ICS (EKS) ve SCADA Güvenliği

ICS ve SCADA Sistemleri

İnternet sınırları ortadan kaldırarak küresel bir bilgi ağının oluşumunu sağlamıştır. Nesnelerin interneti, büyük veri, bulut bilişim gibi teknolojilerin kullanımının artması ile çalışma yöntemlerini dönüştürmeye devam etmektedir.

İnternetin bilgi paylaşımını ve ilerlemeyi destekleyen yapısı aynı zamanda sistemleri her türlü tehdide açık hale getirmektedir. Özellikle, kritik altyapılar olarak tanımlanan elektrik, doğalgaz vb. üretim, iletim ve dağıtım sistemleri gibi ulusal güvenlik alanına giren tesislerin güvenliğinin sağlanması bu noktada önemli bir konu haline gelmektedir.

Böyle bir ortamda endüstri tarafından kullanılan üretim ve iletişim teknolojileri de değişmeye devam etmektedir.

Söz konusu sistemlerin izlenmesi ve denetimi ICS (EKS- Endüstriyel Kontrol Sistemleri) ve SCADA (Supervising Control and Data Acquisition-Veri Tabanlı Kontrol ve Veri Toplama Sistemleri) aracılığıyla gerçekleştirilmektedir. ICS ve SCADA, tesislerin verimliliğini artırmak, işletme maliyetlerini düşürmek ve süreçlerin güvenliğini sağlamak için tasarlanmış sistemlerdir.

Bu nedenle, modern endüstriyel süreçlerin otomasyonunda ICS ve SCADA sistemleri kritik bir rol oynayan teknolojik sistemler olarak karşımıza çıkmakta ve fabrikalar, enerji santralleri, su arıtma tesisleri, taşıma sistemleri gibi endüstriyel ortamlarda kullanılmaktadır.

ICS ve SCADA Sistemlerinin Özellikleri

ICS sistemleri, endüstriyel süreçleri izlemek, kontrol etmek ve otomatikleştirmek için kullanılır. Bu sistemler, sensörler, kontrol cihazları ve veri toplama birimlerinden oluşur. SCADA sistemleri ise, uzaktan izleme, kontrol ve veri toplama işlevlerini yerine getirir. Bu sistemler genellikle bir merkezi kontrol odası veya yazılım aracılığıyla yönetilir.

Endüstriyel kontrol sistemlerinin ilk günlerinde, bu sistemler elektromekanik sistemlere dönüşen mekanik düzenlemelere dayanıyordu. Zaman içerisinde özel protokoller kullanan endüstriyel kontrol sistemleri (ICS) cihazları kullanılmaya başlandı bu sistemler başlangıçta çok güvenli görülüyordu ve ICS sistemleri, kurumsal ofislerde uygulanan BT sistemlerinden ayrı tutuluyordu. İnternet teknolojisinin gelişimi ile birlikte son yıllarda, IT ve ICS arasında hızlı bir yakınsama yaşandı. Söz konusu yakınsama, fabrikalar ile ICS ve kurumsal IT ağları arasında veri paylaşımı ve iletişim ihtiyacını ve kurumsal kaynak programları gibi talepleri artırdı.

Mevcut ICS ağlarını korumak ve güncellemek talepleri ve ICS sistemlerine ve cihazlara uzaktan erişim talepleri de arttı.

ICS ve SCADA Güvenliğinin Sağlanması

ICS ve SCADA sistemleri ile internet teknolojisinin kullanımı nedeniyle siber güvenlik ihtiyacı da arttı. Çünkü bu sistemler, endüstriyel süreçlerin kontrolünü sağlar ve saldırıya maruz kalmaları durumunda ciddi zararlar meydana gelebilir. Enerji sistemlerinde siber güvenlik riskleri ile ilgili literatürde ICS ve SCADA sistemlerinin saldırıların odağı haline geldiği ile ilgili yayınlar da bu duruma dikkat çekmektedir.

Riskleri dikkate alındığında, ICS ve SCADA sistemlerinin güvenliği için BT sistemlerinden farklı bir yaklaşım gerektiği açıktır.

ICS ve SCADA Güvenliğinde Temel İlkeler:

Ağ Segmantasyonu

Öneri: ICS ve SCADA sistemlerini, diğer kurumsal ağlardan ayırın ve ayrı bir ağ segmentinde izole edin. Bölümleme IT ortamlarında kontrol dışı erişimi engeller ve ICS sistemlerinin korunması için uygun bir yöntem sunar. Mevcut durumda petrol ve gaz, enerji, hizmetler, denizcilik ve imalat gibi çoğu endüstriyel operasyonların çoğunda, kurumsal IT ağları ile ICS veya operasyonel teknoloji (OT) ağları arasında basit bölümleme uygulamaktadır. Ancak çoğu sistemde, bölümleme daha alt seviyede (mikro) gerçekleşmez.

Ancak, OT ağ bölümlemesi zorlayıcı ve maliyetli olabilir. ICS ağları yüzlerce cihaz içerebilir, ayrıca yapılandırmaya bağlı olarak ICS ağlarında ağ bölümleme projeleri önemli zaman ve çaba gerektirebilir ve ağ kesintileri oluşabilir. IT ile ICS ağları yönetiminde görevli personel arasında yakın koordinasyon olmadan, ICS ağındaki bölümlemenin uygun şekilde yapılması mümkün değildir.

Öte yandan, ICS ortamlarında geleneksel IT ekipmanları kullanılamaz, bu ortamlarda dayanıklı ekipman kullanımı önerilmektedir.

ICS güvenlik cihazları ile ICS ağ cihazları ve iletişimleri haritalanabilir, kullanıcı erişimi kontrol edilebilir, tüm iletişimler gerçek zamanlı olarak izlenebilir ve sıfır güven kontrolleri uygulanabilir, bu tüm yetkisiz erişimi sınırlar. Bu yaklaşım, ICS operatörlerine, tüm ICS ağının mimarisini yeniden oluşturmadan gelişmiş siber güvenlik koruması sağlama imkanı sunar.

İhtiyaca ve amaca uygun endüstriyel güvenlik cihazlarıyla oluşturulmuş ICS ağ bölümleme modeli uygulayın, IT bölümleme yaklaşımına benzer, ancak operasyon ekipleri ve endüstriyel işlem kullanıcıları için gerçekçi bir çözüm olacaktır.

Güvenlik Duvarları

Öneri: ICS ve SCADA sistemlerini dış tehditlerden korumak için Güvenlik Duvarları kullanın.

ICS ve SCADA ağlarının güvenliğinin sağlanmasında, güvenlik duvarları önemli bir rol oynar.

Güvenlik duvarı, basitçe ağlar arasında veya içinde akış halinde olan trafiği izleyen ve kontrol eden bir cihazdır. Bu cihaz üzerinden geçen trafiği yakalar önceden belirlenmiş bir dizi kural (Erişim Kontrol Listeleri -ACL) ile karşılaştırır. ACL ile eşleşmeyen mesajlar reddedilir.

ACL, duruma duyarlı bir güvenlik duvarı, Derin Paket İnceleme (DPI) güvenlik duvarı birbirinden farklı faydalar sunar.

Duruma duyarlı bir güvenlik duvarı, diğer parametrelere bakar ve oturum durumunun ayrıntılarını takip eden iç bir kayıt tutar. Bu bilgi, her bir paketin makul olup olmadığını analiz etmeyi mümkün kılar. Duruma duyarlı inceleme, istemci cihaza gelen giriş trafiğinin, çıkış talebine yanıt olarak olmadıkça izin verilmeyeceği anlamına gelir.

DPI ile güvenlik duvarı, mesaj içeriğini inceleyerek ve ACL'sindeki kurallardan daha ayrıntılı kurallar uygulayarak çalışır. Bu, mesajları inceleme yeteneği, kötü amaçlı yazılım saldırısının başarılı olup olmayacağını belirleyebilir. DPI'nin sunduğu detaylı kontrol, ICS/SCADA sistemlerinin güvenliğini ve güvenilirliğini artırır.

Bu farklar endüstriyel ağlar için son derece önemlidir. Bunların çoğu, güvenlik göz önünde bulundurularak tasarlanmamış özel iletişim protokolleri kullanır.

Endüstriyel ekipmanların uzun ömürlü olması (20 yıl ve üzeri) bugünün güvenlik teknolojisinin, başka bir çağda inşa edilmiş ekipmanların iletişim kısıtlamalarını dikkate alması gerektiği anlamına gelir. Yakın zamanda üretilen cihazlar dahi, teknoloji gelişim hızının çok yüksek olması nedeni ile akıllı telefon bulunan herkes için inanılmaz görünen bellek ve CPU gücü kısıtlamalarıyla karşı karşıyadır.

Riskle mücadelede yeteneklerin önemli olduğu değerlendirilmelidir. Fabrikadaki PLC'leri korumak önemliyse, DPI güvenlik duvarı tercih edilmesi önerilmektedir.

Etkin bir şekilde konumlandırılmış ve yapılandırılmış bir güvenlik duvarının yetenekleri şunları içerir:

•    Kullanıcı erişimine izin vermeden önce kimlik doğrulama;

•    Belirli paketlerin veya uygulamaların hariç tutulmuş olması dışındaki tüm cihazlar arasındaki iletişimin engellenmesi;

•    Hedef yetkilendirmenin zorunlu kılınması;

•    Alan ayrımının kurulması;

•    Sistem olaylarının izlenmesi ve kaydedilmesi;

•    Giriş ve çıkış trafiğinin izlenmesi ve yetkisiz iletişimin engellenmesi;

•    ICS'nin, e-posta gibi daha az güvenli iletişim türlerini yasaklama vb IT ağı için uygun olmayan işletim politikalarını uygulamasına izin verilmesi.

ICS ile kurumsal ağları ayırmak için operasyonel bir zorunluluk olan güvenlik duvarları, ağ trafiğini geciktirebileceğinden ve yanlış kurulma ve yapılandırılma ihtimali olduğundan soruna sebep olabilir.

Hiçbir sistemin %100 güvenli olmadığı ve hiçbir güvenlik ürününün veya teknolojisinin ICS'yi tek başına koruyamayacağı bilinmelidir. Bu nedenle sistemlerin yapılandırılması ve güncel tutulması için gerekirse uzman desteği alınmalıdır.

ICS güvenlik duvarlarının gelecek potansiyel alternatifi, verilerin bir yönde hareket etmesini sağlayan güvenlik ağ geçitleri olarak kullanılan tek yönlü ağ cihazlar yani veri diyotlarıdır. Bunlar nükleer santrallerde uygulanmaktadır ve güvenlik enstrümanlı sistemleri ayırmak için kullanılmaktadır. Bu tek yönlü ağ geçitleri son derece etkili çözümdür.

Güvenilir Yazılım ve Donanım

ICS ve SCADA sistemlerinde kullanılan yazılım ve donanım, güvenilir ve güncel olmalıdır.

Kurumsal güvenlik duvarları gibi, Son Nesil Güvenlik Duvarları (NGFW) endüstriyel kullanım için mevcuttur. Endüstriyel NGFW'ler, kurumsal NGFW'lerde bulunan tüm güvenlik özelliklerini içerir:

•    Şifreleme yetenekleri

•    VPN

•    Sızma tespiti

•    Derin Paket İncelemesi

ICS/SCADA ortamları eski makineler ve birkaç konuma yayılan ağlara sahip büyük ve karmaşık sistemleri içerebilir. ICS/SCADA ortamlarında güvenlik duvarları uygulamak ve uygun bir çözüm üretebilmek için çevrenin ihtiyaçları ile karmaşıklığının analiz edilmesi gerektirir.

ICS ve SCADA ortamlarının yaygın endüstriyel güvenlik duvarı satıcıları ve markaları bulunmaktadır. Bunlardan bazıları, bağımsız endüstriyel güvenlik duvarları ve NGFW'ler sunarken, diğerleri endüstriyel bir güvenlik duvarını içeren tam güvenlik çözümleri sunar.

Eğitim ve Farkındalık

Sistem operatörleri ve bakım personeli, güvenlik konularında eğitilmeli ve farkındalık düzeyleri artırılmalıdır.

Sonuç

ICS ve SCADA sistemleri, endüstriyel süreçlerin otomasyonunda kritik bir rol oynar. Ancak, bu sistemlerin güvenliği, siber saldırılara karşı önemli bir endişe kaynağıdır. Bu nedenle, ICS ve SCADA sistemlerinin güvenliği için etkili önlemler alınmalı ve sürekli olarak güncel tutulmalıdır.

Hazırlayan: Arda COŞKUN

Kaynaklar

https://doi.org/10.29109/http-gujsc-gazi-edu-tr.364411

https://doi.org/10.28956/gbd.941801

https://www.missionsecure.com/blog/industrial-control-system-ics-security-and-segmentation

https://www.isssource.com/essential-ics-firewall-concepts/

https://www.techtarget.com/searchsecurity/tip/How-to-protect-enterprise-ICS-networks-with-firewalls

https://www.infosecinstitute.com/resources/scada-ics-security/firewalls-for-ics-scada-environments/