Kaspersky’nin araştırmasına göre, endüstriyel kuruluşların yalnızca %7’si güvenlik açıklarını gerektiğinde ele alıyor

Endüstriyel kuruluşların %7’snini güvenlik açıklarını sırf gerektiğinde ele alıyor olması kurumları planlanmamış kesintilere, üretim kayıplarına ve muhtemel siber ihlallerden kaynaklanabilecek prestij ve mali ziyanlara maruz bırakıyor. Bu tasa verici eğilim, VDC Research ve Kaspersky tarafından yakın vakitte gerçekleştirilen ankette vurgulanıyor. 

Kaspersky’nin VDC Research ile birlikte yürüttüğü “Amaca Yönelik Tahlillerle OT Güvenliğini Sağlama” araştırması, endüstriyel bölümdeki değişen siber güvenlik ortamına ışık tutuyor. Güç, kamu hizmetleri, üretim ve ulaşım üzere kilit bölümlere odaklanan bu araştırmada, endüstriyel ortamların siber tehditlere karşı güçlendirilmesinde karşılaşılan değerli eğilimleri ve zorlukları ortaya çıkarmak için 250’den fazla karar vericiyle anket yapıldı.

Güçlü bir siber güvenlik stratejisi, iş başkanlarının hangi varlıkların korunmaya gereksinim duyduğunu anlamasına ve en yüksek riskli alanları değerlendirmesine imkan tanıyarak, kuruluşun varlıklarına tam görünürlük sağlamakla başlar. BT ve OT (Operasyonel Teknoloji) sistemlerinin birleştiği ortamlarda bu, kapsamlı bir varlık envanterinden daha fazlasını gerektirir. Kuruluşlar, operasyonel gerçeklikleriyle uyumlu bir risk kıymetlendirme metodolojisi uygulamalıdır. Bunu net bir varlık temel çizgisi oluşturarak hem kurumsal risk kriterlerini hem de güvenlik açıklarının potansiyel fizikî ve siber sonuçlarını ele alan manalı risk değerlendirmeleriyle yapabilirler.

Ancak bu mevzudaki son anket bulguları kaygı verici bir eğilimi ortaya koyuyor. Değerli oranda kuruluş, sistemli sızma testi yahut güvenlik açığı değerlendirmesi yapmıyor. İştirakçilerin sadece %27,1’i bu kritik değerlendirmeleri aylık olarak gerçekleştirirken, %48,4’lük çoğunluk değerlendirmeleri birkaç ayda bir yapıyor. Kaygı verici bir halde, %16,7’si bunu yılda sadece bir yahut iki sefer yapıyor ve %7,4’ü sırf gerektiğinde güvenlik açıklarını ele alıyor. Bu tutarsız yaklaşım, giderek karmaşıklaşan tehdit ortamında kurumları savunmasız bırakabilecek bir durum.

Her yazılım platformu tabiatı gereği kusurlara, inançsız kodlara ve berbat niyetli aktörlerin BT ortamlarını tehlikeye atmak için kullanabileceği öteki zayıflıklara karşı savunmasız kalabilir. Bu nedenle endüstriyel şirketler için tesirli yama idaresi bu riskleri azaltmak için çok kıymetlidir. Fakat araştırmalar, birçok kuruluşun bu alanda kıymetli zorluklarla karşılaştığını ve ekseriyetle kritik güncellemeler için operasyonları duraklatmak için gerekli vakti ayırmakta zorlandığını ortaya koyuyor. Rahatsız edici bir formda, birçok kuruluş OT sistemlerine sadece birkaç ayda bir yahut daha uzun bir mühlet yama uyguluyor ve bu da risk maruziyetlerini kıymetli ölçüde artırıyor. Kurumların %31,4’ü yamaları aylık olarak uygularken, %46,9’u bunu birkaç ayda bir yapıyor. %12,4’ü ise yılda sırf bir yahut iki defa güncelliyor.

Etkili yama idaresinin sürdürülmesindeki bu zorluklar, sonlu aygıt görünürlüğü, tutarsız satıcı yama kullanılabilirliği, özel uzmanlık ihtiyaçları ve yasal uyumluluğun siber güvenlik ortamına karmaşıklık katmanları eklediği OT ortamlarında daha da artıyor.

BT ve OT sistemleri giderek birbirine yaklaştıkça, çoklukla açık standartlar yerine tescilli teknolojilere dayanan, klâsik olarak farklı yapıya sahip kelam konusu sistemlerin uyumlu hale getirilmesi için acil bir muhtaçlık ortaya çıkıyor. Varlık takibi ve sıhhat izleme için kameralar ve akıllı sensörlerden gelişmiş iklim denetim sistemlerine kadar Objelerin İnterneti (IoT) aygıtlarının süratle çoğalması, bu zorluğu daha da artırıyor. Bu bağlı aygıt patlaması, endüstriyel kuruluşlar için atak yüzeyini genişletiyor ve sağlam siber güvenlik tedbirlerine duyulan acil gereksinimin altını çiziyor.

Kaspersky, bu alanda endüstriyel müşteriler için özel OT sınıfı teknolojileri, uzmanlık bilgisini ve kıymet biçilmez uzmanlığı problemsiz bir formda entegre eden eşsiz bir ekosistem sunuyor. Kritik altyapılar için lokal bir XDR platformu olan Kaspersky Industrial Cybersecurity (KICS), merkezi varlık envanteri, risk idaresi ve kontrolü sunan ve tek bir platform aracılığıyla çeşitli, dağıtılmış altyapılarda güvenlik ölçeklenebilirliği sağlayan OT ekosisteminin temel taşını oluşturuyor. Ayrıyeten Kaspersky, endüstriyel kuruluşların yeni OT aygıtları yahut sistemleri kurarken Secure by Design ideolojisini benimsemelerini öneriyor.

KasperskyOS İş Ünitesi Başkanı Dmitry Lukiyan, şunları söylüyor: “Kaspersky’de Secure-by-Design konseptini Siber Bağışıklık yaklaşımımızla hayata geçiriyoruz. Bu, bilinmeyen güvenlik açıklarından yararlanan akınlara bile dayanabilen, mimari açıdan esnek eserler ortaya koymak manasına geliyor. Klasik sistemlerin tersine, Cyber Immune eserleri daima yama yahut harici güvenlik katmanlarına gereksinim duymaz. Sonuç olarak, müşterilerimiz güvenlikten ödün vermeden daha güçlü muhafaza, kolaylaştırılmış bakım ve daha düşük toplam sahip olma maliyetinden faydalanır.” 

KasperskyOS tabanlı Cyber Immune eserleriyle kurumlar, asgarî ek siber güvenlik maliyetiyle sistemlerinin dayanıklılığını artırabilir, böylelikle uzun vadede genel siber güvenlik masraflarını azaltabilir.

“Securing OT with Purpose-built Solutions” raporunun tamamını okumak için web sitesini ziyaret edebilirsiniz.

Endüstriyel siber dayanıklılık ve tüm varlık ve süreçlerin kapsamlı bir biçimde korunmasını sağlamanın yolları hakkında daha fazla bilgi edinmek için interaktif kılavuza başvurabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı