Endüstriyel güvenlikte paradigma kayması: Fabrikalara bağışıklık kazandırmak

Kaspersky IoT Secure Gateway 100: İş devamlılığını sürdürürken endüstriyel verileri nasıl koruyabilirsiniz?

On yıl, siber güvenlikte uzun bir süre. O günlerde geleceği ve 2022’de siber güvenlik teknolojilerinin ne kadar ilerlemiş olacağını görebilseydik eminim kimse inanamazdı. Ben bile! Paradigmalar, teoriler, pratikler, ürünler (antivirüs mü, o da ne?)… Her şey tanınmayacak ölçüde değişti ve gelişti.

Aynı zamanda, ne kadar ilerlersek ilerleyelim, (yapay zeka mucizeleriyle ilgili boş sözlere ve siber güvenlikle ilgili diğer abartmalara rağmen) bugün hala 10 yıl öncekilerle aynı klasik sorunlarla karşı karşıyayız:

Verileri düşman gözlerden korur ve üstlerinde izinsiz değişiklikler yapılmasını önlerken aynı zamanda iş süreçlerinin devamlılığını nasıl koruyabiliriz?

Gizliliği, bütünlüğü ve erişilebilirliği korumak, kesinlikle hala tüm siber güvenlik uzmanlarının gündelik işlerinin büyük kısmını oluşturuyor.

‘Dijital’, nereye giderse gitsin aynı problemleri beraberinde götürüyor. Geçmişte de böyle oldu, şimdi de böyle, bundan sonra da böyle olacak. Çünkü dijitalleşmenin avantajları ortada. Ağır makine yapımı, petrol rafinerileri, ulaşım ve enerji gibi tutucu görünen alanlar bile yıllardır dijitalleşiyor. Hepsi iyi güzel, peki ya güvenlik?

Dijitallik sayesinde işletmelerin verimliliği büyük bir hızla artıyor. Öte yandan dijital olan her şey hacklenebilir (hackleniyor da) ve bunun birçok örneği var. Dijitali tamamen benimsemek ve tüm meyvelerini toplamak çok çekici bir fikir olsa da bunu ağrısız yoldan (yani iş süreçlerini sekteye uğratmadan) yapmak gerekiyor. Yeni (sayılabilecek) ağrı kesicimiz KISG 100 (Kaspersky IoT Secure Gateway) de işte tam bu noktada devreye giriyor.

Bu ufacık kutu (RRP, 1000 EUR’nun biraz üzerinde), endüstriyel ekipmanlar (yine ‘makineler’) ile bu ekipmanlardan çeşitli sinyaller alan sunucu arasına kuruluyor. Bu sinyallerdeki veriler çeşitlilik gösteriyor; verimlilik, sistem hataları, kaynak kullanımı, titreşim seviyeleri, CO2/NOx  emisyon ölçümleri ve daha pek çok farklı veri içerebiliyor. Ancak bunların hepsi, üretim sürecine dair genel bir resim elde ederek bilgiye dayalı ve mantıklı iş kararları verebilmek için gerekli.

Gördüğünüz gibi, kutu küçük olsa da çok güçlü. Önemli fonksiyonlarından biri ise yalnızca ‘izin verilen’ verileri iletmesi. Aynı zamanda yalnızca tek yönlü veri iletimine izin veriyor. Bu sayede KISG 100; man-in-the-middle saldırıları, man-in-the-cloud saldırıları ve DDoS saldırıları da dahil olmak üzere bu dijital zamanlarda üstümüze gelen internet tabanlı birçok saldırıyı bir anda kesintiye uğratıyor.

Siemens SIMATIC IOT2040 donanım platformunda ve siber bağışıklığa sahip KasperskyOS platformumuzda çalışan KISG 100, harici ve dahili ağları ayırarak tek bir kötü amaçlı kodun bile birinden diğerine geçememesini sağlıyor; böylece makineler tamamen koruma altına alınıyor. (Bekleyen üç patent başvurusu bulunan) bu teknoloji, veri diyotu prensibiyle çalışıyor: Veri akışı, yalnızca tek bir yönde ve belirli koşullar sağlandığı takdirde açılıyor. Ancak rakip çözümlerine aksine KISG bunu (i) daha güvenilir, (ii) daha basit ve (iii) daha ucuz bir şekilde gerçekleştiriyor!

Gelin, biraz daha yakından bakalım…

Bu küçük kutuya “ağ geçidi” denmesi boşuna değil; kutu tıpkı kanallarda bulunan mekanik hidro-teknik geçitler gibi, yani bir kilit gibi çalışıyor. Alttaki geçidi açılıyor, tekne hazneye giriyor, su seviyesi yükseliyor, üstteki geçit açılıyor, tekne hazneden çıkıyor. KISG 100 de aynı şekilde önce endüstriyel ağdan kaynağın aracısını başlatıyor; ardından bunu, sunucu yönünde veri alıcısının aracısıyla bağlıyor ve yalnızca tek yönlü veri transferine izin veriyor.

Makine ile sunucu arasında bağlantı kurulduktan sonra sistem, “güvenli” denen statüye ulaşıyor: Harici bir ağa ve güvenilir olmayan belleğe erişim, her iki aracı (kaynak ve alıcı) için de yasak hale gelirken, (şifreleme kodları, sertifikalar vb. gibi çalışma parametrelerini aldıkları) güvenilir belleğe erişime izin veriliyor. Ağ geçidi bu statüdeyken harici bir ağdan gelen saldırılara karşı koruma altında oluyor, çünkü bu aşamada tüm bileşenlerinin dış dünyayla bağlantısı kesilmiş, yalnızca yüklenmiş ve başlatılmış oluyor.

Başlatmanın ardından ağ geçidinin statüsü aktife dönüyor: Alıcı aracısı, hem harici bir ağa veri transfer etme hem de (geçici veri içeren) güvenilir olmayan belleğe erişim hakkı kazanıyor. Böylelikle, sunucu tarafında hacklenme olsa bile hackerlar, ağ geçidinin diğer bileşenlerine veya endüstriyel ağa geçemiyor. Şunun gibi:

Aracılar arasındaki etkileşim kurallarının gözlemlenmesinin kontrolü ve ağ geçidinin statü değişimi, bir siber güvenli monitörü olan KSS tarafından gerçekleştiriliyor. KasperskyOS’un yalıtılmış bir alt sistemi olan KSS; önceden tanımlanan güvenlik politikalarının (hangi bileşenin neler yapabileceğinin) gözlemini sürekli olarak izliyor ve ‘varsayılan olaarak reddet’ prensibine göre tüm yasaklı eylemleri engelliyor. KSS’in en büyük rekabet avantajı, güvenlik politikalarının özel bir dille açıklanmasının ve ön tanımlı siber güvenlik modelleriyle kombine edilebilmesinin çok kolay olması. KISG 100 bileşenlerinden birinin (örneğin alıcı aracısının) güvenliği ihlal edilse bile geri kalan kısım zarar görmüyor. Bu sırada sistem operatörüne saldırı bildiriliyor ve saldırıyla mücadeleye başlanabiliyor.

Hala okuyor musunuz? O halde sıra, “bekleyin, dahası var” dediğimiz kısma geldi.

Bu ufacık kutu, başka dijital hizmetler sunmaya da yardımcı oluyor. ERP/CRM ve kuruluşların çeşitli diğer işletme sistemlerindeki endüstriyel verileri güvenle entegre etmeyi sağlıyor.

Bu servislerle ilgili senaryolar çok çeşitli olabilir. Örneğin, saygın müşterimiz Chelpipe Group (lider çelik boru üreticisi) için boru kesen bir makine aracının verimliliğini hesapladık. Öngörücü bu analiz sayesinde, bu tür bir araç satın alırken yapılan dolaylı harcamalardan ayda 7000 USD tasarruf edilebilir. Aslına bakılırsa böyle bir entegrasyon sonsuz olasılıklar sunuyor.

Bir örnek daha verelim: St. Petersburglu LenPoligraphMash şirketi, endüstriyel ekipmanlarını 1C ERP sistemine bağladı ve artık tüm operatörlerin performansını neredeyse gerçek zamanlı bir ERP analiziyle görebiliyor. Böylece, normatif veya ortalama arıza süresi üzerinden değil, gerçek arıza süresi üzerinden ödeme yapabiliyor. Saygın analitik ajansı Arc Advisory Group da ilk siber bağışıklık raporunda bu yaklaşımın eşsizliğini ve ölçeklenebilirliğini doğruladı.

Yani, görüdüğünüz gibi, bu kutu bildiğiniz kutulara benzemiyor. Ustalıkla yaratılmış sihirli bir kutu bu! KISG 100 halihazırda, Chelpipe Group’da ön saflarda yürüttüğü görevin yanı sıra, StankoMashKomplex‘in metal işleme makineleriyle birlikte kullanılıyor. Rostec ve Gazprom Neft ile başarılı pilot projeler yürütülüyor ve onlarca büyük endüstriyel kuruluşla diğer pilot projelerin startı verildi. Çin’in en büyük BT etkinliği olan İnternet Dünya Konferansı’nda üstün teknolojik başarısı için özel bir ödül alan KISG 100, Hannover Messe 2021 teknoloji fuarında en inovasyonel çözümler arasında yerini aldı ve son olarak da Internet of Things Association‘ın IoT 2021 ödüllerinde yüksek puan alan birçok şirketi geride bırakarak birincilik ödülünün sahibi oldu.

İleride bu tür akıllı kutulardan oluşan ürün yelpazemizi genişleteceğiz. KISG 100‘ün ‘abisi’ KISG 1000‘in beta testleri başladı bile. KISG 1000, ağ geçidi korumanın yanı sıra denetim de yapıyor: Yalnızca uzaktan ölçümleri toplamakla, kontrol etmekle ve dağıtmakla kalmıyor, aynı zamanda cihazlara yönetim komutlarını iletiyor ve ağ saldırılarına karşı koruyor.

Kıssadan hisse: Dijitalden korkmanıza gerek yok, nasıl idare edeceğinizi bilseniz yeter! Biz de en iyi uzmanlarımız ve önerilerimizle size bu konuda yardımcı olmak için buradayız.

İpuçları

Ev güvenliğinin sağlanması

Güvenlik şirketleri, evinizi hırsızlık, yangın ve diğer olaylardan korumak için başta kameralar olmak üzere çeşitli akıllı teknolojiler sunuyor. Peki ya bu güvenlik sistemlerinin kendilerini davetsiz misafirlerden korumak? Bu boşluğu biz dolduruyoruz.