Endüstriyel Kontrol Sistemleri (EKS) operasyonlarında uzaktan erişim ihtiyacı giderek artmaktadır. Saha teknisyenleri, üretici destek ekipleri ve üçüncü taraf servis sağlayıcılar, sistemlere uzaktan bağlanarak bakım ve izleme yapmaktadır. Ancak bu kolaylık, beraberinde ciddi güvenlik riskleri getirir.
EPDK’nın EKS Güvenlik Kontrolleri çerçevesinde tanımlanan uzaktan erişim riskleri ve bu risklere karşı alınması gereken önlemleri aşağıda ele alıyoruz.
Risk 1: Çok Faktörlü Kimlik Doğrulama Kullanılmaması
EKS’lere uzaktan erişimlerde yalnızca kullanıcı adı ve parola kombinasyonuna dayanmak, kimlik hırsızlığı saldırılarına kapı aralar. EPDK K1.6, K7.4 ve K9.2 kontrolleri kapsamında uzaktan erişim oturumlarını korumak için çok faktörlü şifreleme mekanizması uygulanması zorunludur. Dış kullanıcılar için benzersiz kimlik tanımlaması yapılmalı ve her seferinde bu sorgulanmalıdır.
Risk 2: Trafiğin Şifrelenmeden İletilmesi
Uzaktan erişim sırasında şifrelenmemiş veri trafiği, ortadaki adam (MITM) saldırılarına karşı savunmasızdır. K16.3 kontrolü gereğince işletme; iletilen bilgilerin gizliliğini ve bütünlüğünü güvence altına almalı, uygun kontrol araçları (TLS, IPSec vb.) vasıtasıyla gerçekli güvenlik kontrolleri uygulamalıdır.
Risk 3: Üçüncü Taraf Hareketlerinin İzlenmemesi
Bakım ve destek amacıyla bağlanan üreticiler ile üçüncü taraf teknisyenlerin sistemdeki faaliyetleri kayıt altına alınmadığında hesap verebilirlik ortadan kalkar. K17.2 kontrolü; potansiyel saldırıları ve yetkisiz uzak bağlantıları tespit etmek için sürekli sistem izlemesi öngörür.
Risk 4: Güvenli Olmayan Uzaktan Erişim Yazılımı Kullanımı
Zafiyetleri bilinmeyen, güncel olmayan ya da küçük üreticilerin sağladığı uzaktan erişim uygulamaları ciddi saldırı yüzeyi oluşturur. K1.6, K5.5 ve K5.6 kontrolleri çerçevesinde açık kaynak ve lisanssız yazılım kullanımına kısıtlama getirilmeli; yazılım envanteri düzenli olarak güncellenmelidir.
Risk 5: Kablosuz Ağlar Üzerinden Güvensiz EKS Erişimi
EKS’lerin kablosuz ağlara bağlanması risk tabanlı değerlendirme gerektiren bir karardır. K1.12 ve K16.2 kapsamında; kablosuz kullanım yalnızca sağlık, güvenlik ve çevre etkilerinin düşük olduğu alanlarda ve sınırlı biçimde hayata geçirilmelidir.
Risk 6: Yetersiz Erişim Kontrolü ile Yönetim
Altyapı yönetiminde görevler ayrılığı ve en az yetki prensiplerine uyulmaması, yetkisiz işlem riskini artırır. K7.5 ve K1.3 kontrolleri; tekil kullanıcı tanımlaması ve rol tabanlı erişim kontrolü gerekliliğini vurgular.
Uygulama Önerileri
Tüm uzaktan erişimlerde MFA (Çok Faktörlü Kimlik Doğrulama) zorunlu kılın
VPN altyapınızı EKS protokollerine uygun olarak yapılandırın
Üçüncü taraf erişimlerini ayrı oturum günlüklerine kaydedin
Uzaktan erişim yazılımlarını yıllık zafiyet taramasına dahil edin
Acil durum erişim prosedürlerini fiziksel güvenlik kontrolleriyle destekleyin
Sonuç
Uzaktan erişim güvenliği, EKS operasyonlarının en kritik ve en sık ihmal edilen boyutlarından biridir. EPDK kontrollerini sistematik biçimde uygulamak; hem regülasyon uyumluluğunu sağlar hem de gerçek operasyonel riskleri azaltır.
Esbilgi (Esmer Bilgi Teknolojileri) EPDK tarafından SGYM/1302490/BSU3L225NZ4 nolu sertifika ile Denetim Firması olarak yetkilendirilmiştir. Hizmetlerimiz hakkında daha detaylı bilgi almak için bize info@esbilgi.com e-posta adresinden veya 0 216 606 02 87 numaralı telefondan ulaşabilirsiniz.