
Endüstri 4.0 ile birlikte üretim tesisleri; sensörlerin, PLC'lerin, SCADA sistemlerinin ve robotların kurumsal ağa bağlandığı karmaşık ortamlar haline geldi. Bu yakınsama büyük verimlilik, gerçek zamanlı izlenebilirlik ve veriye dayalı karar fırsatları sunarken; daha önce fiziksel olarak izole (air-gapped) olan operasyonel teknoloji (OT) sistemlerini de siber tehditlere açtı. Artık fabrika sahası, kurumsal BT kadar saldırı yüzeyine sahip.
OT, IT'den Neden Farklıdır?
BT (IT) dünyasında önceliklerin sırası genellikle gizlilik, bütünlük, erişilebilirliktir. OT dünyasında ise bu sıra tersine döner: önce güvenlik (safety) ve süreklilik (availability) gelir. Bir üretim hattını anlık bir güncelleme veya yeniden başlatma için durdurmak çoğu zaman mümkün değildir; bir kesinti, milyonlarca liralık üretim kaybı veya can güvenliği riski anlamına gelebilir.
Ayrıca OT sistemleri onlarca yıl sahada kalacak şekilde tasarlanır; eski işletim sistemleri, yamalanamayan cihazlar ve özel protokoller yaygındır. Bu yüzden OT güvenliği, IT araçlarının doğrudan kopyalanmasıyla değil; sahanın gerçekliğine uygun, kesintisiz çalışan yöntemlerle kurulmalıdır.
Temel Yapı Taşı: Segmentasyon
Endüstriyel siber güvenliğin temelinde doğru ağ segmentasyonu yatar. Yaygın referans modeli olan Purdue modeli, fabrikayı katmanlara ayırır: saha cihazları, kontrol sistemleri, operasyon yönetimi ve kurumsal ağ. Bu katmanlar arasına yerleştirilen güvenlik bölgeleri (zone) ve DMZ'ler, bir saldırının ofis ağından üretim hattına yayılmasını engeller.
Segmentasyonun yanında pasif izleme kritik öneme sahiptir: OT trafiğini bozmadan, sadece dinleyerek varlık envanteri çıkarılır ve anomaliler tespit edilir. Böylece üretim kesintiye uğramadan görünürlük sağlanır.
Bütüncül OT Güvenlik Yaklaşımı
- OT/IT ağ entegrasyonu ve güvenli mimari tasarımı
- Ağ segmentasyonu, mikro-segmentasyon ve endüstriyel güvenlik bölgeleri
- SCADA/ICS varlık envanteri ve sürekli zafiyet yönetimi
- Pasif ağ izleme ve anomali tespiti (üretimi kesmeden)
- EPDK EKS Bilgi Güvenliği Rehberi gibi düzenlemelere uyum
Uyum ve Düzenlemeler
Enerji, üretim ve kritik altyapı sektörlerinde OT güvenliği yalnızca teknik değil, aynı zamanda yasal bir gerekliliktir. Türkiye'de EPDK'nın Endüstriyel Kontrol Sistemleri (EKS) Bilgi Güvenliği Rehberi gibi düzenlemeler, kritik tesislerin belirli güvenlik kontrollerini uygulamasını zorunlu kılar. Doğru kurgulanmış bir OT güvenlik programı, hem operasyonel riski azaltır hem de uyum yükümlülüklerini karşılar.
Gerçek Dünya Tehditleri
OT sistemlerine yönelik saldırılar artık teorik değil. Stuxnet'ten endüstriyel tesisleri hedef alan fidye yazılımlarına kadar pek çok örnek, bir siber saldırının fiziksel sonuçlar (üretim durması, ekipman hasarı, hatta güvenlik riski) doğurabileceğini gösterdi. Üstelik birçok saldırı, doğrudan OT'yi değil; önce kurumsal BT ağına sızıp oradan üretim ağına geçerek gerçekleşir. Bu yüzden BT ve OT güvenliği artık ayrı düşünülemez.
Varlık Görünürlüğü Neden Zordur?
OT güvenliğinin ilk ve en zorlu adımı, sahada ne olduğunu bilmektir. Birçok tesiste yıllar içinde eklenmiş, envanteri tutulmamış yüzlerce cihaz bulunur; farklı üreticiler, eski protokoller ve belgesiz bağlantılar işi zorlaştırır. Aktif tarama araçları hassas OT cihazlarını çökertebileceğinden, görünürlük çoğunlukla pasif yöntemlerle, yani trafiği yalnızca dinleyerek sağlanır. Doğru bir varlık envanteri olmadan ne segmentasyon ne de zafiyet yönetimi mümkündür.
IT ve OT Ekiplerinin İşbirliği
Teknolojik çözümler kadar önemli olan, iki farklı kültürün buluşmasıdır. BT ekipleri hız ve esnekliğe, OT ekipleri ise kararlılık ve güvenliğe odaklanır. Başarılı bir OT güvenlik programı, bu iki ekibi ortak hedefler ve ortak bir dil etrafında bir araya getirir. Değişiklik yönetimi, ortak olay müdahale planları ve düzenli tatbikatlar, yakınsamanın yalnızca ağ düzeyinde değil organizasyonel düzeyde de gerçekleşmesini sağlar.
Sıfır Güven OT Ortamına Uygulanabilir mi?
Sıfır Güven ilkeleri yalnızca BT için değil, OT için de giderek daha önemli hale geliyor. "Asla güvenme, daima doğrula" yaklaşımı; üretim ağında da her cihazın, her bağlantının ve her komutun yetkilendirilmesi anlamına gelir. Ancak OT'de bu, BT'dekinden farklı uygulanır: kesintiye tahammülün düşük olması nedeniyle, agresif engelleme yerine önce derin görünürlük ve sıkı segmentasyon tercih edilir. Zamanla, kritik kontrol komutları için yetkilendirme ve mikro-segmentasyon kademeli olarak devreye alınır.
Uzaktan erişim, OT için özel bir risk alanıdır: bakım için bağlanan tedarikçiler ve uzaktan çalışan mühendisler, sıkı kontrol altında tutulmalıdır. Aracısız geniş VPN erişimleri yerine, oturum kaydı tutan, en az ayrıcalık ilkeli ve onay mekanizmalı güvenli erişim çözümleri kullanılmalıdır.
Olgun Bir OT Güvenlik Programının Adımları
Olgun bir program; varlık görünürlüğüyle başlar, ardından risk değerlendirmesi ve segmentasyonla devam eder, sürekli izleme ve olay müdahalesiyle olgunlaşır. Bu yolculukta düzenleyici uyum (örneğin EPDK EKS rehberi) bir hedef değil, doğru kurgulanmış programın doğal bir çıktısıdır. Önemli olan, güvenliği üretimin önüne değil, üretimin yanına koymaktır: doğru tasarlandığında güvenlik, operasyonel sürekliliği tehdit etmez, aksine korur. Datnes Bilişim olarak fabrika zemininden kurumsal ağa uzanan bu yolculukta, sahanın gerçekliğine uygun, kesintisiz çalışan bir güvenlik mimarisi kuruyoruz.
İnsan Faktörü: Eğitim ve Farkındalık
En gelişmiş teknik kontroller bile, insan faktörü göz ardı edildiğinde eksik kalır. Üretim sahasındaki operatörler, bakım personeli ve mühendisler; güvenliğin ilk savunma hattıdır. USB bellekler, yetkisiz uzaktan bağlantılar ve sosyal mühendislik, OT ortamlarına giriş için sık kullanılan yollardır. Düzenli farkındalık eğitimleri ve net prosedürler, bu riskleri önemli ölçüde azaltır.
Adım Adım Bir OT Güvenlik Yolculuğu
Pratikte olgun bir OT güvenlik programı şu sırayla ilerler: önce pasif izlemeyle kapsamlı bir varlık envanteri çıkarılır; ardından kritiklik ve risk değerlendirmesi yapılır; sonra Purdue modeline uygun segmentasyon ve güvenli uzaktan erişim devreye alınır; nihayet sürekli izleme, anomali tespiti ve olay müdahale yetenekleri kurulur. Bu yolculuk boyunca üretim sürekliliği her zaman önceliklidir; güvenlik kontrolleri, operasyonu aksatmadan ve sahanın gerçekliğine saygı göstererek uygulanır. Datnes Bilişim olarak bu programı, kurumunuzun olgunluk düzeyine ve düzenleyici yükümlülüklerine uygun bir yol haritasıyla, fabrika zemininden kurumsal ağa kadar uçtan uca hayata geçiriyoruz.
Tedarik Zinciri ve Üçüncü Taraf Riski
OT ortamlarında risk yalnızca kurum içinden gelmez; ekipman üreticileri, bakım firmaları ve entegratörler de önemli bir saldırı yüzeyi oluşturur. Bir tedarikçinin uzaktan bağlantısı veya güncelleme paketi, istemeden bir tehdidi üretim ağına taşıyabilir. Bu nedenle üçüncü taraf erişimleri sıkı biçimde izlenmeli, en az ayrıcalık ilkesiyle sınırlandırılmalı ve her oturum kayıt altına alınmalıdır. Tedarik zinciri güvenliği, modern OT güvenlik programının vazgeçilmez bir bileşenidir; çünkü zincirin en zayıf halkası, tüm tesisin güvenlik seviyesini belirler.
Datnes Bilişim olarak IT/OT Dijitalleşme Çözümleri ve Siber Güvenlik Çözümleri ile fabrika zemininden kurumsal ağa uzanan güvenli bir dönüşümü birlikte kurarız.
