Sanayi kuruluşlarının büyük bir kısmı siber güvenlik olaylarına karşı iyi bir şekilde hazırlanmış olduklarını düşünse de, bu güven sağlam bir temele dayanmıyor olabilir. Geçtiğimiz sene içerisinde endüstriyel kontrol sistemleri (EKS) alanında faaliyet gösteren her iki şirketten biri, bir ila beş saldırıya maruz kaldı. Kaspersky Lab’ın araştırmasına göre, sanayi kuruluşları yetersiz siber güvenlik sebebiyle yılda ortalama 497.000 dolar kaybediyor.
Endüstri 4.0 kavramı, dünya çapında sanayi kuruluşlarının siber güvenliğe öncelik vermesini sağladı ve onları EKS konusunda aşılması gereken yeni zorluklarla karşı karşıya bıraktı. BT ile operasyonel teknolojilerin (OT) birleşmesi ve endüstriyel kontrol ağlarının harici sağlayıcılara açılması da bunlara dahil. Kaspersky Lab ve Business Advantage, endüstriyel siber güvenlik konusunda önlemler aldığını belirten 359 kuruluşun katılımıyla, söz konusu zorluk ve fırsatlar hakkında küresel bir anket düzenledi. 2017 yılı Şubat ve Nisan ayları arasında yürütülen anketin ana bulgularından biri, EKS ile ilgili olaylar hakkındaki gerçekler ile bu konudaki algının arasında büyük farklar olması. Örneğin, katılımcıların %83’ünün OT/EKS ile ilgili bir siber güvenlik olayına karşı iyi bir şekilde hazırlanmış olduklarına inanmasına karşın, ankete katılan şirketlerin yarısı, son 12 ay içerisinde 1 ila 5, %4’ü ise 6’dan fazla BT güvenliği olayıyla karşılaşmış. Bu da akıllara şu soruyu getiriyor: Söz konusu şirketlerin BT güvenliği stratejilerinde ve koruma yöntemlerinde ne gibi değişiklikler yapılması gerekiyor ki, kritik önem taşıyan verilerini ve teknolojik süreçlerini daha etkin bir şekilde koruyabilsinler?
Üretim bölümünde siber tehditler
EKS alanında faaliyet gösteren şirketler, karşı karşıya oldukları risklerin farkındalar. Katılımcıların %74’ü altyapılarını hedefleyen bir siber saldırı gerçekleştirilebileceğine inanıyor. Hedefli saldırılar ve fidye yazılımları gibi yeni tehditler konusundaki yüksek farkındalığa rağmen, bu şirketler için en büyük sıkıntıyı yine de sıradan zararlı yazılımlar oluşturuyor. Katılımcıların %56’sı bunu en endişe verici saldırı vektörü olarak görüyor. Bu örnek özelinde, algı ve gerçek birbiriyle örtüşüyor: ankete katılan her iki şirketten biri, geçtiğimiz yıl içerisinde sıradan zararlı yazılımların vermiş olduğu zararları telafi etmek durumunda kalmış.
Fakat kendi çalışanlarının yaptığı hatalar ve kasıtsız davranışlar konusunda ilginç bir tablo ortaya çıkıyor. Bu tür tehditler EKS şirketleri için harici faillerin vereceği zararlardan daha büyük bir tehlike oluşturmasına rağmen, söz konusu şirketlerin en çok endişe duyduğu ilk üç konu içerisinde bünyeleri dışındaki faillerin verebileceği zararlar bulunuyor.
