Siber Güvenlikte Uzman Açığı Alarm Veriyor
Küresel düzeyde yaşanan en büyük tehditlerin başında
artık siber saldırılar da geliyor. Siber güvenliğin etraflıca ele
alındığı Endüstriyel Kontrol Sistemleri (EKS) Siber Güvenlik
Konferansı’nın ikincisinde Türkiye’de ve dünyada siber güvenlik uzman açığının
çok fazla olduğu gündeme getirildi. Açığın telafi edilmesi için uzman yetiştirilmesine
hız verildiğinin altının çizildiği konferansta, ulusal ve uluslar arası siber
güvenlik tatbikatları gerçekleştirilmesi gerektiğinin önemine de işaret edildi.
Biznet
Bilişim tarafından Ankara’da Wyndham Otel’de 13 Kasım 2019 tarihinde gerçekleştirilen
“EKS Siber Güvenlik Konferansı 2019”da “Savunmanın Gücü” teması etraflıca
tartışıldı. Konferansın açılışında konuşan Biznet
Bilişim Genel Müdür Yardımcısı Hakan Terzioğlu, geçen yıl ki toplantının
temasının da “Köprüler Kurmak” olduğunu anımsattı. Çok göz ardı edilen bir
konunun asıl ‘savunma’nın kendisi olduğunu dile getiren Terzioğlu, “Savunma çok
kıymetli. Savunma zor bir konu. En ufak bir zafiyet sonucu değiştirebiliyor.
Savunma konusunda uzman bulmak çok zor” diye konuştu. Ülke olarak siber güvenlik
konularında Türkiye’nin henüz genç bir konumda olduğuna dikkati çeken
Terzioğlu, ulusal irade kısmında çok ciddi yol alındığını, ancak kat edilmesi
gereken çok yol olduğunun da altını çizdi. Terzioğlu, Türkiye’de enerji
sektöründe güvenliğin sağlanmasına ilişkin regülasyonların (düzenleme)
yapıldığını anlatarak diğer sektörlerin de özellikle su ve gıda sektörünün
kapsama alınması gerektiğinin önemine işaret etti. Terzioğlu, siber güvenlikte
dünyada da ülkemizde de çok fazla uzman açığı olduğunu belirterek, açığı
kapatmak için uzman yetiştirdiklerini kaydetti. Konuşmasında fiziksel-siber
saldırılara etraflıca değinen Terzioğlu, dünyanın çehresinin siber savaşlara
doğru gitmeye başladığı vurgusunu yaptı. Terzioğlu, siber güvenlikte insan,
süreç ve teknolojinin hep var olduğunu kaydetti.
İhlalde Kötü Niyet ve
Para Etkili
Amerika, Rusya ve Danimarka’dan yabancı konuşmacıların da
katıldığı EKS Siber Güvenlik Konferansı’nın ana konuşmacısı kariyerini
kritik altyapıların siber güvenliğine adamış; Enerji Güvenliği
Merkezi Amerika (EnergySec US) Kurucu Başkanı ve Endüstriyel Siber
Güvenlik Merkezi (Industrial Cyber Security Center-CCI) Amerika Koordinatörü Patrick C. Miller da konuşmasında savunmanın zor
bir iş olduğuna değindi. Savunmanın ihlal edilmesinde kötü niyet olduğuna
işaret eden Miller, işin ucunda zamanın ve paranın bulunduğunu dile getirdi.
Modern dijital sistemler ve endüstriyel savunma sistemlerinden söz eden Miller,
şu anda aldığımız her şeyin dijital olduğunu, artık neredeyse manuel (analog)
hiçbir şey satılmadığını; her şeyin dijitalleştirilmesinin de para demek olduğu
vurgusunu yineledi. Dünyadaki mevcut cihazların sürekli veri ürettiklerini
anlatan Miller, verinin artık cihazlardan daha değerli olduğunu, veri
üretildiği kadar da para kazanıldığını belirtti. Miller, endüstriyel tesislerde
sahip olunan her şeyin tanınması, bilinmesi gerektiğine dikkati çekerek, çok
farklı endüstriyel kontrollerde çalıştığını anlattı. Konuşmasında: “Kritik bir
şey varsa kritik olan çökmemeli, çalışmalı; bunu korumamız gerekir. Özellikle
hızlı reaksiyon göstermemiz gerekir” diyen Miller, her bir farklı sistemin
farklı bir sorumluluk gerektiğinin altını çizdi.
Elektrik sektörüne ilişkin yönetmelik ve düzenlemelerden
de söz eden Miller, Düzenlemeler insanları güvenli hale getirir mi? Sorusunu
yönelterek; ağın her şeyden önce korunması gerektiğini ve endüstriyel kontrol
sistemlerini sadece internet üzerinden yapmanın yanlış olacağını vurguladı.
Endüstriyel kontrol sistemlerinde güvenliğin sadece sorunun bir parçası
olduğunun da altını çizen Miller, saldırılara rağmen sistemin çalışması
gerektiğine dikkati çekti.
“Bölgede
Bir Aktör Olmayı İstiyoruz”
Biznet Teknik
Lideri Can Demirel de siber güvenlik üzerine birim yöneticisi olarak
çalıştığını anlatarak, 2000 yılında kurulan bir şirket olarak siber güvenlikte
bölgede bir aktör olmayı istediklerini ve hedeflediklerini kaydetti. Bölgede ve
Avrupa’da ofislerinin bulunduğunu söyleyen Demirel, güvenliğin, kritik
altyapıların güvenliğini sağlamaktan geçtiğini belirtti. Demirel, günün sonunda
kritik alt yapıların çalışır halde olmasının zorunlu olduğuna işaret ederek,
kritik altyapıların güvenliğini siber güvenlikçilerin ele geçirdiğini ifade
etti. Siber güvenlikte alışkanlıkları yıkmak istediklerinde dirençle
karşılaştıklarının üzerinde duran Demirel, “Saha bizi koruyacak şekilde dizayn
edilmek zorunda. Sahayı tanırsak doğru yatırımları yönlendirme şansımız var”
diye konuştu.
Siber Güvenlik Olmazsa Olmaz
Kaspersky Endüstriyel Siber Güvenlik Global Teknik Satış
Müdürü Anton Shipulin ise konuşmasında endüstriyel imkanların test
edilebilmesinin önemini anlattı. Dünyada çok çeşitli kuruluşların endüstriyel
saldırı senaryolarını ortaya koyduğunu dile getiren Shipulin, çalışmaya izinsiz
erişimlerden başladığını; değerlendirme testleri geliştirdiklerini ve yapılan
tatbikatlardan çok deney elde ettiklerini kaydetti.
CyberArk Kıdemli Sistem Mühendisi Serhat Erkan da “Bir
zincir en zayıf halkası kadar güçlüdür” diyerek, son kullanıcının sistemin en
zayıf halkası olduğuna işaret etti. EKS sistemlerine yapılan atakların hiç
birisinin yakalanamadığına işaret eden Erkan, güvenlik etkisi nedeniyle 7 gün
24 saat çalışması gereken sistemler bulunduğunun altını çizdi.
Zafiyet
Avcılığı Programları
Trend Micro “Zero Day Initiative” Global Koordicnatörü
Shannon Sabens; En geniş eko sistemi korumak amacıyla sanal yama
yapılabileceğini kaydederek, hazırladıkları raporlarda bir müşterinin sanal
yamayı neden yapmadığını tartışabildiklerini söyledi. Birilerinin tersine
mühendislik yaparak; yamayı uygulamayarak delik açabileceğine işaret eden Sabens,
müşterilerine “Zafiyet avcılığına neden yatırım yapıyorsunuz?” diye
sorduklarını anlattı. Sabens, 500’ü geçen yıl olmak üzere 1300 Zafiyet Raporu
hazırladıklarını belirterek, siber güvenlikte bu yıl en yoğun yıllardan birinin
yaşandığını ifade etti. EKS destek raporları ve zafiyet avcılığı raporları
sağladıklarını söyleyen Sabens, bazen bu raporlara katılmayanların olabildiğini
kaydetti. “Bizler bu toplumun bir parçası olmak istiyoruz” diye konuşan Sabens,
firma olarak yapılan diğer araştırmaları da satın aldıklarını ve dünyanın her
yanında çözüm ortakları olduğunu söyledi.
Sabens, Microsoft, Google, United
Airlines gibi büyük firmaların zafiyet avclığı programları kullandıklarını öne
sürerek, 15 yıldır sadece müşterilerine ekonomik katkı ve rapor sağladıklarını
anlattı. Raporların tek kaynağının Trend Micro olduğunu belirten Sabens,
raporları anonim hale getirdiklerini ve 2 yılda bir yarışmalar düzenlediklerini
kaydetti. Sabens, bu kırılganlık ve zafiyet raporlarının herkesin işine
yaradığını savundu. Başka EKS, IT (Information Technology-Bilgi Teknolojileri) raporlarına
da katkı sağladıklarının altını çizen Sabens, bu noktada ortaklıklar da
kurduklarını, müşterileri için sanal yamalar gerçekleştirdiklerini, dünyanın en
büyük zafiyet avcılığı programını yaptıklarını anlattı.
Güvenlik Yatırımları Hala Gerilerde
Claroty EMEA (Avrupa, Orta Doğu, Afrika
Bölgesi) Kıdemli İş Geliştirme Direktörü Tomer Ben Shalom “Yeni Gelişen Risk
Bölgesi” konulu sunumunda IT ve OT kavramlarını iki ayrı adaya benzeterek,
farklı tarz insanlar ve yaşamlar gibi olduklarını kaydetti. Güvenlik
yatırımlarının hala gerilerde olduğu vurgusunu yapan Shalom, IT ve OT dünyası
yatırımlarının karşılaştırmasını yaptı. OT’nin giderek IT’ye benzediğinin
üzerinde önemle duran Shalom, her iki kavramın da gittikçe karışık bir hal
aldığını anlattı. Shalom konuşmasında endüstriyel müşterileri etkileyen
olaylardan örnekler vererek, kötü amaçlı yazılımların ulus devletlere ve
bireylere yaşatabilecekleri risklerden söz etti.
Danimarka Enerji Ajansı (Danish Energy Agency)
Endüstriyel Güvenlik Uzmanı Mikael Vingaard ise konuşmasında enerji boru hatlarına
olabilecek saldırılar üzerinde dururken, OT endüstriyel taraf oltalama
saldırılarının IT sistemi üzerinden gerçekleştirildiğine işaret etti. Nükleer
santraller ve dağıtım santralleri testleri ile keşif yapıldığını dile getiren
Vingaard, yapılan keşifleri hırsız benzetmesi ile örnekledi. Hacker’ların her
zaman önde olduklarına işaret eden Vingaard, “Hiçbir güvenlik sistemi aşılmaz”
değildir” dedi.
Check Point Mühendisi Selman Bağırıcı da sunumunda
globalde önde gelen güvenlik şirketlerinden biri olduklarını belirterek, 26 bin
müşterilerinin bulunduğunu dile getirdi. Bağırıcı, hızla genişleyen atak
alanının endüstriyel kontrol sistemlerini (endüstri 0.4) kritik sistemleri ve
IoT (nesnelerin interneti) sistemlerini tehdit ettiği uyarısında bulundu. Siber
güvenlikte görünürlüğün önemine işaret eden Bağırıcı, “Bilmediğimiz bir şeyi
koruyamayız” dedi. e-Posta üzerinden oltalama yöntemi ile EKS’ye saldırı tehdidi
olabileceğine değinen Bağırıcı, OT ve IT altyapılarının güvenliğinin önemine
dikkati çekti.
Güvenlik
Açığı Özellikle OT’de
EKS (Endüstriyel Kontrol Sistemleri)
Siber Güvenlik Konferansı’nın sonunda gerçekleştirilen “Toplulukları İnşaaetmek”
konulu panelin yöneticiliğini IDC Türkiye Sistem
ve Altyapı Çözümleri Araştırma Müdürü Dr. Ramazan Yavuz yaptı. Siber güvenlikte
açıklar bulunduğunu anlatan Yavuz, özellikle de bu açığın OT’de bulunduğunun
üzerinde durdu. Konuşmasında Türkiye’de siber güvenlik uzmanı açığının olduğuna
da değinen Yavuz, nasıl bir bilgi birikimi sağlanması gerektiğine ilişkin
çalışıldığını vurguladı.
Panel’in ilk konuşmacısı olan Enerji
Güvenliği Merkezi Amerika (EnergySec US)
Kurucu Başkanı ve Endüstriyel
Siber Güvenlik Merkezi (Industrial Cyber Security Center-CCI) Amerika Koordinatörü Patrick C. Miller da öncelikle enerji
projelerine ilişkin güvenlik ve eğitim departmanlarını kurduklarını ve kontrol
sistemleri konusunda eğitimler verdiklerini anlattı.
Kaspersky Endüstriyel Siber Güvenlik Global Teknik Satış
Müdürü Anton Shipulin ise her şeyin insanla başladığını ve insan ilişkilerinde
yattığını dile getirdi. “Yer altı insanları değiliz” diye konuşan Shipulin,
herkesin Rus heackerlardan haberdar olduğunu ancak, Rus savunucuların sayının
daha çok olduğunu söyledi ve bilgi paylaşımının önemine işaret etti.
Savunma Sanayi Başkanlığı Siber Güvenlik Kümelenmesi Proje
Müdürü Hasan Hüseyin Özbenli de dünya da rekabet anlayışının değiştiğine işaret
ederek, inivasyonun artık sihirli ve moda bir sözcük haline geldiğini ifade
etti. Türkiye siber güvenlik eko sistemini ortaya çıkarmak için her hafta bir
toplantı düzenlediklerini belirten Özbenli Türk Silahlı Kuvvetleri’nin (TSK)
ihtiyaçları doğrultusunda savunma sanayine yön verdiklerini kaydetti. Özbenli,
küreselleşen dünyada sınırların ortadan katlığına işaret ederek, bu sınırların
özellikle de siber güvenlik alanında kalmadığını vurguladı.
Danimarka Enerji Ajansı (Danish Energy Agency)
Endüstriyel Güvenlik Uzmanı Mikael Vingaard da konuşmasında, Danimarka’nın
Ankara kadar bir ülke olduğunu, kurdukları siber güvenlik topluluğunun da bu
kadarlık bir ihtiyaçtan doğduğunu ifade etti. Vingaard, İskandinav ülkelerinin
toplamının ise Ankara-İstanbul kadar ettiğini belirtti. Vingaard, siber
güvenlik alanındaki firmaların küresel markaları temsil ettiklerine dikkati
çekerek, siber güvenlik uzmanlarının çok sayıda ülkeye gittiklerini anlattı.
Biznet’ten Güvenliğe
Bütünsel Yaklaşım
2000
yılından bu yana IT, OT ve IoT güvenliğinde bütünsel bir yaklaşımla hizmet
veren, yerli siber güvenlik firması Biznet Bilişim, geçen sene ilkini organize
ettiği “EKS Siber Güvenlik Konferansı”nın ikincisini gerçekleştirdi.
Konferansı, Siber Güvenlik Kümelenmesi, Elder (Elektrik Dağıtım Hizmetleri
Derneği), Gazbir (Türkiye Doğal Gaz Dağıtıcıları Birliği), ve BGD (Bilgi
Güvenliği Derneği) ve Avrupa duyurusu için Endüstriyel Siber Güvenlik Merkezi
(CCI) destek verdi.
Konferans,
enerji tesisleri, su şebekeleri, ulaşım, haberleşme sistemleri, nükleer
santraller gibi kritik sistem ve altyapıların güvenliği konusunda farkındalığı
artırmak amacıyla gerçekleştiriliyor ve dünya çapında özel sektör, kamu ve
akademi dünyasının temsilcilerini; konuşmacı, panelist ve izleyici olarak bir
araya getiriyor.
Yorumlar
Yorum Gönder