apps, BI (İş Zekası), APS (İleri Planlama Çizelgeleme), DMS (Doküman Yönetim Sistemi), Proje Yönetimi, Konfigüratör, e-Fatura, e-Defter ve Webshop çözümlerini de sunmaktadır.