Günümüzde, üretime yönelik dijital teknolojiler arasında yeni nesil otomasyon sistemleri ve yıldızı parlayan nesnelerin interneti kavramı yer alıyor. İkisi bir araya geldiklerinde üretim kalitesini arttırırken, bir yandan maliyetleri de düşürüyorlar. Endüstri 4.0, ortaya çıkışıyla beraber sektörde hayatta kalmanın anahtarı olarak dünya endüstrisine yön veren kuruluşlar tarafından kabul ediliyor. Ancak bu değişim ve gelişim süreci, üretimi durdurabilecek büyük bir riski de beraberinde getiriyor: Siber saldırılar!
Robotlar iş başında… Peki işimiz güvende mi?
ABD, Almanya, Japonya ve Çin’deki üreticiler, dijital dönüşüm noktasında oldukça ileri düzeye ulaştılar. Endüstri 4.0 teknolojilerinin üretim sürecine dahil edilmesi, üretim kapasitelerini arttırıyor. Ancak dijitalleşmenin doğal bir sonucu olarak siber saldırılara daha açık hale geliyorlar.
Endüstri 4.0 ile dijital dönüşümü, üretimin her alanda gözlemlemek mümkün. Daha yeni üretim makineleri ve onlara entegre olarak çalışan 3 boyutlu yazıcılar yalnızca bir örnektir. Hatta alışık olduğumuz CNC tezgâhlarının, robotik teknoloji ve yapay zekâ ile birlikte efektif çalıştığı üretim sistemlerinin de kullanımı son derece mümkün görünüyor.
Yakın gelecekte iş arkadaşımız bir robot olabilir veya doğrudan işimizi elimizden alan robotlar ortaya çıkabilir. Robotik endüstrisi, bilgisayar endüstrisinin son yıllarda karşı karşıya kaldığı sorunlarla yüzleşmeye hazırlanıyor. Bu, özellikle cerrahi veya askeri robotlar gibi kritik görevler için rahatsız edici olmakla birlikte; elektrikli süpürgeler ve telekonferans botları gibi görünen nitelikte rutin işlerimize yardımcı olan robotlar için de zorlayıcıdır. Bu robotlar saldırıya uğradığında, neler olacak?
Robotlar, tıpkı internet 30 yıl önce ortaya çıktığında bilgisayar endüstrisinin karşılaştıklarına benzer sorunlarla yakın bir gelecekte karşı karşıya kalacaktır. Güvenlik hususu düşünülmeden devreye alınmış sistemlerin aniden savunmasız kalışına tanık olabiliriz. Zira endüstriyel robotlar yalnızca fiziksel anlamda korunmakta, robotları üretimin kendisinden koruma fikri ise maalesef gündeme getirilmiş durumda değil… Peki robotlara siber saldırı olduğunda ne olabilir? İlk aklıma gelen felaket senaryoları şunlar: İmalat firmaları için üretim durur, yangın ve iş kazaları görülebilir, can ve mal kaybı olabilir, müşteri ilişkilerine zarar verir ve büyük maliyetlere neden olabilir.
Kritik altyapılar risk altında
Endüstri 4.0 ve güvenlik söz konusu olduğunda ilk akla gelen olay hiç şüphesiz ki Stuxnet’tir. Stuxnet, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de istenildiğinde hedef olabileceğini göstermesi açısından siber güvenlik konusunda oldukça önemli bir yere sahip. İran nükleer tesislerinde yer alan dev santrifüjleri kontrol eden bilgisayar sistemlerini hedefleyen Stuxnet, hedefine ulaşmadan önce elden ele paylaşılan USB’lere gizlenerek yayılmış ve bu süreçte on binlerce bilgisayara bulaşmıştı. Bu saldırı sonrasında hedef reaktörler aktif olmadığı için nükleer bir facia yaşanmamıştır. Ancak reaktörler aktif olsaydı Çernobil benzeri bir felaket olabilirdi. Bu da bize gösteriyor ki ne kadar güvenlik önlemi alırsak alalım, en büyük tehditler içten gelir Çünkü beklenmez ve öngörülemez!
İçimizdeki düşman
Yüksek profilli siber saldırıların sıklığı ve karmaşıklığı, siber suçların gerçek ve ciddi bir risk olduğuna işaret ediyor. Şirketler ve devlet kurumları, ağlarını dış saldırılardan korumak için sıkı güvenlik önlemleri uyguluyor olsalar da, çoğu güvenlik riskinin korkutucu bir bölümünün içeriden olduğunu bilmiyorlar. Stuxnet bu konuda oldukça iyi bir örnek. Dış dünyaya iletişiminiz kapalı olsa bile saldırıya uğrayabiliyorsunuz. Bu noktada çalışan memnuniyeti de oldukça fazla önem kazanıyor. İş yerlerinde çalışan memnuniyeti göz ardı edilen oldukça önemli bir risk unsuru. İşletmenizi güncel güvenlik yazılımları ile belki koruyabilirsiniz ama işini sevmeyen, kızgın bir çalışanın öfkesinden koruyamazsınız. Bu yüzden güvenliği bir bütün olarak düşünüp, insan faktörünü de göz önünde bulundurmalısınız.
Bu konuda alınabilecek bir başka önlem; daha geniş bir güvenlik stratejisi belirlemekten geçiyor. Şirketlerde uygulamaya konulacak siber güvenliğe dair farkındalık eğitimleri, güvenlik stratejisinin bir parçası olabilir. Diğer taraftan endüstriyel sistemlerin BT güvenliğini sağlayacak uzmanların sayıca azlığı sektörün en önemli sorunlarından biri haline geliyor. Böyle bir durumda yapılacak en iyi çözüm: Kurumların; endüstriyel ortamın benzersiz özelliklerini, zorluklarını anlayan ve güvenlikten sorumlu bir çözüm ortağıyla iş birliği halinde olması ve destek alması.
Siber güvenlik yönetim kurulu gündemine taşınmalı
Siber saldırı olasılığını en aza indirgemek için yalnızca belirli kişilerin değil, tüm organizasyonun eğitilmesi gerekir. Kuruluşların bilgi güvenliği alanında üst düzey yöneticilere sahip olması hayati önem taşımaktadır. Aksi takdirde, şirket kültürü olarak güvenliği bir olgu haline getirmek zorlaşacaktır. Böyle bir programın, yalnızca BT departmanının ötesinde; diğer çalışanların güvenlik becerilerinin arttırılması da oldukça önemlidir. Her ne kadar siber güvenlik oldukça popüler bir konu olarak gözükse de, şirketlerin bu konuda yeterince önlem aldığını söyleyemeyiz. Artık konunun öneminin şirketlerin yönetim kurulunda tartışılması ve derin bir savunma yaklaşımı oluşturulmasına ihtiyacımız var.
Sonuç olarak…
Şirketler, sistemlerini çevrimdışı ve çevrimiçi korumak için siber risk senaryoları oluşturup, siber saldırılara karşı her an hazır olmalıdır.
