IEC 62443 Standardı

Küreselleşme ve son derece rekabetçi pazarlar çağında, Dünya daha fazla otomasyon talep ediyor, bu da siber tehdit riskini artırıyor. IEC 62443 standardı, endüstriyel otomasyon ve kontrol sistemlerini güvenlik ihlallerinden korumak için önemlidir. Bir girişim başarılı olursa, güvenilir olmayan ajanlar hassas verilere erişebilir, ağı bozabilir veya kapatabilir ve hatta endüstriyel sistemlerin bozulmasına neden olabilir. Bu nedenle, siber güvenlik gereksinimleri ve IEC 62443‘ün devreye alınması günün ihtiyacıdır. IEC 62443 standardı, teknik raporlardan ve ilgili bilgilerden yararlanan ve güvenli Endüstriyel Otomasyon ve Kontrol sistemlerinin (IACS) uygulama sürecini tanımlayan siber güvenlik yönetimi kontrolü için bir dizi standarttır.

IEC 62443 standardı, eksiksiz IACS ekosistemini ele alır ve güvenlik pratisyenlerinin, sistem entegratörlerinin ve kontrol sistemi üreticilerinin nasıl etkileşimde bulunması gerektiğini ve tesislerinin ve bileşenlerinin güvenliğini ve emniyetini nasıl sağlamaları gerektiğini tanımlar.

Şirketler için zorunlu olmasa da bu standardın uygulanması endüstriyel kontrol sistemlerini siber tehditlere karşı bağışık hale getiriyor. Bu tür teknolojiler için tehlikelerin sayısının önemli ölçüde arttığı mevcut senaryoda, IEC standardının uygulanması, şirketlerin diğer şeylerin yanı sıra ekipmanın bozulmasına, üretimde donmaya neden olabilecek olası tehlikelerden muaf olmasını sağlar. Bu nedenle, IEC 62443 standart, verilerin dışa doğru ve içe doğru paylaşımını güvenli ve güvenilir hale getiren Endüstri 4.0’ı korumak için oluşturulmuştur.

IEC 62443 Standardının Tarihçesi

IEC 62443 standardı, siber güvenlik açıklarını ve varlık sahiplerine yönelik saldırıları önlemek için tasarlanmıştır. 2002 yılında Uluslararası Otomasyon Derneği (ISA) tarafından, otomasyon sektöründe faaliyet gösteren işletmelerin siber tehditlerden korunmak için ihtiyaç duyduğu bilgileri içeren ISA-99 başlıklı bir belge yayınlandı.

O zamanlar siber güvenlik konusu bu kadar yaygın değildi ve bu nedenle tartışmalar nispeten daha azdı. İş otomasyonundaki artışla birlikte siber güvenlik ihtiyacı da arttı. ISA-99, modern iş siber ihtiyaçlarına uyacak şekilde değiştirildi ve IEC 62443 standardı olarak bilinmeye başlandı. Bu standartlar, tüm endüstriyel sektörler için geçerli olduğundan, çeşitli endüstrilerden, devletten ve akademiden siber güvenlik uzmanlarının bir kesiti tarafından geliştirilmiştir.

IEC 62443 Uyumluluğu ve Siber Güvenlik Yaşam Döngüsü

Endüstriyel siber güvenlik standardının hangi özelliklerinin Endüstri 4.0 için en uygun olduğunu incelemeden önce, bu alanı daha iyi anlamak için bazı temel terimleri netleştirmek gerekiyor.

IACS, operasyonel bir süreçle arayüz oluşturan bir teknoloji olan operasyon teknolojisi (OT) ile eş anlamlıdır. Bu bağlamda terim, bir IACS’yi, bilgiyi almayı ve iletmeyi amaçlayan bir bilgi teknolojisi (BT) cihazından ayırt etmek için kullanılır. IACS örnekleri, programlanabilir mantık denetleyicileri (PLC‘ler), insan-makine arayüzleri (HMI’ler) ve denetleyici kontrol ve veri toplama (SCADA) sistemlerigibi endüstriyel cihazlardır.

IACS güvenlik yaşam döngüsü, IACS korumasının IEC standardı tarafından tanımlanan siber güvenlik gereksinimleriyle uyumlu olması için gerçekleştirilmesi gereken bir dizi aşamadır. IACS Güvenlik Yaşam Döngüsünün aşamaları; değerlendirmek, uygulamak ve sürdürmektir.

Siber güvenlik yönetim sistemi (CSMS), siber riskleri belirlemeyi ve en doğru karşı önlemleri tanımlamayı amaçlayan bir dizi uygulama ve eylemi temsil eder. Uluslararası IEC standardı, IACS güvenlik yaşam döngüsünün tüm aşamalarını kapsar. Risklerin ve zafiyetlerin değerlendirilmesi ile başlar ve uzun vadede güvenlik seviyesi performanslarının sürdürülmesi ile sona erer.

Değerlendirme aşaması, üst düzey riskleri belirlemeyi ve güvenlik açıklarını ve düşük düzeyli riskleri analiz etmeyi amaçlayan bir dizi faaliyetten oluşur. IACS sisteminin her bir bileşeni için gereken minimum siber güvenlik gereksinimlerinin tahsisi ile sona erer.

Siber saldırılara karşı kendilerini korumak isteyen şirketler, tüm CSMS’yi tanımlamanın yanı sıra siber saldırıları önlemeye ve kendi endüstriyel kontrol sistemlerini korumaya yönelik prosedürler ve stratejiler benimsemeleri uygulama aşamasındadır.

Siber güvenlik ise endüstriyel tesislerin güvenlik düzeyi ile ilgili bakım faaliyetleri ile sürekli izlenmesi ve periyodik olarak uygulanması gereken bir süreçtir. Dışarıya doğru paylaşılabilen veri akışının siber tehditlere karşı güvenli olmasını sağlamanın tek yolu budur ve bu sayede şirketler için felaket sonuçlarından kaçınılır.

IEC 62443 Güvenlik Düzeyleri (SL) Nelerdir?

IEC 62443 Güvenlik Düzeyleri, siber güvenlik risklerini değerlendirme için kullanılan güvenlik seviyeleridir. Bu güvenlik düzeyleri, riskleri en iyi nasıl ele alacağınızı anlamanıza yardımcı olur.

0-4 arasında beş güvenlik düzeyi değeri vardır. SL 0 minimum risk seviyesi, SL 4 maksimumdur risk seviyesidir. Bu, SL 4’ün SL 0’dan daha katı uyumluluk gereksinimlerine sahip olduğu anlamına gelir.

  • Güvenlik Seviyesi 0

Özel gereksinimler veya güvenlik koruması gerekli değildir.

  • Güvenlik Seviyesi 1

Rastgele veya tesadüfi ihlallere karşı koruma.

  • Güvenlik Seviyesi 2

Aşağıdakilerle basit araçlar kullanılarak kasıtlı ihlale karşı koruma sağlanabilir.

  • Düşük kaynaklar.
  • Genel beceriler.
  • Düşük motivasyon.
  • Güvenlik Seviyesi 3

Aşağıdakileri içeren gelişmiş araçlar kullanılarak kasıtlı ihlale karşı koruma:

  • Orta düzeyde kaynaklar.
  • IACS’ye özel beceriler.
  • Orta derecede motivasyon.
  • Güvenlik Seviyesi 4

Aşağıdakilerle gelişmiş araçlarla kasıtlı saldırılara karşı koruma:

  • Genişletilmiş kaynaklar
  • IACS’ye özel beceriler.
  • Yüksek motivasyon.

IEC 62443 Standardının Yapısı

IEC 62443 standardı ve teknik raporlar aşağıdaki gibi dört kategoriye ayrılmıştır:

  1. Güvenlik metriklerini açıklayan kavramlar, terminoloji, modeller, iş ürünleri hakkında bilgiler.
  2. İkinci sınıflandırma, varlık sahibini hedefleyerek etkili bir IACS güvenlik programı oluşturmanın ve sürdürmenin farklı yönlerini ele alır.
  3. Kontrol sistemlerinin güvenli bir şekilde birleştirilmesi için, üçüncü kategori ana bilgisayarın sistem tasarım kılavuzu ve gereksinimleri açıklaması.
  4. Dördüncü sınıflandırma, teknik gereksinimleri ve kontrol sistemi çıktılarının özel ürün geliştirmesini tanımlar.

Şirketler Neden IEC 62443 Standardına Uymalı? IEC 62443 Standardına Nasıl Uyum Sağlanır?

IEC 62443 standardı, bir IACS’nin güvenli gelişiminin nasıl sağlanacağı konusunda rehberlik sağlar. IEC 62443 standardına uyum sağlamanın en önemli parçası, statik bir kod çözümleyicisinin kullanılmasıdır.

Statik kod çözümleyicisi, siz kod yazarken güvenlik açıklarını ve kusurları otomatik olarak tanımlar. Ayrıca, yazılımınızın uyumlu ve güvenilir olmasını sağlamak için bir kodlama standardı uygulayabilirsiniz. Standart, güvenli kodlama standartlarını uygulamak için bir statik kod çözümleyicisinin kullanılmasını gerektirir.

IEC 62443 standardına uygunluk, hem BT ile paylaşılacak OT verilerinin güvenliği hem de tüm üretim sektörü için bir garanti teşkil etmektedir. Bu standart sayesinde, enfekte verilerle nedeniyle oluşacak olası bir bulaşmayı önlemek mümkündür.

Geleceğe baktığımızda, endüstriyel otomasyon kontrol sistemi için siber saldırılara karşı yeterli güvenlik başvurusunda bulunmazsak endüstriyel ürün güvenliğini sağlamak mümkün olmaz.  Bu nedenle, hepimizin bu senaryonun farkında olması gerekiyor.

BİR CEVAP BIRAK

Please enter your comment!
Please enter your name here