Alman Federal Bilgi Güvenliği Ofisi (BSI) üst düzey bir siber güvenlik uyarısı verdiğinde, sektör ayağa kalkar ve durumu not alır. Yaygın olarak kullanılan Java kütüphanesi Log4j'deki "kritik bir güvenlik açığı" "kolayca sömürülebilirdi" ve "etkilenen sistemin tamamen ele geçirilmesine" izin verebilirdi.
BSI birkaç hafta önce yaptığı uyarıda. Bilgisayar korsanları potansiyel olarak sisteme bir kod sokup etkinleştirmeden önce haftalar veya aylarca bekleyebilecekleri için, potansiyel tehdidin boyutu henüz belirlenmedi. Bununla birlikte, şu anda endüstri genelinde daha fazla güvenliği teşvik etmek ve BT güvenliğinin takım tezgahlarına sistematik olarak dahil edilmesi için bir kılavuz oluşturmak amacıyla acil uyarı geldi.
Büyüyen tehdit
TH Köln Bilgisayar Bilimleri ve Mühendislik Bilimleri Fakültesi'nde Akıllı Otomasyon profesörü olan Prof. Felix Hackelöer'e göre, Log4j güvenlik açığı, endüstriyi doğrudan hedef alan büyüyen tehdidin güzel bir örneğini sunuyor. Hackelöer, bilgi teknolojisindeki hataların ve güvenlik açıklarının çok sayıda farklı sistemin dahil olması nedeniyle birden fazla sistemi hızla etkileyebileceğini söyledi. Bu, özellikle Log4j durumundaki kayıt işlevleri gibi, değer yaratmaya doğrudan dahil olmayan standart bileşenler için geçerlidir.
Ancak, daha az yaygın olan yazılım sistemlerini dağıtmak Hackelöer için uygun bir seçenek değil. Bilim adamı, "BT'nin yüksek ölçeklendirme faktörü hem bir lanet hem de bir nimettir" diye açıklıyor. Son derece uygun maliyetli olmasının yanı sıra, yazılım milyonlarca kullanıcı tarafından kullanılmaktadır. Bu, güvenlik açıklarının tespit edilmesini ve güncellemelerin nispeten hızlı bir şekilde sunulmasını sağlar. Ancak, bilgisayar korsanlarına karşı bitmeyen yarış ve hassas verilerin yanlış ellere geçme tehlikesi devam ediyor. Sonuç olarak şirketlere şantaj yapılabilir veya casusluk yapılabilir, bunların her ikisi de varlıklarını tehdit edebilir. Buna karşı çıkmanın tek yolu, şirketlerin kendilerini hem içeride hem de dışarıda etkin bir şekilde korumalarıdır. Şirketler, makinelerin ve çevre birimlerinin dikkatsiz kullanımı ve ayrıca bilinçli veya bilinçsiz manipülasyon yoluyla potansiyel bir tehdit oluşturabilir.
BT güvenliği – herkes için bir endişe
Geçen yıl, VDW'nin Araştırma ve Teknoloji departmanı bir kılavuzun ilk versiyonunu üretti. "Takım Tezgahlarında BT Güvenliği" başlıklı, pratik ipuçları içeriyordu ve öncelikle kullanıcılara yönelikti. Hackelöer de bir danışmanlık uzmanı olarak buna dahil oldu. VDW Araştırma Enstitüsü'nün 2. Çalışma Grubu Kontrol ve Sistem Mühendisliği, emniyet ve güvenlik konularıyla ilgilenir. Bu sefer takım tezgahları ve imalat ekipmanı üreticilerine yönelik başka bir kılavuz da iş başında.
Esslingen Index-Werke Kontrol Teknolojisi başkanı ve VDW Çalışma Grubu 2. Başkanı Eberhard Beck konuyu şöyle açıklıyor: "Başlangıçta işlevsel güvenliğe, yani makineyi kullanan kişilerin güvenliğine odaklandık ve bunu BT güvenliğinden ayırmaya çalıştık. Ancak bu arada, bir makinenin işlevsel güvenliğinin ancak tam olarak işleyen bir BT güvenliğine sahip olması durumunda korunabileceği anlaşıldı. Bu, tüm alanları etkileyen bir sorun. Sınırlarını tanımlayamazsın ya da sorumluluğunu başkalarına devredemezsin. Herkesi etkiliyor.”
Takım tezgahlarının heterojenliği ile karmaşıklaşan durum
Beck'e göre sonuç, çalışma grubunun şu anda yalnızca güvenlik sorunlarıyla ilgilenmesidir. Genel olarak imalat ve özel olarak takım tezgahları ve sistemler, amansız bir dijital dönüşüm sürecinden geçiyor. Daha önce bağımsız çözümler olarak işlev gören kontrol bileşenleri artık şirket genelinde ağa bağlı, İnternet aracılığıyla birbirine bağlı veya buluttaki yazılım hizmetleriyle etkileşime giriyor. Beck, sorunu daha da karmaşık hale getiren şeyin, takım tezgahları dünyasının BT dünyasından çok daha heterojen olması gerçeği olduğunu söylüyor: "BT uzmanları, dünyaya genellikle iki yıldan daha eski olmayan ve en son işletim sistemiyle çalışan bir bilgisayardan bakarken, takım tezgahları da belirli bir uygulamaya özel olarak tasarlanmış benzersiz ürünlerden bakıyor. Birçoğu hala mekanik olarak sağlam ve üretimde on yıllar sonra bile kullanılıyor ve makine kontrol sistemleri, siber suçların henüz bir sorun olmadığı on yıl kadar eski bir tasarıma dayalı…”
Beck, yazılım sağlayıcı artık eski sürüm için güvenlik güncellemeleri sunmuyorsa, mevcut makineleri korumak için yalnızca yeni bir işletim sistemi kurmak yeterli değildir, diyor. Görev o kadar zorlu ki, yanıt olarak tamamen yeni bir iş alanı gelişti. METAV 2022'de de deneyimlenebileceği gibi, şu anda mevcut makinelerin iyileştirilmesi konusunda uzmanlaşmış tedarikçiler var. Ancak gelecekte, ana odak noktası, güvenlik çözümlerini bir makinenin geliştirilmesine, aşağıdakileri sağlayacak şekilde entegre etmek olmalıdır. Tüm yaşam döngüsü boyunca dayanıklılığı sağlamalıdır.
Tasarıma Göre Güvenlik
Son dönemde “Security by Design” olarak bilinen bir yazılım geliştirme yöntemi kök saldı. Birkaç yıldır kullanılmakta. Makine ve tesis mühendisliğinde uluslararası “IEC 62443 standardına” göre uygulanmaktadır. Bu standart, otomasyon çözümlerinin tüm yaşam döngüsü boyunca kendisini BT güvenliği için bir ölçüt olarak belirlemiştir.
Hackelöer, şimdiye kadar makine üreticilerinin bu standarda uyması gerekmediğini açıklıyor. Bunun nedeni, makinenin çalıştırıldığı ortam üzerinde hiçbir kontrollerinin olmaması ve standart başlangıçta tesis mühendisliği ve kritik altyapılar için oluşturulmuş olmasıdır. Ayrıca, standart hala nispeten yenidir. Ancak Hackelöer, artık takım tezgahı endüstrisinde kabul görmeye hazır olduğundan emin. "Müşteriler artık bunu makine mühendisliğinde uyguluyorlar" diye belirtiyor.
Müşteriler güvenlik talebini artırıyor
Trumpf Werkzeugmaschinen Makine Platformları için Kontrol Geliştirme Başkanı Dr. Andreas Kahmen de güvenlik çözümlerine yönelik artan talebi doğrulamaktadır. VDW Çalışma Grubu 2. üyesi olan Kahmen, umati girişiminin ortak şirketi olarak Düsseldorf'taki METAV 2022'de Trumpf standında yer alacak. Kahmen, "Gelecekteki üretim potansiyelini ortaya çıkarmanın anahtarının ağ oluşturma olduğuna inanıyoruz" diyor. Trumpf, erken bir aşamadan itibaren BSI sertifikalı güvenlik çözümleri sunmaya başladı. 2000'li yılların ortalarında, makine ağını yetkisiz erişime karşı korumak için entegre güvenlik duvarına sahip bir donanım bileşenine dayalı bir güvenlik konsepti geliştirildi. Güvenlik duvarı, uzak hizmet için erişime izin verdi, ancak diğer tüm erişimleri engelledi. O zamanlar güvenlik çözümlerine çok az talep vardı, ancak bu durum gözle görülür şekilde değişti. Talep, örneğin otomotiv endüstrisindeki büyük şirketlerden değil, aynı zamanda - ve öncelikle - küçük şirketlerden geldi. Müşteriler artık BT güvenliğinin giderek daha fazla farkına varıyor.
VDW Çalışma Grubu 2 tarafından yürütülen güvenlik çalışmasının "uzun ve zorlu bir yol" olduğunun kanıtlanması, herhangi bir ilgi eksikliğinden çok konunun karmaşıklığından kaynaklanmaktadır. Bu tür güvenlik konularında farkındalık düzeylerinin yükseltilmesi gerekir. Bu sadece müşteriler için değil, aynı zamanda, bazıları oldukça safça sorunların çözülmesinin kolay olduğuna inanan makine imalat şirketleri ve BT uzmanları için de geçerlidir. Kahmen, "İşte o zaman, bir makine aracında varsayılan olarak bir virüs tarayıcısı çalıştırmanın mümkün olmadığını açıklamanız gerekir. Bu, makinenin davranışını etkileyebilecek kadar kısa vadeli bilgi işlem gücü gerektirir" diyor. Hackelöer ayrıca "çeviri işinin" BT ve endüstri arasındaki arayüzde bilimsel çalışmanın önemli bir yönünü temsil ettiğini de belirtiyor. “Takım tezgahı endüstrisinde BT güvenlik seviyelerini yükseltmek isteyen herkes, makine üreticilerinin teknik dilini konuştuklarından emin olmalıdır” diye de ekliyor.
Uzman bilgisinden anlaşılır kılavuza
Örneğin, yeni "Takım Tezgahlarında BT Güvenliğinin Sistematik Uygulanmasına Yönelik Kılavuz", belirli bir takım tezgahı için gerekli güvenlik önlemlerinin nasıl belirleneceğini adım adım açıklıyor. VDW'nin Araştırma ve Teknoloji departmanı Kılavuz, makine imalat şirketlerinin, müşterilerin ve bileşen tedarikçilerinin, her bir takım tezgahının ilgili işletim ortamının ve operatörün gereksinimlerini karşılayan bir emniyet/güvenlik düzeyine sahip olmasını sağlamak için ortak sorumluluk taşıdığını belirtir.
Kılavuzun geliştirilmesinde de yer alan Hackelöer, METAV 2022 de dahil olmak üzere güvenlik konularını tanıtmanın ve sektörün IEC 62443 standardına tepkisini değerlendirmenin zamanının geldiğine inanıyor. "Asla yüzde 100 korumaya sahip olamazsınız," diye kabul ediyor. "Ancak, belirli kullanım durumlarında siber saldırı tehdidini değerlendirmek ve bunlara karşı ne gibi önlemler alınabileceğini belirlemek önemlidir." Süreçler ve yöntemler hakkında sağlam bir bilgi, ilgili karmaşıklıkla başa çıkmak için vazgeçilmezdir. Bilim insanıı, "VDW'nin bu konuyu ele alması ve şeffaflığı sağlaması güzel" diyor. BT güvenliği, BSI'nin en son kırmızı alarmının ardından azami dikkat çekiyor.
Yazar: Cornelia Gewiehs, serbest gazeteci, Rotenburg (Wümme)
World Media Group (WMG) Haber Servisi
Endüstri
Endüstri
Endüstri
