OT, ICS ve SCADA Güvenliği: Endüstriyel Kontrol Sistemlerine Siber Saldırılar ve Savunma

Hızlı Cevap: OT (Operasyonel Teknoloji), bir fabrikanın, enerji santralinin ya da su arıtma tesisinin fiziksel süreçlerini kontrol eden sistemlerdir, ICS (Endüstriyel Kontrol Sistemleri) ve SCADA (Denetleyici Kontrol ve Veri Toplama) bu kategorinin en yaygın örnekleridir. Bu sistemler, bir vanayı açıp kapatmak, bir üretim hattını durdurmak ya da bir elektrik şebekesini yönetmek gibi gerçek dünyada fiziksel sonucu olan işleri yürütür, bu yüzden bir siber saldırı burada yalnızca veri kaybı değil, üretim durması, ekipman hasarı ve hatta can güvenliği riski demektir. OT güvenliğini BT (Bilgi Teknolojileri) güvenliğinden ayıran temel fark, önceliğin gizlilik değil sürekliliktir, bir üretim hattı saniyeler içinde durdurulamaz. Endüstriyel kontrol sistemleri tarihsel olarak izole (air gapped) tasarlandı, ama dijital dönüşüm onları giderek BT ağlarına ve internete bağladı, bu da eskiden var olmayan bir saldırı yüzeyi yarattı. Savunma, ağ segmentasyonu (Purdue modeli), eski endüstriyel protokollerin (Modbus, DNP3) güvenlik zafiyetlerini bilmek, varlık envanteri çıkarmak ve IEC 62443 gibi standartlara uygun bir güvenlik programı kurmakla sağlanır.

Bir fabrikanın üretim hattı ya da bir enerji tesisinin kontrol odası, çoğu insanın siber güvenlik denince aklına gelmeyen bir dünyadır, ama giderek en kritik hedeflerden biri haline geliyor. Kurumsal firewall ve ağ güvenliğinin genel çerçevesini kurumsal firewall seçimi, NGFW rehberi yazımızda, konteyner ve modern altyapı güvenliğini konteyner ve Kubernetes güvenliği yazımızda ele aldık. Bu yazı, bambaşka bir dünyayı, endüstriyel kontrol sistemlerinin güvenliğini ele alır.

OT, ICS ve SCADA arasındaki fark

Bu üç terim sık karıştırılır, ama aralarında net bir hiyerarşi vardır.

  • OT (Operational Technology, Operasyonel Teknoloji). En geniş kategori. Fiziksel süreçleri izleyen ya da kontrol eden donanım ve yazılımların tümüdür, bir fabrikadaki bir sensörden bir enerji santralindeki türbin kontrolüne kadar her şeyi kapsar.
  • ICS (Industrial Control Systems, Endüstriyel Kontrol Sistemleri). OT'nin bir alt kümesi, endüstriyel süreçleri kontrol eden sistemlerdir. PLC (Programlanabilir Mantık Denetleyici), DCS (Dağıtık Kontrol Sistemi) ve SCADA, ICS'in temel bileşenleridir.
  • SCADA (Supervisory Control and Data Acquisition, Denetleyici Kontrol ve Veri Toplama). ICS'in bir türü, genellikle coğrafi olarak dağınık altyapıları (bir enerji şebekesi, bir su dağıtım ağı, bir boru hattı) merkezi bir noktadan izlemek ve kontrol etmek için kullanılır.

Bu ayrımı bilmek önemlidir, çünkü her biri biraz farklı bir risk profiline sahiptir, ama hepsi aynı temel güvenlik ilkelerini paylaşır.

Neden BT güvenliğinden tamamen farklı bir dünya

Bilgi teknolojileri (BT) güvenliğinde öncelik sırası genelde gizlilik, bütünlük ve erişilebilirliktir, bu sırayla. OT dünyasında bu sıra neredeyse tersine döner, önce erişilebilirlik ve süreklilik gelir, sonra bütünlük, en sonda gizlilik. Bir üretim hattını "güvenlik güncellemesi için" birkaç saatliğine durdurmak, milyonlarca liralık üretim kaybı demektir, bazı tesislerde ise durdurmak fiziksel olarak tehlikelidir (bir kimyasal süreç ya da bir enerji santralinin kontrolsüz durması).

Bu öncelik farkı, BT dünyasının standart çözümlerinin OT'ye doğrudan uygulanamamasına yol açar. Bir zafiyet çıktığında hemen yama yapmak, BT'de rutindir ama OT'de bir üretim durmasına neden olabilir. Bir cihazı yeniden başlatmak, BT'de sıradan bir işlemdir ama OT'de bir sürecin fiziksel olarak kesintiye uğraması demektir. Bu yüzden OT güvenliği, BT güvenlik pratiklerini kopyalamak değil, kendine özgü bir yaklaşım gerektirir.

Endüstriyel protokollerin tasarım kusuru

Modbus, DNP3 ve benzeri endüstriyel iletişim protokolleri, onlarca yıl önce, güvenlik hiç düşünülmeden tasarlandı. O dönemde bu sistemler tamamen izole (air gapped) çalışacağı varsayılıyordu, dış saldırgan hiç hesaba katılmamıştı. Sonuç olarak bu protokollerin çoğunda, doğrulama (authentication) ve şifreleme yoktur.

Bu, pratikte şu anlama gelir, bir saldırgan ağa bir kez erişim sağlarsa, bu eski protokolleri kullanan bir cihaza kimlik doğrulaması gerekmeden komut gönderebilir. Bir PLC'ye "bu vanayı aç" ya da "bu motoru durdur" komutu, eğer ağ trafiğine erişim varsa, çoğu zaman hiçbir yetkilendirme kontrolünden geçmeden kabul edilir. Bu tasarım kusuru, onlarca yıllık endüstriyel altyapıda hâlâ yaygındır ve kısa vadede değiştirilemez, çünkü bu protokolleri değiştirmek donanımın tamamen yenilenmesini gerektirir.

Kavram BT (bilgi teknolojisi) OT (operasyonel teknoloji)
Öncelik Gizlilik, bütünlük, erişilebilirlik Erişilebilirlik, bütünlük, gizlilik
Yama uygulama Sık ve hızlı Nadir, dikkatli planlanmış pencerede
Cihaz ömrü 3 ila 5 yıl 15 ila 25 yıl
Protokol güvenliği Modern, şifreli Çoğu zaman şifresiz, doğrulamasız
Bir olayın sonucu Veri kaybı, gizlilik ihlali Üretim durması, fiziksel hasar, can güvenliği

Neden artık izole değiller

Endüstriyel kontrol sistemleri, tarihsel olarak dış dünyadan tamamen izole (air gapped) çalışacak şekilde tasarlandı, ve uzun süre bu izolasyon gerçek bir güvenlik katmanı sağladı. Ama dijital dönüşüm bunu değiştirdi. Uzaktan izleme, tahmini bakım ve verimlilik analitiği gibi ihtiyaçlar, OT sistemlerini giderek kurumsal BT ağına ve internete bağladı.

Bu bağlantı, gerçek iş değeri yaratır, bir mühendis bir tesisi uzaktan izleyebilir, bir arıza önceden tahmin edilebilir. Ama aynı zamanda, güvenlik hiç düşünülmeden tasarlanmış eski bir dünyayı, modern bir saldırı yüzeyine açar. Bir saldırgan artık fiziksel olarak tesise girmek zorunda değildir, kurumsal ağdan bir sıçrama ile OT ağına ulaşabilir. Dış saldırı yüzeyi ve ağ segmentasyonunun genel önemini dış saldırı yüzeyi ve OSINT yazımızda da ele aldık.

Savunma, Purdue modeli ve ağ segmentasyonu

OT güvenliğinin temel mimarisi, Purdue modeli olarak bilinen katmanlı bir yaklaşımdır. Bu model, kurumsal BT ağı ile OT ağı arasına net katmanlar ve sıkı kontrollü geçiş noktaları koyar. Fikir basittir, kurumsal ağdaki bir saldırgan, doğrudan üretim hattını kontrol eden cihazlara ulaşamamalıdır, aralarında denetlenen, sınırlı ve izlenen geçiş noktaları olmalıdır.

Pratikte bu, ağ segmentasyonu ile sağlanır. Kurumsal BT ağı ile OT ağı fiziksel ya da mantıksal olarak ayrılır, ikisi arasındaki trafik bir güvenlik duvarından ve sıkı kurallardan geçer. OT ağının kendisi de katmanlara ayrılır, örneğin denetim (SCADA) katmanı ile doğrudan kontrol (PLC) katmanı birbirinden izole edilir. Bu segmentasyon, bir saldırganın kurumsal ağı ele geçirmesi durumunda bile, doğrudan üretim sürecine ulaşmasını çok daha zorlaştırır.

Savunma, varlık envanteri ve görünürlük

BT dünyasında olduğu gibi, OT'de de koruyamayacağınız tek şey, var olduğunu bilmediğiniz şeydir. Birçok tesis, ağında tam olarak hangi cihazların, hangi sürümlerin ve hangi bağlantıların olduğunu bilmez, çünkü bu sistemler yıllar içinde katman katman eklenmiştir ve genelde eksiksiz bir doküman yoktur.

Bir OT varlık envanteri çıkarmak, bu görünmezliği ortadan kaldırır. Hangi cihazların ağda olduğu, hangi protokolleri konuştuğu ve birbirleriyle nasıl iletişim kurdukları belirlenir. Bu envanter olmadan, bir zafiyet duyurulduğunda o zafiyetin sizi etkileyip etkilemediğini bile bilemezsiniz. Ayrıca, OT ağındaki trafiği pasif olarak izlemek (aktif tarama genelde riskli kabul edilir, çünkü eski cihazlar beklenmedik komutlara karşı kırılgan olabilir), olağandışı bir davranışı erken tespit etmeyi sağlar.

Savunma, IEC 62443 ve yama yönetimi

OT güvenliği artık kendi uluslararası standardına sahiptir, IEC 62443. Bu standart, endüstriyel kontrol sistemleri için güvenlik seviyelerini, bölgeleme ve iletişim kanalı gereksinimlerini ve bir güvenlik yönetim programının nasıl kurulacağını tanımlar. Bir kurum, bu standardı referans alarak, OT'ye özgü, gerçekçi bir güvenlik programı kurabilir.

Yama yönetimi, OT'de özellikle hassas bir konudur. Bir zafiyet ortaya çıktığında, BT'deki gibi hemen yama uygulamak yerine, önce yamanın üretim sürecini etkileyip etkilemeyeceği test edilmeli, ardından planlı bir bakım penceresinde uygulanmalıdır. Bazı eski cihazlarda yama hiç mevcut değildir, bu durumda telafi edici kontroller (compensating controls), örneğin o cihazı ek bir ağ segmentiyle izole etmek, tek çözümdür.

OT güvenlik kontrol listesi

Bir endüstriyel tesis, OT güvenliğini şu maddelerle değerlendirebilir.

  • Ağınızdaki tüm OT/ICS cihazlarının güncel bir envanteri var mı?
  • Kurumsal BT ağı ile OT ağı arasında net bir segmentasyon (Purdue modeli) uygulanıyor mu?
  • OT ağındaki trafik, en azından pasif olarak izleniyor mu?
  • Eski endüstriyel protokollerin (Modbus, DNP3) doğrulamasız risklerinin farkında mısınız ve bunu telafi eden kontroller var mı?
  • Yama yönetimi, üretim sürekliliğini gözeten planlı bir süreçle mi yürütülüyor?
  • IEC 62443 gibi bir standarda göre bir güvenlik olgunluk değerlendirmesi yapıldı mı?
  • OT ortamına uzaktan erişim, sıkı kimlik doğrulama ve sınırlı yetkiyle mi sağlanıyor?
  • Bir OT güvenlik olayına müdahale planı var mı, ve bu plan üretim sürekliliğini de kapsıyor mu?

Bu listeyi tamamlayan bir tesis, hem eski sistemlerin gerçekliğini kabul eder hem modern tehditlere karşı savunma kurar. DSET olarak endüstriyel kontrol sistemlerini bu çerçeveyle, üretim sürekliliğini bozmadan denetliyoruz.

Sıkça Sorulan Sorular

Bir OT sistemi internete hiç bağlı değilse tamamen güvenli mi? Daha güvenlidir ama tamamen değil. USB bellek, bakım için bağlanan bir dizüstü bilgisayar ya da bir tedarikçi bağlantısı, izole bir sistemi bile etkileyebilir. Fiziksel ve süreç kontrolleri hâlâ gereklidir.

OT sistemlerine BT güvenlik araçları doğrudan uygulanabilir mi? Genelde hayır, dikkatli olunmalıdır. Aktif bir zafiyet taraması, eski ve kırılgan bir PLC'yi çökertebilir. OT'ye özgü, pasif izleme ve dikkatli test yaklaşımları tercih edilmelidir.

Küçük bir üretim tesisi de hedef olur mu? Evet. Saldırganlar her zaman büyük altyapıyı hedeflemez, tedarik zincirindeki küçük bir tesis, daha büyük bir hedefe ulaşmak için bir sıçrama noktası olarak kullanılabilir.

IEC 62443'e uyum zorunlu mu? Sektöre ve ülkeye göre değişir, bazı kritik altyapı sektörlerinde düzenleyici bir gereklilik olabilir. Zorunlu olmasa bile, IEC 62443 iyi bir referans çerçevesi sunar ve OT güvenlik olgunluğunu artırır.

Kaynaklar

Endüstriyel kontrol sistemlerinizi (OT, ICS, SCADA) siber tehditlere karşı denetlemek ve üretim sürekliliğini bozmadan güvenlik kurmak için DSET ile iletişime geçin.