Skip to main content

İmalatçıların dünden hazırlıklı olmaları gereken 3 siber tehdit

cyberthreats to manufacturers

Siber güvenliğe karşı olan tehditler sürekli olarak evrimleşiyor. Peki, sanayi sektörü bu meydan okumaya cevap verebiliyor mu?

Birden çok sektördeki kıdemli finansal yöneticilerin yakın tarihli bir FM Global araştırmasına göre, siber saldırılar ve veri ihlalleri, donanım aksaklıkları ve doğal felaketler içeren olaylardan daha sık olmasa da, sıklıkla gerçekleşmekte. Bununla birlikte, işletmelerin üçte biri makina arızalarına ve şiddetli fırtınalara karşı kendilerini sağlam stratejilerle koruyorken, dörtte birinden daha azı siber tehditler için aynısını yapıyor.

Siber saldırılar ve veri ihlalleri, donanım arızası ve doğal felaketler ile ilgili olaylardan daha sık olmasa da, sıklıkla gerçekleşmekte.

Bağlı teknolojinin hızla ilerlediği özel üretim ve endüstriyel makine imalatı gibi endüstrilerde, benzer dikkatsizliklerin işletmeler için mali açıdan yıkıcı olduğu zaten kanıtlanmış durumda. Deloitte ve Verimlilik&Yenilik için İmalatçılar İttifakı (MAPI) tarafından yürütülen yakın tarihli bir araştırma, 2016 yılında 10 imalat şirketinin 4'ünde siber ihlaller yaşadığını tespit etti. Bu olayların %38'i ise her biri 1 milyon doların üzerinde kayıplarla sonuçlandı.

Sanayi sektörü hangi tür siber saldırılar için hazırlanmaya başlamalı?

Hacking of Production Equipment

1. Üretim ekipmanlarının siber saldırıya uğraması

Robotik ve diğer teknolojilerdeki otomasyon, üreticileri endüstriyel bir rönesansa sürükledi, fakat bununla birlikte güvenli olmayan programlanabilir ekipmanlar da şirketleri birçok açıdan yüksek risk altına sokmakta.

Evet, üretim hattındaki akıllı teknoloji, entelektüel mülkiyet ve/veya değerli mülkiyet verileri içerebilir. Ve daha da kötüsü, siber saldırı ile ele geçirilen bir makine, bu saldırıyı yapanlarla bağlantısı kesilmeden önce işçilere zarar verebilir, üretim varlıklarını yok edebilir ve binlerce dolarlık malzemeyi çiğneyebilir. Bunları tecrübe edecek kadar şanssız olan bir şirket için, bu olaylardan sadece biri bile felaket demektir.

Ancak işler bundan daha da kötüye gidebilir.

Bilgisayar korsanları sinsice üretim ekipmanlarının çalışma şekillerini değiştirebilir ve buna bağlı olarak da kalitesiz ürün üretimi, mağdur olan şirket itibarını kaybedinceye kadar kolayca gözden kaçabilir.

Trend Micro ve Politechnico di Milano (Milano Politeknik Üniversitesi) tarafından yapılan son analizler, bilgisayar korsanlarının güvenli olmayan sunucuları bulmak, endüstriyel robotlara bağlanmak ve bu cihazları programcılar tarafından kurulan standart işletimden sapmaya zorlayan komut protokollerini yüklemek için serbestçe ulaşılabilir internet tarama araçlarını kullanabileceğini tespit etti.

Wired’da yer alan bir makalede de tanımlandığı gibi, bilgisayar korsanları sinsice üretim ekipmanlarının çalışma şekillerini değiştirebilir ve buna bağlı olarak da kalitesiz ürün üretimi, mağdur olan şirket itibarını kaybedinceye kadar kolayca gözden kaçabilir.

Trend Micro ve Politechnico di Milano, geçtiğimiz Mayıs ayının sonlarında Elektrik ve Elektronik Mühendisleri Enstitüsü Güvenlik ve Gizlilik Sempozyumunda bulgularını daha ayrıntılı bir şekilde açıkladı. Bu sempozyumda aktarılanlar doğrultusunda endüstriyel ekipman kullanıcıları, makine özellikleri üzerindeki veri kalitesi kontrollerini atamak için, işletmelerinin değerli çalışma zamanından çalmayacak beyin fırtınası yöntemlerine başlamalıdır.

Insecure integration with suppliers

2. Tedarikçilerle güvenli olmayan entegrasyon

Birçok sanayi sektörü kuruluşunun, tesislerinin dışında siber saldırılar başladığında, bu tehditlere karşı kendisini içeriden korumak için yapabileceği pek çok şey vardır. SANS Enstitüsü’nde yapılan bir araştırmaya göre, her 10 güvenlik ihlalinden yaklaşık 8'i tedarik zincirinin herhangi bir yerinde başlıyor. Bu da imalatçıların, en zayıf tedarik zinciri ortağı kadar güvende olduklarına işaret ediyor.

Neyse ki pek çok işletme, tedarik zinciri ortakları arasında yenilenen şeffaflık taahhüdü ile birlikte, bu konularla olan mücadelede zaten başarılı olduklarını gördü. Eğer ki müzakere masasında, hem tedarikçi hem de üretici, işler ters yöne gittiğinde acil güncellemeleri içeren işlemler için yönergeler belirlediyse, her ikisi de güvenlik açıklarını ortadan kaldırmak için ortaklaşa çalışabilmekteler.

Bununla birlikte, tam şeffaflık ve işbirliği, malzemelere erişmeye çalışan yetkisiz kişiler veya şirket web sitesine yayılan geçici hizmet reddi saldırıları gibi, izole görünebilecek durumları tartışmayı içerir. Bu olayların her ikisi de üreticiler ve son kullanıcılar için ciddi etkilere neden olabilir, ancak hem tedarikçi hem de üretici, bu tür bilgilerle ilişki kurabilmek için etkili yöntemler bulmalıdır. Aksi takdirde, gerçekten çözüm üretmek yerine, detaylarla boğuşarak daha fazla zaman harcayacaklardır.

Mismanaged mobile devices

3. Kötü yönetilen mobil cihazlar ve nesnelerin interneti (IoT) teknolojisi

Her akıllı telefon, tablet, sensör veya internete bağlı makine, üreticilerine operasyonlarından toplanan verileri deneyimlemeleri ve kullanmaları için yeni yollar sunar. Fakat bir organizasyon içerisinde dağıtılmış bilgi ağı büyüdükçe, riskler de aynı oranda büyür. Symantec araştırması, 2016'dan sonra mobil cihaz kullanıcılarının baş etmesi gereken 600'den fazla güvenlik açığının ve kötü amaçlı mobil yazılımlar üzerinde geçmiş yıllardan gelen 3.600 civarında varyantın bulunduğunu ortaya koydu.

İyi haber: Çalışma aynı zamanda, 2016 yılında endüstriyel kontrol sistemlerine yönelik güvenlik açıklarının önceki iki yıla oranla daha düşük olduğunu tespit etti. Özel ve endüstriyel makine imalatçıları mobil operasyonlara geçtikçe, kritik bağlantılı ICS teknolojisini de koruyan kurumsal mobil yönetimi ile ilgili güçlü emsalleri sürdürmeye devam etmelidirler.

Her iyi EMM (Kurumsal Mobilite Yönetimi) stratejisi genel olarak iki geniş güvenlik alanını kapsar: teknik ve davranışsal. Sanayi kuruluşlarının hareket etme kabiliyetlerini denetlemekle görevli olan kişiler, teknik ve uygulama tedarikçilerinin ürünlerini en güncel tehditlere karşı yamalayarak üstlerine düşen görevi yerine getirdiklerinden emin olmalıdır. Bu siber güvenlik yöneticileri aynı zamanda operatörleri, teknisyenleri ve her türden kullanıcıyı doğru kullanım ve cihazların ele geçirildiği durumlarda yapılması gerekenler konusunda eğitmelidir. Bu denetçiler, otomasyon ve akıllı dağıtımı kullanarak mobil güvenlik madalyonunun her iki tarafını çok daha etkin bir şekilde yönetmek için neler yapabilirler?

EMM’yi endüstriyel işletmenize zaten uyguladınız, ancak nasıl mükemmelleştireceğinizden pek emin değil misiniz? EMM'nizi nasıl pekiştirebileceğiniz konusunda son makalemizi inceleyin. Özel imalat, endüstriyel makineler ve sanayi sektöründeki diğer büyük oyuncuların geleceği hakkında daha fazla bilgi için ise, Sınırsız Üretim e-kitabımızı indirin.

İletişim

The information contained here is strictly confidential and will only be used by abas Software AG and the abas software partners in accordance with our data protection policy.

Wir versichern Ihnen, dass die Angaben streng vertraulich und nur von der abas Software AG sowie den abas Software Partnern genutzt werden gemäß unserer Datenschutzerklärung.