Kaspersky’nin araştırmasına göre, endüstriyel kuruluşların yalnızca %7’si güvenlik açıklarını gerektiğinde ele alıyor
Endüstriyel kuruluşların %7’snini güvenlik açıklarını sırf gerektiğinde ele alıyor olması kurumları planlanmamış kesintilere, üretim kayıplarına ve mümkün siber ihlallerden kaynaklanabilecek prestij ve mali ziyanlara maruz bırakıyor. Bu kaygı verici eğilim, VDC Research ve Kaspersky tarafından yakın vakitte gerçekleştirilen ankette vurgulanıyor.
Kaspersky’nin VDC Research ile birlikte yürüttüğü “Amaca Yönelik Tahlillerle OT Güvenliğini Sağlama” araştırması, endüstriyel daldaki değişen siber güvenlik ortamına ışık tutuyor. Güç, kamu hizmetleri, üretim ve ulaşım üzere kilit kesimlere odaklanan bu araştırmada, endüstriyel ortamların siber tehditlere karşı güçlendirilmesinde karşılaşılan kıymetli eğilimleri ve zorlukları ortaya çıkarmak için 250’den fazla karar vericiyle anket yapıldı.
Güçlü bir siber güvenlik stratejisi, iş başkanlarının hangi varlıkların korunmaya gereksinim duyduğunu anlamasına ve en yüksek riskli alanları değerlendirmesine imkan tanıyarak, kuruluşun varlıklarına tam görünürlük sağlamakla başlar. BT ve OT (Operasyonel Teknoloji) sistemlerinin birleştiği ortamlarda bu, kapsamlı bir varlık envanterinden daha fazlasını gerektirir. Kuruluşlar, operasyonel gerçeklikleriyle uyumlu bir risk kıymetlendirme metodolojisi uygulamalıdır. Bunu net bir varlık temel çizgisi oluşturarak hem kurumsal risk kriterlerini hem de güvenlik açıklarının potansiyel fizikî ve siber sonuçlarını ele alan manalı risk değerlendirmeleriyle yapabilirler.
Ancak bu husustaki son anket bulguları telaş verici bir eğilimi ortaya koyuyor. Kıymetli oranda kuruluş, tertipli sızma testi yahut güvenlik açığı değerlendirmesi yapmıyor. İştirakçilerin sadece %27,1’i bu kritik değerlendirmeleri aylık olarak gerçekleştirirken, %48,4’lük çoğunluk değerlendirmeleri birkaç ayda bir yapıyor. Tasa verici bir biçimde, %16,7’si bunu yılda sadece bir yahut iki kere yapıyor ve %7,4’ü sırf gerektiğinde güvenlik açıklarını ele alıyor. Bu tutarsız yaklaşım, giderek karmaşıklaşan tehdit ortamında kurumları savunmasız bırakabilecek bir durum.
Her yazılım platformu tabiatı gereği yanılgılara, inançsız kodlara ve makus niyetli aktörlerin BT ortamlarını tehlikeye atmak için kullanabileceği öteki zayıflıklara karşı savunmasız kalabilir. Bu nedenle endüstriyel şirketler için tesirli yama idaresi bu riskleri azaltmak için çok kıymetlidir. Lakin araştırmalar, birçok kuruluşun bu alanda değerli zorluklarla karşılaştığını ve ekseriyetle kritik güncellemeler için operasyonları duraklatmak için gerekli vakti ayırmakta zorlandığını ortaya koyuyor. Rahatsız edici bir halde, birçok kuruluş OT sistemlerine sırf birkaç ayda bir yahut daha uzun bir mühlet yama uyguluyor ve bu da risk maruziyetlerini kıymetli ölçüde artırıyor. Kurumların %31,4’ü yamaları aylık olarak uygularken, %46,9’u bunu birkaç ayda bir yapıyor. %12,4’ü ise yılda sadece bir yahut iki kere güncelliyor.
Etkili yama idaresinin sürdürülmesindeki bu zorluklar, hudutlu aygıt görünürlüğü, tutarsız satıcı yama kullanılabilirliği, özel uzmanlık ihtiyaçları ve yasal uyumluluğun siber güvenlik ortamına karmaşıklık katmanları eklediği OT ortamlarında daha da artıyor.
BT ve OT sistemleri giderek birbirine yaklaştıkça, çoklukla açık standartlar yerine tescilli teknolojilere dayanan, klasik olarak farklı yapıya sahip kelam konusu sistemlerin uyumlu hale getirilmesi için acil bir gereksinim ortaya çıkıyor. Varlık takibi ve sıhhat izleme için kameralar ve akıllı sensörlerden gelişmiş iklim denetim sistemlerine kadar Objelerin İnterneti (IoT) aygıtlarının süratle çoğalması, bu zorluğu daha da artırıyor. Bu bağlı aygıt patlaması, endüstriyel kuruluşlar için taarruz yüzeyini genişletiyor ve sağlam siber güvenlik tedbirlerine duyulan acil muhtaçlığın altını çiziyor.
Kaspersky, bu alanda endüstriyel müşteriler için özel OT sınıfı teknolojileri, uzmanlık bilgisini ve değer biçilmez uzmanlığı meselesiz bir halde entegre eden eşsiz bir ekosistem sunuyor. Kritik altyapılar için mahallî bir XDR platformu olan Kaspersky Industrial Cybersecurity (KICS), merkezi varlık envanteri, risk idaresi ve kontrolü sunan ve tek bir platform aracılığıyla çeşitli, dağıtılmış altyapılarda güvenlik ölçeklenebilirliği sağlayan OT ekosisteminin temel taşını oluşturuyor. Ayrıyeten Kaspersky, endüstriyel kuruluşların yeni OT aygıtları yahut sistemleri kurarken Secure by Design ideolojisini benimsemelerini öneriyor.
KasperskyOS İş Ünitesi Başkanı Dmitry Lukiyan, şunları söylüyor: “Kaspersky’de Secure-by-Design konseptini Siber Bağışıklık yaklaşımımızla hayata geçiriyoruz. Bu, bilinmeyen güvenlik açıklarından yararlanan ataklara bile dayanabilen, mimari açıdan esnek eserler ortaya koymak manasına geliyor. Klasik sistemlerin bilakis, Cyber Immune eserleri daima yama yahut harici güvenlik katmanlarına muhtaçlık duymaz. Sonuç olarak, müşterilerimiz güvenlikten ödün vermeden daha güçlü müdafaa, kolaylaştırılmış bakım ve daha düşük toplam sahip olma maliyetinden faydalanır.”
KasperskyOS tabanlı Cyber Immune eserleriyle kurumlar, en az ek siber güvenlik maliyetiyle sistemlerinin dayanıklılığını artırabilir, böylelikle uzun vadede genel siber güvenlik masraflarını azaltabilir.
“Securing OT with Purpose-built Solutions” raporunun tamamını okumak için web sitesini ziyaret edebilirsiniz.
Endüstriyel siber dayanıklılık ve tüm varlık ve süreçlerin kapsamlı bir biçimde korunmasını sağlamanın yolları hakkında daha fazla bilgi edinmek için interaktif kılavuza başvurabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
